14 kaspersky lab (афанасьев) fin

546 views

Published on

  • Be the first to comment

  • Be the first to like this

14 kaspersky lab (афанасьев) fin

  1. 1. Организация защиты дляраспределенных интеллектуальныхресурсов и облачных сервисовАлексей Афанасьев,Менеджер проектa DDoS Prevention Kaspersky Lab RussiaAlexey.Afanasyev@kaspersky.com
  2. 2. «Лаборатория Касперского»Один из крупнейших производителей решений для обеспеченияинформационной безопасности Лидер российского рынка Защита почти 300 миллионов рабочих мест Почти 10 миллионов активаций продуктов в месяц 220 патентов по всему миру Более 2300 сотрудников, из них 800 в R&D Более 130 OEM-партнеровPAGE 2 | | 07 June 2012
  3. 3. Защита сетевой инфраструктуры любой компании Простое Защита Защита Защита управление виртуальной физической мобильных среды инфраструктуры устройств Единая консоль Автоматическая Защита в Защита данных защита реальном времени при утере/краже Применение политик Высокая Мощные Поддерживаемые производительность инструменты ОС: Понятный контроля Android, Blackberry, интерфейс Максимальная Windows, Symbian эффективность Поддержка Подробные большинства отчеты Прозрачность платформPAGE 3 | | 07 June 2012
  4. 4. Kaspersky Security для виртуальных средКлючевые преимущества Антивирусное ядро, удостоенное многочисленных наград Централизованное управление Минимальное влияние на производительность Исключение ситуаций «шквального» сканирования и обновления Автоматическая защита новых виртуальных машин Высокий уровень технической поддержки Высокая плотность ВМ Быстрая окупаемостьPAGE 4 | | 07 June 2012
  5. 5. Откуда такая осведомленность Постоянный опрос выявленных управляющих центров Интернет Информирование о изменении статусаPAGE 5 | | 07 June 2012
  6. 6. Date Type Bot Arguments[http] http://moscow-post.ru2011.06.14 20:05:21 START skill.ddos/xzrw0q.com numthreads: 100MSD[http] http://moscow-post.ru/server/classes/class.db.php2011.06.14 20:05:21 START skill.ddos/xzrw0q.com numthreads: 100MSD[http] www.9796024.ru2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400MSD om[http] www.autoclimat.ru2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400MSD om[http] www.autoklimat.ru2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400MSD om[http] www.autotavi.ru2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400MSD om[http] www.climatavto.ru PAGE 6 | Мифы и реалии DDoS угрозы | 07 June 2012
  7. 7. Базис Мы антивирусная компания Аналитический центр, работающий в режиме 24/7 Уникальные технология выявления BOT- сетей по статистическим и поведенческим признакам Команда, профессионально занимающаяся защитой от DDOS Мощная, распределенная система очисткиPAGE 7 | | 07 June 2012
  8. 8. Несколько фактов о DDoS атаках HTTP Flood SYN Flood ICMP Flood UDP Flood TCP Data Flood DNS имя IP адрес Средняя мощность 350 Мбит/сPAGE 8 | | 07 June 2012
  9. 9. Распределение источников DDoS-трафика по странам2011 годPAGE 9 | | 07 June 2012
  10. 10. Распределение атакованных сайтов по категориям деятельности2011 год Лидером по количеству жертв остался сегмент интернет-торговли — 25% всех зарегистрированных атак. Доля атак на государственные сайты постепенно растет.PAGE 10 | | 07 June 2012
  11. 11. Распределение DDoS-атак по часам2011 годDDoS-боты начинают работать в районе 9-10 часов утра,рабочий день у ботов ненормированный и продолжается до глубокойночи — только в 4 утра бОльшая часть ботнетов уходит на покой. .PAGE 11 | | 07 June 2012
  12. 12. Типы DDoS-атак2011 годАкцент в последнее время смещается именно на атаку приложения.Простейшие атаки на канал научились отбивать операторы,злоумышленникам пришлось искать новые,интеллектуальные методы нападения.PAGE 12 | | 07 June 2012
  13. 13. Виды HTTP-Flood. Эволюция HTTP Flood2008 SYN Flood ICMP Flood UDP Flood TCP Data Flood HTTP Flood SYN Flood UDP Flood2011 ICMP Flood TCP DATA floodPAGE 13 | | 07 June 2012
  14. 14. Типы DDoS-атак. Виды HTTP-Flood2011 годЛишь в одном случае из 10 проводятся сложные атаки,когда злоумышленники пытаются замаскироватьдействия ботов под поведение настоящих пользователей.PAGE 14 | | 07 June 2012
  15. 15. Распределение целей атак по именам сайтов и по IP-адресам2011 годАкцент в последнее время смещается на атаку по IP-адресу.Причина проста: большинство схем фильтрации работает по именам.PAGE 15 | DDoS атаки: мифы и реальность | 07 June 2012
  16. 16. Один из мифов про DDoS Средняя скорость – около 300 Мбит/с 60 50 40 30 20 10 0 менее 50 50-100 100-200 200-300 300-400 400-500 более 500PAGE 16 | | 07 June 2012
  17. 17. Цифры прошедшего полугодия Максимальная мощность атак, отраженных Kaspersky DDoS Prevention, по сравнению с первым полугодием 2011 увеличилась на 20% и составила 600 Мбит/с или 1 100 000 пакетов/секунду (UDP-flood короткими пакетами по 64 байта). Средняя мощность отраженных Kaspersky DDoS Prevention атак выросла на 57% и составила 110 Мбит/с. Самая протяженная DDoS-атака, зафиксированная во втором полугодии, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт Средняя продолжительность DDoS-атак составила 9 часов 29 минутPAGE 17 | | 07 June 2012
