Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Сигнатуры и политики традиционных файерволов не справляются с современными видами атак. FireEye предлагает новый подход в борьбе с APT и Zero Day атаками. FireEye тестирует весь почтовый, web и файловый трафик в защищенной виртуальной среде и в считанные доли секунды выявляет угрозу.
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
Уже стало хорошей традицией для Cisco выпускать ежегодные отчеты по анализу угроз информационной безопасности, которые были зафиксированы специалистами компании Cisco. Не стал исключением и прошедший, 2015-й год, который запомнился тем, что злоумышленники стали еще быстрее в своих противоправных действиях, стали более скрытными, а их активность стала более прибыльной.
Видеозапись: https://www.youtube.com/watch?v=ER2cxsIr_S0
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Cisco Russia
Компания Cisco несколько лет назад предложила новую модель, легшую в основу всех решений компании в области обеспечения ИБ, - “ДО – ВО ВРЕМЯ – ПОСЛЕ”. Эта модель описывает не только жизненный цикл атаки на современные сети, но и противостоящие им защитные технологии, которые помогают выстроить защитную стену ДО появления атаки на границе объекта защиты, но и обнаруживают угрозы ВО ВРЕМЯ их реализации, а также помогает оперативно выявлять все-таки зараженные или пострадавшие узлы ПОСЛЕ реализации угрозы. Отдельные продукты и решения Cisco также реализуют данную трехзвенную модель, например,Cisco ASA with FirePOWER Services, Cisco ISE, Cisco Cyber Threat Defense и т.д.
Сигнатуры и политики традиционных файерволов не справляются с современными видами атак. FireEye предлагает новый подход в борьбе с APT и Zero Day атаками. FireEye тестирует весь почтовый, web и файловый трафик в защищенной виртуальной среде и в считанные доли секунды выявляет угрозу.
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
Уже стало хорошей традицией для Cisco выпускать ежегодные отчеты по анализу угроз информационной безопасности, которые были зафиксированы специалистами компании Cisco. Не стал исключением и прошедший, 2015-й год, который запомнился тем, что злоумышленники стали еще быстрее в своих противоправных действиях, стали более скрытными, а их активность стала более прибыльной.
Видеозапись: https://www.youtube.com/watch?v=ER2cxsIr_S0
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Cisco Russia
Компания Cisco несколько лет назад предложила новую модель, легшую в основу всех решений компании в области обеспечения ИБ, - “ДО – ВО ВРЕМЯ – ПОСЛЕ”. Эта модель описывает не только жизненный цикл атаки на современные сети, но и противостоящие им защитные технологии, которые помогают выстроить защитную стену ДО появления атаки на границе объекта защиты, но и обнаруживают угрозы ВО ВРЕМЯ их реализации, а также помогает оперативно выявлять все-таки зараженные или пострадавшие узлы ПОСЛЕ реализации угрозы. Отдельные продукты и решения Cisco также реализуют данную трехзвенную модель, например,Cisco ASA with FirePOWER Services, Cisco ISE, Cisco Cyber Threat Defense и т.д.
CloudsNN 2013 Слизень Виталий. Продли лето.Clouds NN
В 1995–1998 гг. работал в «ПетерСтаре», в 1998–2001 гг. – в «Телекоминвесте».
С июля 2001 г. по октябрь 2004 г. – первый заместитель гендиректора МТТ. С ноября 2004 г. по июнь 2006 г. – директор Департамента государственной политики в области инфокоммуникационных технологий Мининформсвязи России.
С декабря 2006 г. – генеральный директор ЗАО «Синтерра».
Кандидат экономических наук, тема диссертации «Формирование механизма инновационного обеспечения конкурентоспособности предприятия».
Palo Alto Networks approach to stop APT with next technologies:
WildFire
Traps
NGFW
Full video: https://www.paloaltonetworks.com/resources/webcasts/stop-apt-ru.html
Основные возможности системы обнаружения вторжений HP TippingPointDialogueScience
HP TippingPoint - линейная система предотвращения вторжений (IPS), работающая в реальном времени, обеспечивает непрерывную защиту критически важных данных и приложений от серьезных атак, не понижая производительность и эффективность систем.
