Михаил Свердлов. ""Особая экономическая зона "Иннополис"
Доктор Веб. Вячеслав Медведев. "Антивирусная безопасность. Типичные ошибки"
1. Г. Тюмень
27 октября 2016#CODEIB
Антивирусная безопасность. Типичные ошибки .
Почему при наличии антивируса компании несут убытки от
вирусных эпидемий и как с этим бороться?
Вячеслав Медведев
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992
2. 2
#CODEIB
В большинстве случаев считается, что задача
антивируса – не допустить ни одной вредоносной
программы в локальную сеть
Но это ответ, устаревший на кучку лет
Сколько вредоносных файлов приходит нам на анализ
?ежедневно
100? 1000?
!Назовите свою цифру
Г. Тюмень
27 октября 2016
4. Справка. Тесты на обнаружение неизвестных вирусов определяют
возможность обнаружения угроз подобных ранее известным и ничего не
говорят о возможности решения противостоять угрозе, заточенной на
необнаружение конкретным решением
44
#CODEIB
Наиболее опасные вредоносные программы
разрабатываются не хакерами-одиночками, но
криминальными структурами, что позволяет “выпускать на
рынок” вредоносные программы, протестированные на
необнаружение антивирусами
Г. Тюмень
27 октября 2016
5. 55
#CODEIB
Еще одна обнаруженная на прошлой неделе угроза безопасности
Android-устройств - новое семейство троянов Android.Loki.
Вредоносное ПО способно загружать из Google Play приложения с
помощью специальной реферальной ссылки, позволяя
вирусописателям получать доход за установку программ.
http://www.securitylab.ru/news/479227.php
Г. Тюмень
27 октября 2016
Ничего страшного – правда?
http://news.drweb.com/show/?c=5&i=9822&lng=ru
6. 6
• Для проведения атак внешнему злоумышленнику теперь требуется
более низкая квалификация. Для 50% атак достаточно низкой
квалификации, тогда как ранее такая квалификация была достаточной
для 40% атак
• с 74 до 91% выросла доля систем, где оказалось возможным получение
доступа во внутреннюю сеть.
• Получение полного контроля над важными ресурсами из внутренней
сети теперь возможно для 100% рассмотренных систем, тогда как ранее
подобный результат был получен в 84% случаев. В 71% случаев
внутренний нарушитель может получить полный контроль над всей
информационной инфраструктурой.
6
#CODEIB
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Г. Тюмень
27 октября 2016
7. • Количество обращений в техническую поддержку в связи с
шифровальщиками превысило 60% от обращений
• Продолжился рост количества вредоносных программ для краж
денежных средств под Android
• Существенно вырос интерес злоумышленников к операционным
системам Linux, а также встраиваемым системам/IoT/АСУТП
7
#CODEIB
Г. Тюмень
27 октября 2016
Что год прошедший нам…
Умные, но слабозащищенные устройства – следующая цель
злоумышленников
8. 8
#CODEIB
Г. Тюмень
27 октября 2016
Зачем в системе защиты нужен
антивирус для защиты шлюза
или антивирус для почтового
сервера?
9. • Даже если в организации равно защищены все места, где
обрабатываются данные – неизвестный вирус может проникнуть в
систему
• Как правило организации защищены недостаточно – они защищают
только рабочие компьютеры сотрудников – оставляя без защиты
сервера, мобильные устройства, домашние компьютеры сотрудников.
В итоге проникший на рабочие станции вирус вырывается на
свободу – с легкостью проникая на сервера с критически важной
информацией
99
#CODEIB
Г. Тюмень
27 октября 2016
10. 10
#CODEIB
Г. Тюмень
27 октября 2016
Какие компоненты антивируса
нужны для защиты от
неизвестных угроз?
От момента совершения мошеннической операции и
до вывода средств проходит 1–3 минуты!
11. #CODEIB
Шлюз – защита от вредоносных файлов тех
компьютеров и устройств (от сетевого
оборудования до мобильных устройств), где
антивирус поставить нельзя – из-за отсутствия
ресурсов, неподдерживаемой операционной
системы или специфических задач.