  18. 18. История с закрытием Ex.uaПо материалам donbass.ua и др. интернет изданий 31 января 2012 Закрытие крупнейшего файлообменника Украины - EX.UA (возбуждение уголовного дела по статье УК “нарушение авторского права и смежных прав”) 1 февраля 2012 Недоступны сайты: • prezident.gov.ua (официальный сайт президента Украины) • rada.gov.ua (официальный сайт Верховной Рады ) • kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины) • partyofregions.org.ua. (сайт Партии регионов) 1 февраля 2012 Потерян доступ к базе всех законодательных документов Украины: (информационный ресурс zakon.rada.gov.ua) 2 февраля 2012 • В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA“ (только в одной из них более двадцати тысяч пользователей). • Проводится голосование - какой web-ресурс "валить" следующим, а также даются инструкции - как это сделать, обладая минимальным знаниями. • Звучат призывы "не валить сайты, а валить власть"PAGE 18 | | 07 June 2012
  19. 19. Теневые бизнесы вокруг DDoS Продажа софта Заказные атаки «Загрузки» ПО Сдача сетей в аренду ВымогательствоPAGE 19 | | 07 June 2012
  20. 20. Ущерб экономике страныМоральный аспект Конкурентная борьба Вымогательство Мошенничество МестьРезультаты: • Недовольство клиентов • Недовольство контрагентов • Репутационный ущерб • Срыв бизнес процессов • Отвлечение от главного (хищения) • Прямой ущерб (торговые площадки)PAGE 20 | | 07 June 2012
  21. 21. DDoS-атака против конкурентовhttp://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda История: Во время проведения компанией «Аэрофлот» тендера на выбор платежной системы были проведены DDoS-атаки на сервис Assist Результат: Система Assist была недоступна в момент принятия решения по тендеру. В июне 2012 в России судебная система заинтересовалась DDoS-атаками и за организацию этой атаки предъявила обвинения Павлу Врублевскому Отметим: Павел Врублевский владелец компании Chronopay — крупнейшей процессинговой фирмы России конкурирующий с сервисом Assist • P.S. Cчитается, что Павел Врублевский является организатором одной из крупнейших спамерских парнерок «Rx-promotion».PAGE 21 | | 07 June 2012
  22. 22. PAGE 23 | Противостояние стихии по имени «DDoS» | 07 June 2012
  23. 23. Категории клиентов Были под атакой Ждут атаки Сомневаются или не верятPAGE 24 | | 07 June 2012
  24. 24. Из мифотворчестваНаверняка Вы слышали о 1, 2, 5, 10, 20 и более Гигабитных атаках ЗАЧЕМ СТОЛЬКО, ЕСЛИ Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с Приложение способно обработать всего 4 запроса в секундуPAGE 25 | | 07 June 2012
  25. 25. Виды заблужденийПораженческие Эти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасностиЧрезмерно оптимистичные Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенностиPAGE 26 | | 07 June 2012
  26. 26. ПораженческиеОт DDOS невозможно защититься В общем же случае, речь идет о противостоянии людей и техники, алюдям свойственно ошибаться. Это выражается в том, что у атак естьпочерк (типовые пакеты, типовые обращения), а это значит, что их можновыявлять и на этом строить защиту.Защитить от DDOS могут только провайдеры Да, действительно, провайдеры могут помочь в отражении атаки. Ноэто не их бизнес. Услуги по защите от DDoS скорее направлены на защитусобственной инфраструктуры. В остальном, зачастую, провайдеры используют типовые методызащиты, основанные на общесетевой статистике.Все равно мне забьют канал… Это вполне возможно. Но наша система защиты – это несколькораспределенных точек, которые подключены к сети Интернет настолькопроизводительными каналами связи, что может вобрать в себя атаку любойсложности.PAGE 27 | | 07 June 2012
  27. 27. ОптимистичныеЯ читал о том, как можно настроить сервер, чтобы он устоял Да, такие рекомендации существуют. Они действительноповышают устойчивость сервера к атакам на 200-300 %. Но требуетсяне менее 1000 процентов «запаса».Я распределил ресурсы, арендовал несколько IP-адресов исоздал производительный кластер Атака, чаще всего, бывает направлена на DNS-имя ресурса.Кроме того, в случае атаки на полосу пропускания, кластеризациялюбая вычислительная мощность сервера будет бесполезна. Я арендовал достаточный канал Это поможет, но лишь отчасти. Например, мощность каналаможет оказаться достаточной для того, чтобы исчерпать ресурсысервера приложений.PAGE 28 | | 07 June 2012
  28. 28. Где установить защиту?PAGE 29 | | 07 June 2012
  29. 29. Kaspersky DDoS Preventionё Без атакиВо времяатакиPAGE 30 | | 07 June 2012
  30. 30. Демо. Результаты работы системы.PAGE 31 | | 07 June 2012
  31. 31. Демо. ОтчетыPAGE 32 | | 07 June 2012
  32. 32. Варианты решений защиты от DDoS-атак Самостоятельно построить защиту Обратиться к сервис провайдеру Использовать функции защиты входящие в программные комплексы для …………………………Может обратиться к профессионалам? Подключение к специализированным сервисам, осуществляющим защиту от DDoS-атакPAGE 33 | | 07 June 2012
  33. 33. Ключевые особенности Kaspersky DDoS Prevention Защита любых сервисов и приложений Собственная технологическая платформа 5 лет опыта Единое решение, не зависящее от текущих поставщиков Интернет-услуг Глобальная распределенная система фильтрации Внедрение без инфраструктурных изменений Мониторинг аномалий в режиме 24х7 Аналитическое сопровождение атакиPAGE 36 | | 07 June 2012
  34. 34. Thank YouСавельев МихаилМенеджер проектов Kaspersky Lab Russia Департамент стран EEMEA

×