Документ представляет антивирусную защиту почтовых серверов и шлюзовых решений от компании 'Доктор Веб', обсуждая необходимость проверки трафика на шлюзе и защиты от вредоносных файлов. В нем описываются функции и возможности решения 'dr.web mail security suite', а также обращается внимание на важность защиты всех узлов сети, включая рабочие станции и мобильные устройства. Документ также упоминает переработку антивирусных баз и систему защиты от угроз нулевого дня.

1. г. Казань
20 ОКТЯБРЯ 2016
#CODEIB
Антивирусная защита почтовых серверов и
шлюзовых решений
Кирилл Тезиков
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992

2. #CODEIB
Прежде чем мы начнем диалог – зададимся парой
вопросов
1. Какие события в области ИБ за последнее время вам
запомнились?
2. Производители средств защиты не стоят на месте. Как
вы думаете – в итоге ситуация в области ИБ
ухудшается или улучшается?
г. Казань
20 ОКТЯБРЯ 2016

3. #CODEIB
Зачем нужен антивирус на шлюзе и/или на
почтовом сервере?
Зачем (например) проверять трафик на
шлюзе?
Общее мнение. Этот трафик все равно попадет на рабочие
станции и сервера – где уже стоят антивирусы – там его и
проверим! Антивирусное ядро же, проверяющее почту и файлы и
на антивирусе для рабочей станции и на антивирусе для шлюза
или почтового сервера – одно и тоже
г. Казань
20 ОКТЯБРЯ 2016

4. #CODEIB
Рассмотрим реальные проблемы
защиты компании.
Предположим, что в ней
используется MS Exchange
г. Казань
20 ОКТЯБРЯ 2016

5. #CODEIB
 Проверка всей входящей и исходящей электронной корреспонденции,
поступающей для обработки на почтовый сервер, как от вредоносных
программ, так и от спама.
 Обработка писем в зависимости от правил для групп клиентов
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
г. Казань
20 ОКТЯБРЯ 2016

6. #CODEIB
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
Антивирус должен проверить все объекты до того, как
они передаются клиенту для обработки – в том числе
в поиске пока неизвестных вредоносных файлов
 Возможность обнаружения неизвестных вирусов
 Возможность обнаружения и удаления вирусов, скрытых
под неизвестными упаковщиками
Эти возможности традиционно присутствуют есть – но
достаточно ли их наличия?
г. Казань
20 ОКТЯБРЯ 2016

7. #CODEIB
В случае интеграции с почтовым сервером Microsoft Exchange с помощью
интерфейса Microsoft Virus Scanning Application Interface (VSAPI)
антивирусу доступны:
 возможность проверки документов, хранящихся в базе данных, а также
проверки при доступе к письму.
 проверку всех почтовых ящиков, включая служебные почтовые ящики
SystemMailbox, System Attendant;
 фильтрацию и блокировку сообщений в зависимости от вероятности
принадлежности их к спаму – по категориям спам, вероятно, спам и
маловероятно спам;
 Запуск задания на фоновую проверку в целях обнаружения ранее
неизвестных вредоносных программ…
Dr.Web Mail Security Suite
Защита почтовых серверов MS Exchange
г. Казань
20 ОКТЯБРЯ 2016

8. 8
#CODEIB
Отличный функционал, обеспечивающий
актуальную защиту почты в любой
момент времени
Вот только производитель, начиная с MS Exchange 2013
убрал эту возможность защиты
г. Казань
20 ОКТЯБРЯ 2016

9. #CODEIB
Прежде, чем продолжить о
проблемах и решениях защиты
почты – вспомним о BYOD
г. Казань
20 ОКТЯБРЯ 2016

10. Только факты
Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех
приложений. Внедряясь в Zygote, троянцы фактически получают возможность
инфицировать процессы всех запускаемых в дальнейшем программ и могут
выполнять вредоносные действия от имени и с правами этих приложений.
Представители семейства Android.Triada обладают функцией самозащиты.
http://news.drweb.com/show/?c=5&i=9899&lng=ru
Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет
библиотеку liblokih.so в процесс системной службы system_server и позволяет
выполнять команды от имени суперпользователя (root). Поскольку троянцы
семейства Android.Loki размещают часть своих компонентов в системных папках
ОС Android, к которым у антивирусной программы нет доступа… оптимальный
способ ликвидировать последствия заражения – перепрошивка устройства с
использованием оригинального образа ОС
http://news.drweb.com/show/?c=5&i=9822&lng=ru
1010
#CODEIB г. Казань
20 ОКТЯБРЯ 2016

11. #CODEIB
Сотрудники, работающие удаленно и почтовые
клиенты, не имеющие актуальной защиты –
должны иметь гарантию того, что в письме нет
известного вируса
г. Казань
20 ОКТЯБРЯ 2016

12. #CODEIB
Вернемся к защите почты на уровне
сервера серверу
г. Казань
20 ОКТЯБРЯ 2016