Программы-вымогатели: многоуровневая защита для блокирования хакерских атакCisco Russia
В этом документе рассказывается о том, что собой представляют программы- вымогатели, какие действия они совершают и как заказчики могут защитить свои организации от этой угрозы. Хотя основное внимание здесь уделяется программам- вымогателям, описанные процессы применимы и к другим угрозам.
Развертывание информационных технологий может быть сложными и хаотичными. В реальном мире ИТ-среда меняется непредсказуемо, и для того
чтобы адаптироваться к этим изменениям, требуется много времени, большой опыт и достаточное количество ресурсов. Угрозы возникают также непредсказуемо и непонятно откуда.
Поэтому статические средства защиты не обеспечивают высокий уровень безопасности.
35. 2013 В ЧИСЛАХ - ОБЗОР
35
Боремся с киберзлоумышленниками по всему миру
Согласно данным облачной инфраструктуры Kaspersky Security Network, продукты
компании нейтрализовали 5 188 740 554 кибератак на пользовательских компьютерах и
мобильных устройствах.
Решения «Лаборатории Касперского» предотвратили 1700 870 654 атак, инициированных
множеством вредоносных онлайн-ресурсов, расположенных по всему миру.
Продукты компании перехватили почти 3 миллиарда попыток локального заражения
пользовательских компьютеров. При этом этого было обнаружено 1.8 миллиона
вредоносных и подозрительных программ.
45% всех веб-атак, заблокированных решениями «Лаборатории Касперского», были
инициированы вредоносными онлайн-ресурсами, находящимися в США и России
36. ПРИЛОЖЕНИЯ, ЧЬИ УЯЗВИМОСТИ ИСПОЛЬЗУЮТСЯ
ЗЛОУМЫШЛЕННИКАМИ
Представленная статистика по
содержащим уязвимости
приложениям основана на данных
о попытках использования
злоумышленниками
соответствующих эксплойтов.
Учтены как заблокированные веб-
атаки, так и предотвращённые
локальные заражения, в том числе
и на мобильных устройствах.
36
37. ОПЕРАЦИОННЫЕ СИСТЕМЫ НАШИХ
ПОЛЬЗОВАТЕЛЕЙ
37
61,5% пользователей
«Лаборатории Касперского»,
согласившихся участвовать в
Kaspersky Security Network,
используют различные версии
Windows 7
Однако 26,58% по-прежнему
пользуются системами поколения
Windows XP
Microsoft прекращает поддержку Windows XP в апреле 2014!
38. ОНЛАЙН УГРОЗЫ
38
Число атак, которые были
инициированы расположенными
по всему миру веб-ресурсами,
увеличилось с 1 595 587 670 в
2012 до 1 700 870 654.
Это означает, что продукты
«Лаборатории Касперского»
защищали своих пользователей в
сети в среднем 4 659 920 раз в
день.
Распределение онлайн-ресурсов с вредоносным ПО
по странами
39. РИСК ОНЛАЙН-ЗАРАЖЕНИЯ
39
В среднем глобальный
риск заражения в
Интернете вырос на 6,9
пунктов: в 2013 году
41,6% пользователей как
минимум раз
сталкивались с атакой из
Сети
Интернет по-прежнему
является основным
источником вредоносных
программ для
пользователей в
большинстве стран мира
42. В
2012
мы
Всего было обнаружено
обнаружили
39,807
образцов
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
2004 – 2010
143 211 образцов
1,160 samples
2011
2013:
6,193 samples
December
2,137
samples
What about 2012?
43. ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНЫХ ЗА 2013 ГОД
43
Мобильные платформы под прицелом
Платформа Android по-прежнему является
основной целью атак, подтверждая
одновременно как её популярность, так и
уязвимость
В 2013 общее число новых найденных
образцов вредоносного кода составило 143 211
Так как один и тот же вредоносный код
внедряется в разные приложения, всего таких
программ для Android за 2013 год было найдено
3 905 502
За 2012 и 2013 в сумме было найдено
примерно 10 миллионов вредоносных программ
для Android
44. ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНАХ ЗА 2013 ГОД
44
Виды мобильных зловредов
Большинство вредоносных программ нацелено
на кражу денег
В течение года число модификаций мобильных
зловредов, нацеленных на фишинг, кражу
данных кредитных карт и денежных средств,
увеличилось почти в 20 раз
В 2013 году решения для мобильных платформ
«Лаборатории Касперского» предотвратили 2
500 заражений банковскими троянцами.