Г. Тюмень
27 октября 2016
12. #CODEIB
На данный момент наилучший вариант проверки
трафика - SMTP-шлюз, самостоятельно
принимающий и отправляющий почту - не
ограниченный в своих возможностях анализа
Все антивирусные программы, проверяющие почту, поступающую на
почтовый сервер, интегрируются с ним с помощью API этого сервера - и
тем самым ограничиваются в своих возможностях.
Г. Тюмень
27 октября 2016
13. Антивирусная защита, соответствующая требованиям
закона о персональных данных, должна включать защиту
всех узлов локальной сети:
рабочих станций;
файловых и терминальных серверов;
шлюзов сети Интернет;
почтовых серверов.
Использование демилитаризованной зоны и средств
проверки почтового трафика на уровне SMTP-шлюза
повышает уровень защиты.
Вирусы
Шлюз сети
Интернет
Межсетевой
экран
SMTP-шлюз
Интернет
14. Dr.Web Enterprise Security Suite защищает не только
локальную сеть, но и мобильные устройства
сотрудников, их домашние ПК — как имеющие выход в
Интернет, так и не имеющие его.
Администратор компании может гарантировать, что с
личных компьютеров сотрудников в локальную сеть не
попадет ничего лишнего.
14
14
14
#CODEIB
Г. Тюмень
27 октября 2016
15. Продукт /Поддерживаемые ОС платформы Базовая лицензия Дополнительные
компоненты
Dr.Web®
Desktop Security Suite
Windows
Комплексная защита* ЦУ
Криптограф
Антивирус**
Mac OS X, Linux
Антивирус
ЦУ
OS/2, MS DOS
Dr.Web®
Server Security Suite
Windows, Novell NetWare,
Mac OS X Server Антивирус ЦУ
Unix (Samba)
Dr.Web®
Mail Security Suite
MS Exchange
IBM Lotus Domino
Unix
Kerio (Windows, Linux, Mac OS X)
Антивирус
ЦУ
Антиспам ( Kerio)кроме
SMTP proxy
Dr.Web®
Gateway Security Suite
MS ISA/TMG
Антивирус
Kerio
ЦУ
Unix
MIMEsweeper, Qbik WinGate Антиспам
Dr.Web®
Mobile Security Suite
Windows Mobile
Антивирус
ЦУ
Android
Symbian OS Антиспам
15
В состав Dr.Web Enterprise Security Suite добавлялись новые продукты
15
15
#CODEIB
Г. Тюмень
27 октября 2016
16. 16
#CODEIB
Антивирус обязан
иметь систему самозащиты, не позволяющую
неизвестной вредоносной программе нарушить
нормальную работу антивируса
нормально функционировать до поступления
обновления, позволяющего пролечить заражение
Иметь возможность противостоять неизвестным
антивирусному ядру инфекциям
лечить активные заражения
Г. Тюмень
27 октября 2016
19. Нет ничего проще!
Предотвратить заражения через вредоносные веб-ресурсы?
19
SpiderGate проверяет веб-трафик до его поступления в
браузер, использует базу вредоносных ресурсов,
сигнатурный поиск вирусов и эвристические технологии
19
#CODEIB
Г. Тюмень
27 октября 2016
20. Нет ничего проще!
Предотвратить заражения при запуске вируса пользователем?
Обнаруживает
неизвестные угрозы Предотвращает
запуск вирусов
2020
#CODEIB
Г. Тюмень
27 октября 2016
23. 2323
#CODEIB
Огромный поток вредоносных файлов и
огромное количество мошеннических
ресурсов приводит к тому, что базы
антивируса буквально “пухнут”. Только в
базы нерекомендуемых адресов еженедельно
добавляется более 50000 новых ресурсов!
Г. Тюмень
27 октября 2016
24. 2424
#CODEIB
Компания «Доктор Веб» переработала базу
Офисного/Родительского контроля. Количество
записей в ней удалось уменьшить более чем в два
раза!
Размер базы нерекомендуемых ресурсов снизился с
330Мб до 165! Что естественно привело к росту
скорости работы
Г. Тюмень
27 октября 2016
25. 2525
#CODEIB
Переработка антивирусных баз позволила
удалить 2 миллиона записей, что позволило
уменьшить размер антивирусных баз на треть!
