Репутация превыше всего!            БЕЗМАЛЫЙ В.Ф.        MVP CONSUMER SECURITY  MICROSOFT SECURITY TRUSTED ADVISOR        ...
Угрозы: сложнее, быстрее, чаще
Увы Антивирусным компаниям для  блокирования Web-угроз  необходимо от 4,6 до 92,5 часаhttp://nsslabs.com/host-malware-pro...
Процесс защиты пользователя от момента появления  угрозы до установки антивирусных обновлений
Что такоесервисрепутации?
Технологии, включаемые в сервисы репутации•    Whitelisting — белые списки     программного обеспечения.•    Web Reputatio...
Сервис репутации в браузерах URL Reputation Service (URS) - оценка репутаций веб-страниц, сайтов и ссылок Application Re...
Блокирование вредоносного кода в тесте NSS Labs
Результаты блокирования вредоносных ссылок на            русскоязычных ресурсах
Почему? Основным каналом при добавлении сайта в список  репутаций является поисковая система. В данном случае система Bi...
Тестирование сервиса репутации бесплатных                         антивирусов•   Следует учесть, что большинство сайтов с ...
Как это работает?НА ПРИМЕРЕ KASPERSKY SECURITY          NETWORK
Ключевое отличие «облаков» Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анали...
Сбор статистики по шаблонам поведения программ                         Информация о поведении                         прог...
Urgent Detection System Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Det...
Схема работы Kaspersky Security Network• Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (...
Технологии, используемые в KSN Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и е...
Расширенная облачная защита для корпоративных                    клиентов Облачные технологии (данные из Kaspersky Securi...
Сервис репутации в бесплатных антивирусах и плагинах к                      браузерам Ключевым является отличие в наполне...
Как это работает? (на примере Trend Micro и продуктов                 «Лаборатории Касперского») Пользователь запускает н...
Преимущества Скорость реакции. Скрытая логика принятия решений. Выявление не только новых недетектируемых угроз, но и и...
Преимущества Полнота выявляемых угроз. Минимизация ложных срабатываний. Уровень ложных срабатываний при детектировании ...
Преимущества Простота автоматизации процессов детектирования Использование «облачной» защиты позволяет минимизировать ра...
Недостатки Детектирование только по хэш-функции объекта Проблема с трафиком на «узких» каналах (DialUp/GPRS/etc.) Работ...
«Облачный» подход: универсальная таблетка или                  модный пиар? Не стоит рассматривать антивирусные «облака» ...
LURK
Спасибо за внимание        БЕЗМАЛЫЙ В.Ф.   MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED           ADVISOR   CYBERCOP@O...
Upcoming SlideShare
Loading in …5
×

Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности

1,049 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,049
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности

  1. 1. Репутация превыше всего! БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM
  2. 2. Угрозы: сложнее, быстрее, чаще
  3. 3. Увы Антивирусным компаниям для блокирования Web-угроз необходимо от 4,6 до 92,5 часаhttp://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html
  4. 4. Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений
  5. 5. Что такоесервисрепутации?
  6. 6. Технологии, включаемые в сервисы репутации• Whitelisting — белые списки программного обеспечения.• Web Reputation — репутация Web- сайтов.• Email Reputation — репутация источника электронной почты.• File Reputation — репутация файла.• Smart Feedback — технология сравнения и анализа поведения По версии «Лаборатории Касперского»
  7. 7. Сервис репутации в браузерах URL Reputation Service (URS) - оценка репутаций веб-страниц, сайтов и ссылок Application Reputation Service (ARS) - оценка репутации загружаемых файлов.
  8. 8. Блокирование вредоносного кода в тесте NSS Labs
  9. 9. Результаты блокирования вредоносных ссылок на русскоязычных ресурсах
  10. 10. Почему? Основным каналом при добавлении сайта в список репутаций является поисковая система. В данном случае система Bing просто отнесла сайты, которые участвовали в тесте, в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше. Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. При посещении сайтов менее популярных толку от них, увы, немного.
  11. 11. Тестирование сервиса репутации бесплатных антивирусов• Следует учесть, что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми) сегодня живут не дольше 72 часов.•• А значит, вообще не попадают в поле зрения бесплатных антивирусов.
  12. 12. Как это работает?НА ПРИМЕРЕ KASPERSKY SECURITY NETWORK
  13. 13. Ключевое отличие «облаков» Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются. После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.
  14. 14. Сбор статистики по шаблонам поведения программ Информация о поведении программ, запускаемых на компьютере пользователя, отправляется в «Лабораторию Касперского», где данные анализируются и сравниваются с репутацией этих программ Если программа выполняет действие, характерное для вредоносной программы, шаблон ее поведения добавляется в антивирусные базы «Лаборатории Касперского»
  15. 15. Urgent Detection System Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS) Эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз.
  16. 16. Схема работы Kaspersky Security Network• Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN.• Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System.• Легитимные файлы вносятся в белые списки (Whitelisting).
  17. 17. Технологии, используемые в KSN Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN. Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных. Используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).
  18. 18. Расширенная облачная защита для корпоративных клиентов Облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.). При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.
  19. 19. Сервис репутации в бесплатных антивирусах и плагинах к браузерам Ключевым является отличие в наполнении базы репутаций Базы репутаций обновляются исключительно по жалобам пользователей.
  20. 20. Как это работает? (на примере Trend Micro и продуктов «Лаборатории Касперского») Пользователь запускает неизвестный файл. Локальный антивирус проверяет его — файл чист. Однако показывает, что файл странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения. В итоге файл блокируется, а его действия откатываются.
  21. 21. Преимущества Скорость реакции. Скрытая логика принятия решений. Выявление не только новых недетектируемых угроз, но и источников их распространения.
  22. 22. Преимущества Полнота выявляемых угроз. Минимизация ложных срабатываний. Уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования
  23. 23. Преимущества Простота автоматизации процессов детектирования Использование «облачной» защиты позволяет минимизировать размеры скачиваемых пользователем AV- баз.
  24. 24. Недостатки Детектирование только по хэш-функции объекта Проблема с трафиком на «узких» каналах (DialUp/GPRS/etc.) Работа только с исполняемыми файлами Ненадежность сети (есть/нет) Отсутствие аутентификации и проверки корректности отправляемых источниками данных.
  25. 25. «Облачный» подход: универсальная таблетка или модный пиар? Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя. Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой.
  26. 26. LURK
  27. 27. Спасибо за внимание БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COMHTTP://BEZMALY.WORDPRESS.COM

×