45. ТЕНДЕНЦИЯ – БАНКОВСКИЕ ТРОЯНЦЫ
В 2013 было отмечено резкое
увеличения числа банковских
троянцев, нацеленных на
Android
Кибериндустрия мобильных
вредоносов становится более
сфокусированной на
получении прямой прибыли с
помощью фишинга, кражи
данных кредитных карт,
осуществления финансовых
транзакций со счёта жертвы
на счета мобильных
телефонов и оттуда на
электронные кошельки
злоумышленников. Число мобильных банковских троянцев в коллекции «Лаборатории
45
Касперского»
46. МОБИЛЬНЫЕ ЗЛОВРЕДЫ – ГЕОГРАФИЯ УГРОЗ
46
Мобильные угрозы зависят от
региона – злоумышленники
пользуются различными
категориями вредоносного ПО в
разных регионах и странах
Страна
доля всех
атакованных
пользователей
1 Россия 40.34%
2 Индия 7.90%
3 Вьетнам 3.96%
4 Украина 3.84%
5
Соединённое
Королевство
3.42%
48. МАСКА
48
Маска – глобальная сеть кибершпионажа, которая
функционирует как минимум с 2007 года
Ее выделяет сложность арсенала атакующих,
который включает в себя ряд крайне изощренных
вредоносных программ, разработанных для
различных платформ, включая Mac OS X, Linux и,
возможно, iOS.
Название происходит от испанского разговорного
слова "Careto" («Маска»), которое авторы
использовали в названии некоторых модулей.
49. МАСКА
49
С помощью алгоритмов идентификации мы насчитали
более 380 уникальных жертв среди более чем 1 000 IP-
адресов
В числе основных жертв:
Государственные учреждения
Дипломатические посольства и
миссии
Нефтегазовые компании
Исследовательские институты
Частные инвестиционные
компании
Активисты
51. КАК ИЗМЕНИЛИСЬ РИСКИ БЕЗОПАСНОСТИ
С ПРИХОДОМ ВИРТУАЛЬНЫХ СРЕД?
51
► Данные пользователей
отделены от среды
вычислений
► Срок жизни ВМ уменьшился
► Срок развертывания новой
ВМ из шаблона минимален
► Усилилась взаимозависимость. Нестабильность одной ВМ может
оказывать влияние на всю инфраструктуру.
► Сохранились традиционные риски ИБ– утечка данных, потеря данных
► Сохранился риск нарушения непрерывности бизнеса
52. ВРЕДОНОСНОЕ ПО В ВИРТУАЛЬНЫХ СРЕДАХ
52
► РАБОТАЮТ ЛИ ВИРУСЫ В ВИРТУАЛЬНЫХ
? СРЕДАХ?
► УЯЗВИМЫ ГОСТЕВЫЕ ОС. БОЛЬШИНСТВО
ТРАДИЦИОННЫХ ВИРУСОВ НЕЗАВИСИМЫ ОТ СРЕД
ВИРТУАЛИЗАЦИИ
ДА
► ИСПОЛЬУЮТ ЛИ СПЕЦИФИКУ ВИРТУАЛЬНЫХ
? СРЕД? ДА
► ПЕРВЫЙ ТРОЯН, ЗАРАЖАЮЩИЙ ШАБЛОНЫ
ВИРТУАЛЬНЫХ МАШИН VMWARE БЫЛ НАЙДЕН В 2012
(MORCUT)
Д?А ► МОГУТ ЛИ ВЫЖИВАТЬ В ВИРТУАЛЬНОЙ СРЕДЕ?
► СЕТЕВОЙ ЧЕРВЬ, ПРОШЕДШИЙ ЧЕРЕЗ
КОРПОРАТИВНЫЙ ПЕРИМЕТР, МОЖЕТ ЖИТЬ СКОЛЬ
УГОДНО ДОЛГО
54. ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ТРАДИЦИОННЫХ АНТИВИРУСНЫХ
РЕШЕНИЙ В ВИРТУАЛЬНЫХ СРЕДАХ
54
1. Совместимость
• Поддерживает ли официально ваш антивирус ESXi? (Xen? Hyper-V?)