13. #CODEIB
На данный момент наилучший вариант проверки
трафика - SMTP-шлюз, самостоятельно
принимающий и отправляющий почту - не
ограниченный в своих возможностях анализа
Все антивирусные программы, проверяющие почту, поступающую на
почтовый сервер, интегрируются с ним с помощью API этого сервера - и
тем самым ограничиваются в своих возможностях.
г. Казань
20 ОКТЯБРЯ 2016

14. #CODEIB
Dr.Web Mail Security Suite
г. Казань
20 ОКТЯБРЯ 2016

15. #CODEIB
И о шлюзах
г. Казань
20 ОКТЯБРЯ 2016

16. #CODEIB
Шлюз – защита от вредоносных файлов тех
компьютеров и устройств (от сетевого
оборудования до мобильных устройств), где
антивирус поставить нельзя – из-за отсутствия
ресурсов, неподдерживаемой операционной
системы или специфических задач.
г. Казань
20 ОКТЯБРЯ 2016

17. #CODEIB
Если у вас используются облачные системы,
имеются филиалы или сотрудники используют
внешние сервисы – трафик компании покидает
защищенный периметр, по дороге на вашу
машину специально сформированный файл
вполне может внедриться в интересующее
хакера место
г. Казань
20 ОКТЯБРЯ 2016

18. Антивирусная защита, соответствующая требованиям
закона о персональных данных, должна включать защиту
всех узлов локальной сети:
 рабочих станций;
 файловых и терминальных серверов;
 шлюзов сети Интернет;
 почтовых серверов.
Использование демилитаризованной зоны и средств
проверки почтового трафика на уровне SMTP-шлюза
повышает уровень защиты.
Вирусы
Шлюз сети
Интернет
Межсетевой
экран
SMTP-шлюз
Интернет
Dr.Web Enterprise Security Suite

19. И не забываем про и домашние машины – там тоже
читают письма! А вирусы таскают на работу
19
#CODEIB г. Казань
20 ОКТЯБРЯ 2016

20. Проверяется ли ваш трафик на уровне
драйверов?
Контролирует ли ваш поведенческий
анализатор процесс, если эксплойт не
обращается ни к чему за пределами
процесса?
20
#CODEIB
Любой документ до его использования или попадания в
клиентскую программу должен быть проверен
Dr.Web ShellGuard – следующее
поколение Dr.Web Process Heuristic не
просто не позволяет вредоносным
объектам внедриться в процессы других
программ, а контролирует процессы
изнутри
г. Казань
20 ОКТЯБРЯ 2016

21. #CODEIB
Немного бонуса

22. #CODEIB
Dr.Web Enterprise Security Suite
Полная комплексная защита
Централизованное управление защитой
всех узлов корпоративной сети
Рабочие станции
Файловые серверы и серверы приложений
Почта
Шлюзы
Мобильные устройства
Мы сертифицируем всю линейку наших продуктов
г. Казань
20 ОКТЯБРЯ 2016

23. 2323
#CODEIB
Огромный поток вредоносных файлов и
огромное количество мошеннических
ресурсов приводит к тому, что базы
антивируса буквально “пухнут”. Только в
базы нерекомендуемых адресов еженедельно
добавляется более 50000 новых ресурсов!
г. Казань
20 ОКТЯБРЯ 2016

24. 2424
#CODEIB
Компания «Доктор Веб» переработала базу
Офисного/Родительского контроля. Количество
записей в ней удалось уменьшить более чем в два
раза!
Размер базы нерекомендуемых ресурсов снизился с
330Мб до 165! Что естественно привело к росту
скорости работы
г. Казань
20 ОКТЯБРЯ 2016

25. 2525
#CODEIB
Переработка антивирусных баз позволила
удалить 2 миллиона записей, что позволило
уменьшить размер антивирусных баз на треть!
Группировка записей по типам файлов
позволила резко поднять скорость обработки
non-PE файлов
г. Казань
20 ОКТЯБРЯ 2016

26. 2626
#CODEIB
• Создана система защиты от угроз нулевого дня
• Переработан модуль сканирования трафика
• Новый драйвер перехвата Dr.Web HyperVisor
• Снижение количества перезагрузок
И это далеко не все!
г. Казань
20 ОКТЯБРЯ 2016

27. 2727
#CODEIB
И последнее. Напоминаем что…
г. Казань
20 ОКТЯБРЯ 2016

28. #CODEIB
Пользователям продуктов «Доктор Веб»:
• Бесплатная расшифровка специалистами
«Доктор Веб» в случае заражения
троянцами-вымогателями.
66,23% от общего числа запросов в
техническую поддержку – запросы от
пользователей иных вендоров на
расшифровку
г. Казань
20 ОКТЯБРЯ 2016

29. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIB г. Казань
20 ОКТЯБРЯ 2016