Группировка записей по типам файлов
позволила резко поднять скорость обработки
non-PE файлов
Г. Тюмень
27 октября 2016
26. 2626
#CODEIB
• Создана система защиты от угроз нулевого дня
• Переработан модуль сканирования трафика
• Новый драйвер перехвата Dr.Web HyperVisor
• Снижение количества перезагрузок
И это далеко не все!
Г. Тюмень
27 октября 2016
28. 2828
#CODEIB
Dr.Web Katana защищает от использования
,эксплойтами как уже известных так и еще
.неизвестных уязвимостей
В отличие от традиционного сигнатурного
анализа Dr.Web Katana анализирует угрозы
« » –на лету непосредственно в процессе
попыток использования уязвимостей в
.защищаемой системе
Г. Тюмень
27 октября 2016
30. #CODEIB
Пользователям продуктов «Доктор Веб»:
• Бесплатная расшифровка специалистами
«Доктор Веб» в случае заражения
троянцами-вымогателями.
66,23% от общего числа запросов в
техническую поддержку – запросы от
пользователей иных вендоров на
расшифровку
Г. Тюмень
27 октября 2016
31. Попробуйте и вы!
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIB
Г. Тюмень
27 октября 2016
Editor's Notes
11.02.2016 Уфа
Антивирусная безопасность. Почему при наличии антивируса компании несут убытки от вирусных эпидемий и как с этим бороться?
Каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети
Обновления антивируса должны доставляться мгновенно и поэтому нагружают сеть. Штатные системы обновления операционных систем не столь торопятся
Напомним, что время хищения – менее трех минут
http://news.drweb.com/show/?c=5&i=9822&lng=ru
(дата на момент написания статьи)
2012-04-09
Trojan.Carberp.14(4) Trojan.Carberp.15 Trojan.Carberp.276(11) Trojan.Carberp.29(60) Trojan.Carberp.33(2) Trojan.Carberp.339 Trojan.Carberp.340(5) Trojan.Carberp.381 Trojan.Carberp.382 Trojan.Carberp.383 Trojan.Carberp.384 Trojan.Carberp.385 Trojan.Carberp.386 Trojan.Carberp.388 Trojan.Carberp.389 Trojan.Carberp.390 Trojan.Carberp.391 Trojan.Carberp.392 Trojan.Carberp.393 Trojan.Carberp.394 Trojan.Carberp.395 Trojan.Carberp.396 Trojan.Carberp.397 Trojan.Carberp.398 Trojan.Carberp.399
У ZeuS появились аналоги для open-source систем
С конца прошлого года вирусописатели выпустили более пяти новых версий банковского трояна с различным функционалом. Как сообщили представители IT-компании Seculert, после публикации в 2011 году исходного кода ZeuS, злоумышленники воспользовались им с целью разработки банковского трояна для open-source систем. На протяжении последних нескольких недель вышло несколько вариаций трояна ZeuS, получивших общее название Citadel.По данным экспертов Seculert, вирусописатели основали новый цикл разработки троянской программы. Представители IT-компании Seculert сообщают, что ведущие разработчикивируса также создали форум, на котором покупатели Citadel могут вносить изменения
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Недостатки защиты сетевого периметра
• В 9 из 10 систем любой внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети. При этом в 55% случаев внешний злоумышленник может развить атаку и получить полный контроль над всей инфраструктурой компании.
• В среднем для преодоления сетевого периметра внешнему атакующему требуется осуществить эксплуатацию двух различных уязвимостей, при этом для проведения атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию.
• В 40% случаев вектор проникновения во внутреннюю сеть основывается на слабости парольной защиты. Так же, как и в предыдущие два года, данная уязвимость является самой распространенной, она была обнаружена на сетевом периметре 82% исследованных систем, причем в каждой из этих систем словарные пароли присутствовали в том числе и в веб-приложениях.
В 67% компаний словарные пароли использовались для привилегированных учетных записей.
• В каждой третьей системе доступ во внутреннюю сеть осуществляется через уязвимости веб-приложений. Так, уязвимости типа «Загрузка произвольных файлов» и «Внедрение операторов SQL» встречаются в 55% систем. В целом уязвимости веб-приложений были обнаружены в 93% исследованных систем.