• Как поведет себя антивирус под действуем vMotion, XenMotion, и.т.п.?
2. Специфика виртуальных сред:
• Сканирование по расписанию => деградация производительности хоста
• Обновление антивирусных баз => деградация производительности хоста
• Для шаблонов виртуальных машин – устаревание антивирусных сигнатур
3. Отношение защита/производительность
55. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
55
Антивирусная защита на уровне гипервизора посредством VMware
vShield Endpoint API
1. Защищаемые виртуальные машины
содержат только драйверы VMware
2. Специальная машина защиты
содержит антивирусное решение
3. Запросы на проверку отсылаются на
машину защиты.
4. Обработка запросов и обновления баз
сконцентрированы на одной виртуальной
машине в пределах хоста
Запрос на
проверку
Вердикт
Только VMware
56. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
56
Преимущества
1. Совместимость обеспечивается вендором
2. Решается проблема «штормов»:
• Антивирусные базы на одной машине
3. Снижается нагрузка на ресурсы
гипервизора
• Меньше «след» машин в памяти
• Избегаем повторного сканирования
(общий кэш вердиктов)
Запрос на
проверку
Вердикт
► ТОЛЬКО ДЛЯ VMWARE. КАК БЫТЬ ПОЛЬЗОВАТЕЛЯМ HYPER-V? XEN?
Только VMware
57. РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | ЛЕГКИЙ АГЕНТ
57
Добавляется
небольшое
приложение для
резидентной
защиты
Hyper-V, Xen
Антивирусная защита на уровне гипервизора: Легкий агент
1. Отличия в реализации:
• Дополнительное лёгкое приложение
на защищаемой ВМ.
• Не использует VMware API
• Содержит дополнительные модули защиты
2. Поддерживает Hyper-V и Citrix (Xen)
3. Наиболее полный набор технологий
защиты:
• Система защиты от вторжений и сетевой экран
• Контроль приложений/web/устройств
• Проверка памяти и системных процессов
4. Оптимальное потребление ресурсов при настраиваемом уровне защиты
58. KSV | ЛЕГКИЙ АГЕНТ ДЛЯ HYPER-V
58
► ЗАЩИТА НА УРОВНЕ ГИПЕРВИЗОРА
► ВОЗМОЖНОСТЬ РАЗВЕРТЫВАНИЯ НА ФУНКЦИОНИРУЮЩИЕ
СИСТЕМЫ БЕЗ ПЕРЕЗАГРУЗКИ
► ПОД ДЕЙСТВИЕМ LIVE MIGRATION ЗАЩИЩАЕМЫЕ МАШИНЫ
АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ
► СОВМЕСТИМОСТЬ: LIVE BACKUP
Hyper-V 2008 R2, Hyper-V 2012
59. KSV | ЛЕГКИЙ АГЕНТ ДЛЯ CITRIX XEN
59
Xen 6.0.2 и Xen 6.1
XenDesktop 5.6
► УСТАНОВКА НА ШАБЛОН ВИРТУАЛЬНОЙ МАШИНЫ VDI ПУЛА
► СОЗДАННЫЕ МАШИНЫ ИЗ ШАБЛОНА АВТОМАТИЧЕСКИ
НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ И НАЧИНАЮТ
РАБОТАТЬ
► ПОДДЕРЖИВАЕТ УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ ЧЕРЕЗ CITRIX
RECEIVER ПОСРЕДСТВОМ ПРОТОКОЛА MULTI-STREAM ICA
► ПРИ ПЕРЕХОДЕ НА СОСЕДНИЙ ХОСТ ПОД ДЕЙСТВИЕМ
XENMOTION АВТОМАТИЧЕСКИ ВЫБИРАЕТСЯ БЛИЖАЙШАЯ
МАШИНА ЗАЩИТЫ
► ПОДДЕРЖКА PERSONAL VDISK, VM PROTECTION& RECOVERY
60. KSV | ЛЕГКИЙ АГЕНТ
ТЕХНОЛОГИИ ЗАЩИТЫ
СЕТЕВАЯ ЗАЩИТА – ПРЕДОТВРАЩЕНИЕ
ВТОРЖЕНИЙ, СЕТЕВОЙ ЭКРАН, ЗАЩИТА ОТ АТАК.
