Сервисы репутации в информационной безопасности

1. Сервисы репутаций в
информационной безопасности
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
vladb@wondowslive.com
http://bezmaly.wordpress.com

2. Автор выражает
особую
признательность
Михаилу
Кондрашину, директор
у ЗАО АПЛ, эксперту по
продуктам и сервисам
Trend Micro за помощь
в подготовке раздела
Trend Micro
2

3. КИБЕРУГРОЗЫ И
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ В
КОРПОРАТИВНОМ СЕКТОРЕ:
ТЕНДЕНЦИИ В МИРЕ И В
УКРАИНЕ
3

4. Текущая ситуация
 2006: Новая вредоносная программа
каждую минуту
 2011: Новая вредоносная программа
каждую СЕКУНДУ
4

5. Киберугрозы в корпоративном
сегменте
97% 91% 48% 48% 45% 32%
сталкивались отметили рост числа теряли
c внешними кибератак конфиденциальные
киберугрозами данные из-за
вирусных атак
5

6. 69% 57% 30% 32% 17% 23% 25% 25% 21% 27%
считают, что считают, что боятся облачных считают считают сетевые
к значительным мобильные технологий и вирусы, черви, шп вторжения/хакерск
рискам для устройства рассматривают ионское ПО ие атаки наиболее
бизнеса приводит представляют их скорее как наиболее значимой значимой внешней
использование слишком угрозу угрозой угрозой
сотрудниками большой риск IT-безопасности в будущем 6
социальных медиа для бизнеса

7. Защита киберпространства компаний
81% 72% 25% 36% 19% 33%
запрещают или ограничивают используют антивирусную являются фаталистами, считая,
доступ к соцсетям защиту, клиентские сетевые что «большинство проблем с IT-
экраны, резервное копирование безопасностью невозможно
данных, патч-менеджмент в предугадать, поэтому нет смысла
полном объеме даже пытаться предотвратить все
возможные проблемы» 7

8. Рост значимости IT-угроз. Прогноз
Специально
созданный e-mail с
вредоносным
вложением
Использование на Вредоносны Это Вредоносная После команды Данные
работе зараженного й код приводит к программа с удаленного загружаются
съемного диска эксплуатиру тому, что устанавлива сервера на сервер
ет другая ет вредоносная преступников
Переход по
«зараженной» уязвимость вредоносна соединение программа
ссылке в в я с удаленным получает доступ
социальной сети популярной программа сервером к
Посещение программе запускается конфиденциаль
легитимного, но с высокими -ным данным
взломанного сайта. привилегия
Результат - drive-by ми
атака
считают, что
через два года считают
43% 46%
киберугрозы
будут одним из 48% 15%
киберугрозы
одним из трех
трех наиболее наиболее
значимых рисков значимых
для бизнеса рисков для
бизнеса
8

9. Выводы
 В Украине наблюдается хороший уровень
осведомленности об основных киберугрозах, но
при этом уровень инвестиций в области
кибербезопасности совершенно недостаточен и
ниже среднемировых показателей.
 91% компаний во всем мире сталкивались с
киберугрозами за последние 12 месяцев. В Украине
таких компаний – 97%.
 Только 35% украинских компаний считают нынешний
уровень инвестиций в ИТ безопасность достаточным (по
сравнению с 55% в мире).
 Только 25% компаний в Украине полностью внедрили
набор базовых технологий ИТ безопасности
(антивирус, сетевой экран, резервное копирование и
обновления программ), что ниже мирового уровня
(36%) 9

10. Технологии защиты в новых
корпоративных решениях
Итак, в течение года в Украине:
97% компаний столкнулись сИБ бы одним
инцидентом в области
хотя
81% атак были связаны с заражением
вредоносным ПО
Контрол
ь
Внешние
устройств
устройст
48% компаний отметили рост числа атак в
а
45% компаний потеряли конфиденциальные данные
Контроль
приложен
ий
Веб-
Интернет- контроль
угрозы
10