• По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра понизился. На 17% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть (с 74 до 91%). Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация, преодоление периметра в среднем требует эксплуатации меньшего количества уязвимостей (2 против 3 в предыдущие два года). Сложившаяся картина свидетельствует о том, что используемые защитные меры развиваются
медленнее современных методов атак и не могут обеспечить достаточно высокий уровень безопасности. Так, например, существенно возросла (с 10 до 64%) доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.
• Во всех исследованных системах непривилегированный внутренний нарушитель, находящийся в пользовательском сегменте сети, может так или иначе расширить свои привилегии
и получить несанкционированный доступ к критически важным ресурсам. При этом в 71% случаев внутренний нарушитель может получить полный контроль над всей информаци-
онной инфраструктурой организации.
• Только в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критическим ресурсам, тогда как в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети. В среднем при наличии доступа во внутреннюю сеть для контроля над критическими ресурсами злоумышленнику требуется эксплуатация 5 различных уязвимостей.
• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. Следующие по
распространенности — недостатки фильтрации и защиты служебных протоколов (ARP, STP, CDP и др.), приводящие к перехвату и перенаправлению трафика, и хранение важных данных в открытом виде. Эти уязвимости обнаружены в 67% систем.
• Уровень защищенности внутренних сетей понизился по сравнению с 2011–2012 гг. Получение полного контроля над важными ресурсами из внутренней сети теперь оказалось возможным для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. Как и для атак со стороны внешнего злоумышленника, снизилось среднее количество уязвимостей, эксплуатация которых необходима для успешной атаки, — с 7 до 5.
Требуемая квалификация злоумышленника также понизилась: для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак. В целом, несмотря на некоторые улучшения в отдельных областях (повысился, к примеру, уровень антивирусной защиты), применяемых мер защиты недостаточно для противодействия современным атакам.
• В 66% случаев в результате оценки осведомленности пользователей в вопросах информационной безопасности были обнаружены те или иные недостатки. В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.
• В среднем каждый десятый пользователь осуществлял переход по предлагаемой ссылке, при этом 3% пользователей попытались вступить в диалог, а 4% испытуемых загрузили исполняемые файлы либо ввели свои учетные данные в предлагаемой форме аутентификации.
• Уровень осведомленности сотрудников в вопросах информационной безопасности повысился. В 2013 году в каждой третьей системе уровень осведомленности был оценен как приемлемый.
В 67% компаний словарные пароли использовались для привилегированных учетных записей.
с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.
Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем.
В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.
Уязвимость в графической библиотеке подвергает опасности приложения, созданные с помощью C++ Builder или Delphi
http://www.securitylab.ru/news/456818.php
Уязвимость в BlackBerry Z10 позволяла обойти аутентификацию
http://www.securitylab.ru/news/456545.php
Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.Подробнее: http://www.securitylab.ru/news/456808.php
Для MS Exchange в принципе невозможно проверить письмо целиком – и использовать правила опирающиеся на признаки, которые могут быть в различных частях письма - MS Exchange отдает письма своим плагинам только по частям. Для MS Exchange даже статистика проверенного отражает не количество проверенных писем, а количество проверенных объектов!
Лицензирование для каждого защищаемого объекта (т. е. продукта) производится отдельно. С этой целью для каждого защищаемого объекта нужно выбрать базовую лицензию и, если это необходимо, дополнительные компоненты защиты. Так, например, базовыми лицензиями для рабочих станций являются Антивирус и Комплексная защита (в обе лицензии входит брандмауэр), в дополнение к которым можно выбрать криптограф.
Центр управления лицензируется отдельно — как в составе комплексного продукта Dr.Web Enterprise Security Suite, так и при покупке лицензии для отдельного продукта Dr.Web. ЦУ лицензируется бесплатно. Также бесплатен Антиспам для Dr.Web Mobile Security Suite.
Современные вредоносные программы распространяются, в основном, через флеш-накопители и заражённые веб-сайты. Для защиты от вирусов, которые распространяются через флешки, Dr.Web предлагает режим запрета выполнения автозапуска – опцию компонента SpiderGuard. Просто включите опцию «Блокировать автозапуск со сменных носителей» и компьютер защищён. Преимущество такой защиты в том, что можно продолжать использование флеш-накопителей в случаях, когда отказ от их использования затруднён.
