1 / 106

Сервисы репутаций в информационной безопасности

Сервисы репутаций в информационной безопасности . Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com.

kineks
Download Presentation

Сервисы репутаций в информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Сервисы репутаций в информационной безопасности Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com

  2. Автор выражает особую признательность Михаилу Кондрашину, директору ЗАО АПЛ, эксперту по продуктам и сервисам TrendMicro за помощь в подготовке раздела Trend Micro

  3. Киберугрозы и информационная безопасность в корпоративном секторе: тенденции в мире и в Украине

  4. Текущая ситуация • 2006: Новая вредоносная программа каждую минуту • 2011: Новая вредоносная программа каждую СЕКУНДУ

  5. Киберугрозы в корпоративном сегменте 97% 91% 48% 48% 45% 32% сталкивались c внешними киберугрозами теряли конфиденциальные данные из-за вирусных атак отметили рост числа кибератак

  6. 69% 57% 32% 30% 27% 25% 25% 23% 21% 17% считают, что к значительным рискам для бизнеса приводит использование сотрудниками социальных медиа считают, что мобильные устройства представляют слишком большой риск для бизнеса считают вирусы, черви, шпионское ПО наиболее значимой угрозой в будущем боятся облачных технологий и рассматривают их скорее как угрозу IT-безопасности считают сетевые вторжения/хакерские атаки наиболее значимой внешней угрозой

  7. Защита киберпространства компаний 81% 72% 36% 25% 33% 19% запрещают или ограничивают доступ к соцсетям используют антивирусную защиту, клиентские сетевые экраны, резервное копирование данных, патч-менеджмент в полном объеме являются фаталистами, считая, что «большинство проблем с IT-безопасностью невозможно предугадать, поэтому нет смысла даже пытаться предотвратить все возможные проблемы»

  8. Рост значимости IT-угроз. Прогноз 48% 46% 43% 15% считают, что через два года киберугрозы будут одним из трех наиболее значимых рисков для бизнеса считают киберугрозыодним из трех наиболее значимых рисков для бизнеса Специально созданный e-mail с вредоносным вложением Использование на работе зараженного съемного диска Вредоносная программа устанавливает соединение с удаленным сервером После команды с удаленного сервера вредоносная программа получает доступ к конфиденциаль-нымданным Вредоносный код эксплуатирует уязвимость в популярной программе Данные загружаются на сервер преступников Это приводит к тому, что другая вредоносная программа запускается с высокими привилегиями Переход по «зараженной» ссылке в социальной сети Посещение легитимного, но взломанного сайта. Результат - drive-by атака

  9. Выводы • В Украине наблюдается хороший уровень осведомленности об основных киберугрозах, но при этом уровень инвестиций в области кибербезопасности совершенно недостаточен и ниже среднемировых показателей. • 91% компаний во всем мире сталкивались с киберугрозами за последние 12 месяцев. В Украине таких компаний – 97%. • Только 35% украинских компаний считают нынешний уровень инвестиций в ИТ безопасность достаточным (по сравнению с 55% в мире). • Только 25% компаний в Украине полностью внедрили набор базовых технологий ИТ безопасности (антивирус, сетевой экран, резервное копирование и обновления программ), что ниже мирового уровня (36%)

  10. Технологии защиты в новых корпоративных решениях Итак, в течение годав Украине: 45% компаний потеряли конфиденциальные данные 97% 81% 48% компаний столкнулись с хотя бы одним инцидентом в области ИБ атак были связаны с заражением вредоносным ПО компаний отметили рост числа атак Контроль устройств Внешние устройства Контроль приложений Веб-контроль Интернет-угрозы

  11. Необходимость появления сервисов репутации

  12. Бот-конструктор AldiBot • Лаборатория G DataSecurityLabs обнаружила распродажу ботнетов. • Программа-билдер+ бот + обновления + помощь в инсталляции = €10. Несколько дней назад цена достигла €5 Евро. • Для новичков проводится курс «Молодого бойца». Используется TeamViewer, чтобы сделать покупателей более готовыми к атаке. • Наличие дешевого вредоносного кода на рынке, делает организацию DDoS-атаки легким способом заработать деньги.

  13. По данным Лаборатории Касперского • 200 000 000 сетевых атак блокируется ежемесячно • 2 000 уязвимостей в приложениях обнаружено только в 2010 году • 70 000 вредоносных программ появляется ежедневно • 19 000 000 + новых вирусов появилось в 2010 году • 30 000+ новых угроз появляется в день • ежедневно появляется около 70 000 новых вредоносных программ.

  14. Рост числа уникальных вредоносных файлов, перехваченных «Лабораторией Касперского»

  15. Объем антивирусных обновлений (по данным "Лаборатории Касперского")

  16. Рост числа вирусов по версии компании G-Data

  17. Страшные цифры Интернет

  18. Сколько стоит пользователь Рунет

  19. Спасение в эвристических технологиях? • Эвристические технологии - методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. • Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак.

  20. Время, необходимое для блокирования web-угроз • По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ).

  21. Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений

  22. Что такое сервис репутации?

  23. Что такое сервис репутации? • Сервисы репутации показывают надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения. • При этом вычисление репутации производится на серверах соответствующего производителя в Интернет.

  24. Сервисы репутации в браузерах

  25. Google Chrome

  26. Как это работает • Google Chrome загружает и сохраняет на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса. • Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые ссылки хэшируются и сравниваются со списком.

  27. Как это работает • При совпадении первых 32 бит отправляется запрос на сервер и сравнивается полный хэш. • В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная.

  28. Как это работает • В случае, если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. • Эти данные хранятся в Google несколько недель.

  29. Как это работает • Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google . • Безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов. • Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

  30. Как это работает • Если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google.

  31. Как это работает • C 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же SafeBrowsing API. • Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

  32. Оповещения Google Chrome о фишинге и вредоносном ПО

  33. Антифишинговая защита в Opera • Используется функция «Защита от мошенничества» (FraudandMalwareProtection), включенная по умолчанию. • В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал: передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс». • Если доменное имя совпадет с именем из черного списка, сервер FraudandMalwareProtection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

  34. OperaFraudandMalwareProtectionserver не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. • Никакая сессионная информация, включая cookies, не сохраняется; • в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

  35. Предупреждение о мошенничестве

  36. Safari • Для поиска фишинговых сайтов используется технологии Google. • Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО.

  37. Предупреждение

  38. Фильтр SmartScreen в Internet Explorer 9 • Сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится. • В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов.

  39. Как это работает • Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

  40. Application Reputation Service (ARS) • При загрузке программы в IE9 идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью услуги репутации приложений в облаке. • Если программа имеет репутацию, то предупреждение отсутствует.

  41. Application Reputation Service (ARS) • Если же файл будет загружаться с вредоносного сайта, IE9 блокирует закачку, так же, как и IE8. • Если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

  42. Три способа защиты от мошеннических и вредоносных узлов • Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится. • Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов. • Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

  43. Как это работает • Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя это не отражается. • Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen.

  44. Как это работает • В фильтре SmartScreen применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. • Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах.

  45. Как это работает • Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. • Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально.

  46. Как это работает • По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. • Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. • Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

  47. Сервисы репутаций в антивирусах

  48. Kaspersky Security Network

  49. Основные вопросы, которые стоят перед антивирусной индустрией в последнее время • Как сделать процессы защиты автоматическими, чтобы противодействовать лавинообразному потоку угроз? • Как минимизировать размеры антивирусных баз, сохраняя при этом уровень защиты на высоком уровне? • Как значительно увеличить скорость реакции на появляющиеся угрозы?

  50. Общение пользователей с серверами обновлений (было)

More Related