11. НЕОБХОДИМОСТЬ
ПОЯВЛЕНИЯ СЕРВИСОВ
РЕПУТАЦИИ
11

12. Бот-конструктор Aldi Bot
 Лаборатория G Data Security Labs обнаружила
распродажу ботнетов.
 Программа-билдер + бот + обновления +
помощь в инсталляции = €10. Несколько дней
назад цена достигла €5 Евро.
 Для новичков проводится курс «Молодого
бойца». Используется TeamViewer, чтобы
сделать покупателей более готовыми к атаке.
 Наличие дешевого вредоносного кода на
рынке, делает организацию DDoS-атаки легким
способом заработать деньги.
12

13. По данным Лаборатории
Касперского
 200 000 000 сетевых атак
блокируется ежемесячно
 2 000 уязвимостей в приложениях
обнаружено только в 2010 году
 70 000 вредоносных программ
появляется ежедневно
 19 000 000 + новых вирусов
появилось в 2010 году
 30 000+ новых угроз появляется в
день
 ежедневно появляется около 70 000
новых вредоносных программ. 13

14. Рост числа уникальных вредоносных
файлов, перехваченных «Лабораторией
Касперского»
14

15. Объем антивирусных обновлений
15
(по данным "Лаборатории Касперского")

16. Рост числа вирусов по версии
компании G-Data
16

17. Страшные цифры Интернет
17

18. Сколько стоит пользователь Рунет
18

19. Спасение в эвристических
технологиях?
 Эвристические технологии - методики
детектирования не на основе
сигнатуры, а с использованием методов
искусственного интеллекта,
встраиваемого в антивирус.
 Лучшие примеры реализации
эвристического анализа
обеспечивают уровень
обнаружения в пределах 50-70%
для знакомых семейств вирусов и
совершенно бессильны перед
совершенно новыми видами атак.
19

20. Время, необходимое для
блокирования web-угроз
 По данным исследования,
проведенного во втором квартале
2010 года компанией NSS Labs,
время, необходимое
антивирусным компаниям для
блокирования web-угроз,
составляет от 4,62 до 92,48 часа
(http://nsslabs.com/host-malware-
protection/q2-2010-endpoint-
protection-product-group-test-
report.html ). 20

21. Процесс защиты пользователя от момента
появления угрозы до установки антивирусных
обновлений
21

22. ЧТО ТАКОЕ СЕРВИС
РЕПУТАЦИИ?
22

23. Что такое сервис репутации?
 Сервисы репутации показывают
надежность того или иного источника
(почта, интернет), показывают
репутацию (насколько широко
применяется, является ли
злонамеренным) того или иного
программного обеспечения.
 При этом вычисление репутации
производится на серверах
соответствующего производителя в
Интернет.
23

24. СЕРВИСЫ РЕПУТАЦИИ В
БРАУЗЕРАХ
24

25. Google Chrome
25

26. Как это работает
 Google Chrome загружает и
сохраняет на вашем ПК
обновленные списки зараженных
сайтов через 5 минут после
запуска, а затем с интервалом в
полчаса.
 Для ускорения применяется
хэширование ссылок по алгоритму
SHA-256. При этом в список заносятся
только первые 32 бита из 256. Все
посещаемые ссылки хэшируются и
сравниваются со списком.
26

27. Как это работает
 При совпадении первых 32 бит
отправляется запрос на сервер и
сравнивается полный хэш.
 В случае полного совпадения
выводится уведомление о том, что
данная страница может
расцениваться как вредоносная.
27

28. Как это работает
 В случае, если компьютер
обращается в Google для запроса
информации о конкретном
фрагменте URL или для обновления
списка, будет отправлен
стандартный набор данных, в том
числе ваш IP-адрес, а иногда и файл
cookie.
 Эти данные хранятся в Google
несколько недель.
28