Для защиты компьютера от заражения при посещении пользователем вредоносного сайта мы предлагаем комбинированную защиту. Во-первых, адрес сайта проверяется по обновляемой базе опасных и нежелательных объектов. Во-вторых, веб-трафик проверяется сигнатурным и эвристическим методами, причём проверка происходит до поступления трафика в браузер.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
Удалены дубликаты и "мертвые" вирусные записи (которые покрывались другими). Количество записей при этом уменьшилось примерно на 2 миллиона.
Вирусные записи сгруппированы по типам файлов, что дает заметное увеличение скорости проверки non-PE файлов.
Всем этим заметно уменьшили размер баз (с 197МБ до 130МБ)
Обновление компонент агента Enterprise Security Suite 10.0 до версии 11.0.
Изменения в агенте:
Создана система защиты от угроз нулевого дня (система защиты от эксплоитов), предотвращающая возможность вредоносных объектов использовать уязвимости в приложениях с целью получения контроля над операционной системой.
Оптимизирована работа модуля Dr.Web Scanning Engine для обеспечения более быстрой проверки объектов на наличие угроз.
Добавлена возможность тонкой настройки Превентивной защиты, позволяющая указать персональные настройки доступа к объектам для указанного приложения. Подобное изменение позволит настроить Превентивную защиту для специализированных приложений, которым доверяет пользователь, таким образом, чтобы не допустить конфликта в работе. Дополнительно добавлена система профилей для настроек Превентивной защиты.
Оптимизирована работа модуля Net filtering service, что позволит работать в сети Интернет более комфортно.
Полностью переработан графический интерфейс Dr.Web Scanner SE. Настройки перенесены к общим настройкам антивируса. Управление Сканером упрощено и сделано более понятным.
Внедрена система сбора и хранения статистики о действиях антивируса. Пользователь в любой момент, воспользовавшись системой фильтров, может ознакомиться с событиями выбранного компонента или со списком заблокированных Родительским контролем сайтов, к которым производилась попытка доступа.
Расширены возможности Офисного контроля:
Расширены возможности блокирования файлов и папок. Теперь доступна настройка типа доступа к указанным объектам: блокировать доступ или разрешать только чтение.
Добавлена возможность выключить блокировку объектов (файлы и папки) в ОК, не очищая список блокируемых объектов и не отключая ОК полностью.
Добавлена новая категория для веб-фильтра: "Онлайн-игры".
Менеджер карантина получил новые возможности управления:
Повторная проверка объекта.
Отображение резервных копий.
Создан драйвер Dr.Web HyperVisor, позволяющий использовать больше возможностей компьютера для обнаружения и лечения угроз, а также для усиления самозащиты Dr.Web.
Почтовые уведомления о событиях антивируса были значительно переработаны и стали более информативными и удобными для восприятия.
Реализовано обновление без перезагрузки для компонентов Dr.Web Control Service и SpIDer Agent for Windows.
Реализована отдельная всплывающая нотификация о необходимости перезагрузки операционной системы после нейтрализации угроз. Нотификация отображается только после лечения сложных типов угроз, которые невозможно удалить без перезагрузки.
Реализована отдельная всплывающая нотификация о блокировании устройств добавленных в настройки опции "Блокировать использование указанных устройств".
Настройки Антиспама были перемещены в настройки компонента SpIDer Mail.
Добавлен функционал защиты от атак типа Bad USB.
Часто вирусописатели прибегают к методам социальной инженерии, чтобы побудить пользователя собственноручно запустить файл вредоносной программы. К примеру, в Интернет можно встретить множество псевдо-кодеков, псевдо-антивирусов и прочих программ, которые вместо заваленного функционала несут прямую угрозу безопасности. Компонент SpiderGuard постоянно находится в памяти компьютера и предотвращает заражение, проверяя файлы перед их запуском, а также все системные процессы и при каждом обновлении антивируса. SpiderGuard эффективен против любых известных и многих неизвестных угроз, поскольку использует методы эвристического анализа.
8-800-333-7932 позволяет круглосуточно получать ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помогает разобраться в функциях и настройках программ. По номеру можно звонить как с мобильных, так и стационарных телефонов абсолютно бесплатно.
Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.