Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Лаборатория Касперского - Новинки в продуктовой линейке
1. Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
ИГОРЬ МАЛЫШЕВ
РЕГИОНАЛЬНЫЙ ПРЕДСТАВИТЕЛЬ
В ЮФО И СКФО
KASPERSKY LAB
НОВИНКИ В ПРОДУКТОВОЙ ЛИНЕЙКЕ
ЛАБОРАТОРИИ КАСПЕРСКОГО
EMAIL IGOR.MALYSHEV@KASPERSKY.COM
2. Миссия « »Лаборатории Касперского
• , –Мы считаем что каждый от домашнего
пользователя до крупного предприятия и
–правительства имеет право чувствовать себя в
. –безопасности Наша миссия защитить мир от
.киберугроз Мы создаем самые эффективные
, ,решения для защиты от вредоносного ПО спама
хакерских и DDoS- ,атак сложных инструментов для
, , . –кибершпионажа и наконец кибероружия Последнее
,самое опасное ведь оно нацелено на критически
,важные объекты инфраструктуры стран и его
использование может иметь поистине
. –катастрофические последствия Наша работа
.защищать пользователей от всех этих угроз
,Евгений Касперский
генеральный директор
« »Лаборатории Касперского
#CODEIB
Г. КРАСНОДАР
16 АПРЕЛЯ 2015
3. Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
• KASPERSKY ANTIVIRUS ДЛЯ
UEFI
• ЗАЩИТА ОТ DDOS АТАК
ПЛАН РАБОТЫ
5. Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
FAQ KASPERSKY ANTI-VIRUS ДЛЯ UEFI
?Что это за продукт
KUEFI – это средство независимой антивирусной проверки загрузочных и критически важных областей до старта
операционной системы
Что такое UEFI?
Спецификация, пришедшая на смену BIOS и использующаяся во всех современных ПК.
•Практически полноценная ОС
•Поддержка сторонних модулей
•Понятная среда разработки
•Возможность запускать сервисы, которые будут работать и после загрузки ОС
Зачем нужен KUEFI?
•Гарантированная антивирусная проверка
•Эффективное обнаружение Руткитов и Буткитов
6. Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
КАК ЭТО РАБОТАЕТ
Технологическое партнёрство с компанией KRAFTWAY
Продукт интегрирован в Secure Shell – оболочку безопасности, обеспечивающую доверенную загрузку
Материнская плата ПК
SPI Flash память
EFI-модуль Secure Shell
Замок KUEFI
Прочие модули, службы
и доверенные драйверы
7. КАК ЭТО РАБОТАЕТ
Secue shell
Kaspersky AntiVirus
Загрузка ОС
Запуск ПК
Загрузка UEFI
Передача управления
Secure Shell
Антивирусное
сканирование
Угрозы не найдены –
продолжение работы
UEFI и запуск ОС
Обнаружена угроза –
Блокировка загрузки ОС
UEFI ОСОС
Загрузка ОС
ОС
#CODEIB
Г. КРАСНОДАР
16 АПРЕЛЯ 2015
8. /ОБНАРУЖЕНИЕ РУТКИТОВ БУТКИТОВ
Операционная Система Загрузка ОС
Сигнатурный Анализ
Поведенческий анализ
Заражение Перезагрузка
Буткит разворачивает механизмы
самозащиты и сокрытия вредоносной активности
UEFI Операционная система
Возможные методы обнаружения угрозы
«Жизненный цикл» угрозы
UEFI
#CODEIB
Г. КРАСНОДАР
16 АПРЕЛЯ 2015
12. Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
KASPERSKY DDOS PREVENTION. РЕЗУЛЬТАТ РАБОТЫ
Защита любых сервисов и приложений
Собственная технологическая платформа
-Не зависит от поставщиков Интернет
услуг
Глобальная распределенная система
фильтрации
24Мониторинг в режиме x7
Аналитическое сопровождение атаки
Гарантии по времени обнаружения
аномалий и оповещению
Гарантии по качеству фильтрации
Входящий
трафик
Очищенный и
доставленный трафик
13. СПАСИБО ЗА ВНИМАНИЕ!
ИГОРЬ МАЛЫШЕВ
РЕГИОНАЛЬНЫЙ ПРЕДСТАВИТЕЛЬ В ЮФО И СКФО,
KASPERSKY LAB
EMAIL IGOR.MALYSHEV@KASPERSKY.COM
Г. КРАСНОДАР
16 АПРЕЛЯ 2015#CODEIB
Notes de l'éditeur
Рассмотрим процедуру запуска ПК и ранней антивирусной проверки на шкале времени.
Итак, после подачи питания, происходит первичная инициализация оборудования, никакого «интеллекта» или вектора атаки здесь еще нет.
Затем стартует UEFI, и как только это становится возможным, управление передается Secure Shell. За приоритет загрузки средств защиты отвечает сборщик BIOS (Производитель ПК).
Оболочка выполняет процедуру авторизации пользователя, подгружает нужные драйверы, строит сетевое соединение с сервером безопасности (отдельная система, не KSC).
Как только все готово, стартует KUEFI. Определяет наличие актуальных баз, затем интеллектуально строит список файлов для проверки, которые будут использоваться при загрузки конкретной ОС в конкретном случае (на основе разбора данных реестра, списков автозагрузки, итп). Так же мы проверим рабочий стол.
После чего приступает к антивирусному сканированию. В силу спицифики, приоритет отдается сигнатурному анализу, эвристики есть, но «придушены», чтобы не увеличивать время загруки ПК драматически без повода. Базы также оптимизированы и содержат все актуальные угрозы для региона + полный список руткитов и буткитов.
Если все хорошо – продолжается процесс загрузки ПК. При этом SPI Flash блокируется на запись, и «выключить» наш антивирус из ОС будет не возможно, не перезагрузившись и не пройдя повторно авторизацию в BIOS в роли администратора.
Если же найдена угроза – то процесс загрузки прекращается, об инциденте докладывается на сервер безопасности. На экране поялвяется требование позвать администратора.
Авторизовавшись по токену, он сможет продолжить загрузку ОС и вылечить руткит или другую угрозу утилитами, уже зная о его существовании и конкрентных зараженных областях.
Остановимся подробнее на руткитах и буктитах, поскольку KUEFI выводит уровень борьбы с ними на новый уровень.
Итак, руткит, и его подвид – буткит – это тип зловреда, который заражает системные и загрузочные области с целью перехватить управление на себя в процессе загрузки ОС, получить привелегии доступа выше ОС (и, соответственно, выше всех антивирусных продуктов) для того, чтобы затруднить его обнаружение стандартными средствами.
Найти активный руктит обычным сигнатурным анализом после того, как компьютер будет перезагружен, и зловред «развернет» свою маскировку, будет практически невозможно.
В двух словах он не будет позволять проверять те места, где прячется, либо будет подменять результаты проверки на отрицательные.
Поэтому современные антивирусные продукты уровня ОС «ловят» руткиты при помощи сигнатур поведенческих, определяя зловреда по вторичным проявлениям его деятельности.
Этот метод работает, и вполне достойно защищает от такого типа угроз.
Однако, ввиду того, что поведенческие сигнатуры появляются позже, чем статистические (сами элементы вредонсного кода руткита известны и редко меняются, постоянно же морфируют его применения и методы сокрытия деятельности, которые на основе этого кода создают злоумышленники), получается, что гарантированная проверка до того, как руткит начинает защищаться при каждом старте ОС, резко повышает шансы его обнаружить.