Presentation was created for IDC Security Roadshow 2012 Ekaterinburg

1. Анализ функциональности репутационных
сервисов

2. Актуальные типы угроз
• Хищение данных
• Несанкционированное
изменение данных
• Прерывание сервиса

3. Немного статистики
35 000
Типов вредоносного ПО 150 Дневной объем спама
30 000
Тыс. Млрд.
25 000
100
20 000
15 000
10 000 50
5 000
0
0
2007 2008 2009
2007 2008 2009
5 000 400% Динамика роста сигнатур для IPS
Вредоносных ссылок
4 500
Тыс.
4 000
300%
3 500
3 000
2 500 200%
2 000
1 500
100%
1 000
500
0 0%
2007 2008 2009 2007 2008 2009
По данным McAfee

4. Свойства «вредоносов»
• Средства обхода антивирусных систем
• Незаметность для конечного пользователя
• Связь с центром управления через SSL-тоннель

5. Пример заражения
Начало атаки Реализация атаки Завершение атаки
Пользователь с Web-сайт эксплуатирует Вредонос запускается и
уязвимым браузером уязвимость; зловред открывает
заходит на скачивается на бэкдор, позволяющий
скомпрометированый пользовательскую получить доступ к важной
web-сайт систему информации

6. Ключевые векторы атаки
• Почтовые сообщения
• Зараженные файлы
• Вредоносные ссылки
• Сетевые атаки

7. Идеология построения систем ИБ
• Эшелонированная защита (Defence-in-depth):
– Защита на уровне сети, рабочей станции, сервера
– Использование различных механизмов обнаружения
вредоносного ПО
– Использование продуктов различных вендоров
Периметр
Сеть
Хост
Приложение
Данные

8. Требования к системе обнаружения вредоносного ПО
• Оперативность
• Минимальное влияние на производительность работы
пользователей
• Низкий уровень ложных срабатываний

9. Механизмы обнаружения вредоносного ПО
• Сигнатурный
• Эвристический
• Белые/черные списки
• Репутационный

10. Сигнатурный анализ
Обнаружение вредоносов, по характерному отпечатку
(сигнатуре)
Преимущества:
• Низкий процент ложных срабатываний
Проблемы:
• Необходимо постоянное обновление БД
• При росте количества вредоносов БД будет расти, занимая
больше места и снижая производительность
• Не работает против неизвестных вредоносов

11. Эвристический анализ
Обнаружение вредоносов по поведению на хосте
Преимущества:
• Механизм не зависит от базы данных сигнатур
Недостатки:
• Высокий уровень ложных срабатываний при «строгих»
настройках
• Низкий уровень эффективности при «мягких» настройках

12. Черные/белые списки
Проверка запуска процессов/запущенных программ
– Запрет запуска определенного набора ПО (черный
список)
– Разрешение запуска явно определенного набора ПО
(белый список)
Преимущества:
• Снижение зависимости безопасности серверов от обновлений
ПО, которые не могут быть поставлены оперативно
• Возможность работы без обновлений антивирусных баз
Недостатки:
• Трудоемкий процесс поддержания списков в актуальном
состоянии

13. Репутационный анализ
Хеш (или контрольная сумма) проверяемого объекта (файла,
почтового сообщения, URL-ссылки) отправляется в
облачный сервис, который возвращает репутацию объекта
(плохой, скорее плохой, средний, скорее хороший, хороший)
Преимущества:
• Мгновенная реакция на изменение репутации объекта
• Минимальные затраты ресурсов (временных,
вычислительных) на проверку объектов
• Возможность кросс-векторного анализа объектов (URL-ссылка
из спам-письма будет также иметь плохую репутацию)
Недостатки:
• Необходимость постоянного подключения к Интернет
• Дополнительный входящий-исходящий трафик
• Зависимость от функционирования облачного сервиса

14. Эффективность репутационного анализа (почта)
Облачный
Локальный
Интернет
Статистический
Репутация Репутация Анализ и эвристический Почтовый
IP-адреса сообщения соединения анализ сервер
Фильтрация ~ 99.5% спама
Фильтрация ~ 90% спама
Фильтрация ~ 80% спама
Фильтрация ~ 50% спама

15. Эффективность репутационного анализа (файлы)
Обнаружено с помощью сигнатур
Обнаружено с помощью репутационного сервиса
McAfee GTI
140,000
120,000 Увеличение эффективности
100,000 на 35%
80,000
Увеличение
60,000 эффективности на
25%
40,000
20,000
-
Sep/10 Oct/10 Nov/10 Dec/10
По данным McAfee

16. Источники
• Исследовательские лаборатории
• Интернет-сканеры
• Развернутые продукты
Чем больше узлов, работающих с сервисом – тем
он эффективнее!