29. Как это работает
 Вся информация, полученная таким
образом, защищается в соответствии со
стандартными условиями политики
конфиденциальности Google .
 Безопасный просмотр защищает от
целевого фишинга (так называемого spear-
phishing), при котором сайт может быть еще
не зарегистрирован в Google списках
опасных сайтов.
 Для этого Chrome анализирует содержание
сайта и, если оно кажется
подозрительным, выдает предупреждение.
29

30. Как это работает
 Если вы решили предоставлять Google
статистику об использовании и зашли
на сайт, который может оказаться
опасным, в Google отправляются и
некоторые другие данные, в том числе
полный URL посещаемой
страницы, заголовок
referer, отправленный на эту
страницу, и URL, совпавший с одним из
адресов в списке вредоносного ПО
функции Безопасного просмотра
Google. 30

31. Как это работает
 C 5 апреля 2011 года Google Chrome
научился блокировать загрузку
вредоносных файлов с помощью того же
Safe Browsing API.
 Отключить эту функцию можно в меню
«Параметры – Расширенные –
Конфиденциальность». Для этого
достаточно снять флажок «Включить
защиту от фишинга и вредоносного ПО».
31

32. Оповещения Google Chrome о
фишинге и вредоносном ПО
Сообщение Значение
Внимание! Это сообщение
Обнаружена отображается для сайтов,
проблема. которые Google Chrome
определяет как
потенциально содержащие
вредоносное ПО.
Внимание! Возможно, Это сообщение появляется,
этот сайт создан с когда Google Chrome
целью фишинга обнаруживает, что
посещаемый вами сайт
подозревается в фишинге.
32

33. Антифишинговая защита в Opera
 Используется функция «Защита от мошенничества»
(Fraud and Malware Protection), включенная по
умолчанию.
 В начале каждого сеанса с конкретным веб-сайтом
она проверяет адрес, используя шифрованный канал:
передает имя домена и адрес запрашиваемой
страницы на специальный сервер, где ищет его в
черных списках фишинговых ссылок, формируемых
Netcraft (www.netcraft.com) и PhishTank
(www.phishtank.com), а также в списках сайтов с
вредоносным ПО, которые ведет «Яндекс».
 Если доменное имя совпадет с именем из черного
списка, сервер Fraud and Malware Protection возвратит
браузеру XML-документ, в котором будет описана
проблема (фишинг или вредоносное ПО).
33

34.  Opera Fraud and Malware Protection
server не сохраняет IP-адрес
пользователя или любую другую
идентифицирующую его информацию.
 Никакая сессионная
информация, включая cookies, не
сохраняется;
 в любое время можно отключить
функцию «Защита от мошенничества»
в меню «Настройки - Расширенные
(Crtl-F12) - Безопасность».
34

35. Предупреждение о мошенничестве
35

36. Safari
 Для поиска фишинговых сайтов
используется технологии Google.
 Как только пользователь пытается
открыть подозрительную страницу в
Safari, браузер соединяется с Google
и запрашивает информацию из двух
основных баз Google: базы
фишинговых ссылок и базы ссылок
вредоносного ПО.
36

37. Предупреждение
37

38. Фильтр SmartScreen в Internet
Explorer 9
 Сравнение адреса посещаемого сайта
со списком известных мошеннических и
вредоносных сайтов. Если сайт найден
в этом списке, больше проверок не
производится.
 В противном случае он анализируется
на предмет наличия
признаков, характерных для
мошеннических сайтов. Также
возможна отправка адреса того
сайта, куда пользователь собирается
зайти, онлайн-службе
Microsoft, которая ищет его в списке 38
фишинговых и вредоносных сайтов.