БЛОКИРОВАНИЕ ФИШИНГОВЫХ И ЗАРАЖЕННЫХ САЙТОВ
60
ЗАЩИТА ФАЙЛОВОЙ СИСТЕМЫ,
ПРОВЕРКА ПАМЯТИ И ПРОЦЕССОВ
АВТОМАТИЧЕСКАЯ ЗАЩИТА ОТ ЭКСПЛОЙТОВ,
ЗАЩИТА ОТ ОТКЛЮЧЕНИЯ (САМОЗАЩИТА)
61. KSV | ЛЕГКИЙ АГЕНТ
ТЕХНОЛОГИИ КОНТРОЛЯ
61
Контроль Web
Контроль приложений
Контроль устройств
62. 62
KSV | ЛЕГКИЙ АГЕНТ
ВЫСОКАЯ ПРОИЗВОДИТЕЛЬНОСТЬ
► Локальный кэш вердиктов
Не нужно перепроверять файлы и приложения
► Общий кэш вердиктов
Не нужно проверять одинаковые файлы на разных VM
Существенно увеличивает производительность для
сценария VDI (много одинаковых файлов)
► Централизованное обновление баз
► Оптимизация файловых операций как на каждой VM,
так и в рамках всего хоста.
63. 63
KSV | ЛЕГКИЙ АГЕНТ
РЕАЛЬНАЯ ПРОВЕРКА ПРОИЗВОДИТЕЛЬНОСТИ
► Тестовый стенд :
IBM System x3550 M3 (Intel Xeon 6 Cores), 128 GB RAM
СХД IBM DS3400 (12x450Gb 15K SAS)
Гостевая операционная система: Win7
Офисная нагрузка : сеть, outlook, excel, файлы
► Достигнутый уровень консолидации: 100+ машин под защитой на одном хосте
(около 15 VM на ядро)
► Дисковые операции:
Выигрыш от 20% до 50% по сравнению
с традиционным решением
Сокращение дисковой очереди: в разы
800
600
400
200
0
PhysicalDiskDisk Writes/sec
3
12
21
30
39
48
57
66
75
84
93
102
111
120
Baseline
Traditional
KSV LA
50
40
30
20
10
0
PhysicalDiskAvg. Disk Queue
Length
3
9
15
21
27
33
39
45
51
57
63
69
75
81
87
93
99
105
111
117
123
64. 64
KSV
ГИБКОЕ ЛИЦЕНЗИРОВАНИЕ
ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ ВСЕХ ГИПЕРВИЗОРОВ – HYPER-V, XEN, ESXi
ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ БЕЗАГЕНТСКОГО РЕШЕНИЯ И ЛЕГКОГО АГЕНТА
ПО РЕСУРСАМ
(ЯДРО)
ПО
ВИРТУАЛЬНЫ
М МАШИНАМ
По серверам
По рабочим станциям
65. Павел Александров
Инженер предпродажной поддержки в ПФО
Е-mail: Pavel.Alexandrov@kaspersky.com
PAGE 65 | 1 2 3
Editor's Notes
Я кратко расскажу о том, зачем пользователи покупают антивирусное ПО для защиты виртуальных сред
Специфика виртуальных сред позволяет изолировать вычисления в рамках одной виртуальной машины, и закрыть к ней доступ от стандартных путей проникновения ранее возникавших вирусов – USB-портов, CD-rom’ов. Однако, остаются сетевые пути распространения – почта и интернет, и полностью взять их под контроль – невозможно.
Одним из примеров являются бестелесные вирусы (черви), которые распространяются по сети как пакеты данных и не оставляют следа в файловой системе, либо оставляют такой след, по которому их детектировать невозможно. Такой червь, попав за корпоративный периметр может очень долго жить в сети, перебираясь с одной виртуальной машины на другую.
До 90% файлов в некоторых VDI одинаковы для всех машин
Технология Shared Cache позволяет избежать
дублирования проверки одинаковых файлов, размещенных на разных виртуальных машинах