17. Сравнительный анализ
Вендор Blue Coat Check point Cisco Ironport Kaspersky
Cisco IronPort
Blue Coat Web Check Point Kaspersky Security
Название Pulse ThreatCloud
SenderBase
Network
Security Network
URL-ссылки, URL-ссылки, URL-ссылки,
Вектор URL-ссылки, сетевые почтовые почтовые
анализа файлы подключения, сообщения, сообщения,
файлы файлы файлы
Уровень
Сеть Сеть Сеть Хост/Сеть
защиты
Kaspersky Internet
Security, Kaspersky
Cisco Email
Check Point Endpoint
Продукты Blue Coat ProxySG
Security Gateway
Security; Cisco
Protection,
Web Security
Kaspersky Mail
Security
Гранулярная Обнаружение и Старейшая сеть,
Особенности работа с Web- защита от бот- представлена в
страницами сетей 2003 г.

18. Сравнительный анализ
Вендор McAfee Symantec Palo Alto
Symantec Insight/
Global Threat
Название Intelligence
Global Intelligence Palo Alto WildFire
Network
URL-ссылки, сетевые URL-ссылки,
Вектор анализа подключения, файлы, почтовые сообщения, файлы
почтовые сообщения файлы
Уровень защиты Хост/Сеть Хост/Сеть Сеть
McAfee Total Protection,
McAfee DLP, McAfee Risk
Norton Internet Security,
Advisor, McAfee Web
Symantec Endpoint
Gateway, McAfee Mail
Продукты Gateway, McAfee Network
Protection 12, Symantec ПАК Palo Alto Firewall
Web Gateway, Symantec
Security Platform, McAfee
Messaging Gateway
Enterprise Security
Manager
Кросс-векторный
Автоматическая
Особенности репутационный
генерация сигнатур
анализ

19. Примеры реализации репутационных сервисов

20. Kaspersky Security Network
Задача:
Защита домашних и корпоративных рабочих станций от вредоносных
файлов, почтовых собщений, URL-ссылок
В каких продуктах используется:
• Домашние, начиная с Kaspersky Internet Security 2009
• Корпоративные, начиная с Kaspersky Endpoint Security 8 for Windows
• Kaspersky Security для почтовых серверов
Антивирусные агенты отправляют в облако:
• Информацию о контрольных суммах обрабатываемых файлов
• Информацию для определения репутации URL
• Статистические данные для защиты от спама

21. Check Point ThreatCloud
Задача:
Защита корпоративной сети на уровне сети от вредоносного ПО,
обнаружение активности бот-сетей
В каких продуктах используется:
• Программные и аппаратные межсетевые экраны на базе Check Point
Security Gatewayя R75.40
Отправляет в облако:
• Информацию о типе зафиксированной атаки
• IP-адрес источника атаки
Особенности:
• Обнаружение в проверяемом трафике признаков коммуникации ботов
и центров управления
• Блокировка взаимодействия ботов и командных центров бот-сетей

22. McAfee Global Threat Intelligence
Задача:
Защита корпоративных пользователей от вредоносного ПО, спама,
сетевых атак
В каких продуктах используется:
• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз, антивирус для
рабочих станций, SIEM и др.
Отправляет в облако:
• Хеши проверяемых объектов
• IP-адреса, с которых был получены вредоносные файлы, спам-
сообщения
• URL-ссылки, на которых найдены вредоносные элементы
Особенности:
• Интеграция с большим количеством продуктов
• Кросс-векторный анализ репутаций объектов

23. Резюме
• Современное вредоносное ПО крайне сложно остановить
• Необходим системный подход – эшелонированная защита,
комбинация различных механизмов обнаружения
вредоносного ПО
• Репутационные сервисы значительно повышают
эффективность средств ИБ

24. Спасибо за внимание!
TopS Business Integrator
105082, Москва, ул. Большая Почтовая, д.18
тел.: (495) 797-9966, факс: (495) 797-9967, e-mail: info@topsbi.ru