39. Как это работает
 Для защиты от фишинга и
эксплойтов фильтр SmartScreen
исследует строку URL целиком, а не
подмножество адресов URL, на
которые заходил пользователь, а
значит, службе URL Reputation
Service (URS) могут быть переданы
личные сведения, поскольку иногда
они находятся в самой строке URL.
39

40. Application Reputation Service (ARS)
 При загрузке программы в IE9
идентификатор файла и издателя
приложения (если оно подписано
цифровой подписью) отправляются
на проверку с помощью услуги
репутации приложений в облаке.
 Если программа имеет репутацию, то
предупреждение отсутствует.
40

41. Application Reputation Service (ARS)
 Если же файл будет загружаться с
вредоносного сайта, IE9 блокирует
закачку, так же, как и IE8.
 Если файл не имеет репутации, IE
покажет это в строке уведомления и
менеджере загрузки, что позволит
принять обоснованное решение о
доверии к этому файлу.
41

42. Три способа защиты от
мошеннических и вредоносных узлов
 Сравнение адреса посещаемого сайта со
списком известных сайтов. Если сайт найден в
этом списке, больше проверок не
производится.
 Анализ сайта на предмет наличия признаков,
характерных для мошеннических сайтов.
 Отправка адреса сайта, на который
пользователь собирается зайти, онлайн-службе
Microsoft, которая ищет сайт в списке
фишинговых и вредоносных сайтов. При этом
доступ к онлайн-службе производится
асинхронно по SSL-соединению, так что это не
сказывается на скорости загрузки страниц.
42

43. Как это работает
 Во избежание задержек обращения к
URS производятся асинхронно, так что
на работе пользователя это не
отражается.
 Чтобы уменьшить сетевой трафик, на
клиентском компьютере хранится
зашифрованный DAT-файл со списком
тысяч наиболее посещаемых узлов; все
включенные в этот список узлы не
подвергаются проверке фильтром
SmartScreen.
43

44. Как это работает
 В фильтре SmartScreen применяется
механизм локального кэширования
адресов URL, позволяющий сохранять
ранее полученные рейтинги узлов и
избежать лишних обращений по сети.
 Один из способов выявления
потенциально подставных
узлов, применяемый службой URS, —
сбор отзывов пользователей о ранее
неизвестных узлах.
44

45. Как это работает
 Для защиты от фишинга и
эксплойтов фильтр SmartScreen
исследует строку URL целиком, а не
подмножество адресов URL, на
которые заходил пользователь.
 Фильтр SmartScreen можно включать
или отключать избирательно для
каждой зоны безопасности, но
только в том случае, когда эта
функция включена глобально.
45

46. Как это работает
 По умолчанию фильтр SmartScreen включен
для всех зон, кроме местной интрасети.
 Если вы захотите исключить некоторые
узлы из списка проверяемых фильтром
SmartScreen, но не отключать при этом
фильтр полностью, то необходимо включить
фильтр глобально, а затем отключить
фильтрацию только для зоны «Надежные
узлы», после чего конкретные узлы
добавить в эту зону.
 Для того чтобы пользователи в организации
не могли отключить фильтр
SmartScreen, необходимо применить
групповую политику.
46

47. СЕРВИСЫ РЕПУТАЦИЙ В
АНТИВИРУСАХ
47

48. KASPERSKY
SECURITY
NETWORK
48

49. Основные вопросы, которые стоят перед
антивирусной индустрией в последнее время
 Как сделать процессы защиты
автоматическими, чтобы
противодействовать
лавинообразному потоку угроз?
 Как минимизировать размеры
антивирусных баз, сохраняя при
этом уровень защиты на высоком
уровне?
 Как значительно увеличить скорость
реакции на появляющиеся угрозы?
49

50. Общение пользователей с
серверами обновлений (было)
50

51. Общение пользователя с «облаком»
(стало)
51

52. Основные принципы работы
Kaspersky Security Network
 Географически распределенный
мониторинг актуальных угроз на
компьютерах пользователей
 Мгновенная доставка собранных
данных на серверы «Лаборатории
Касперского»
 Анализ полученной информации
 Разработка и применение мер по
защите от новых угроз.
52

53. Ключевое отличие «облаков»
 Если технологии предыдущего
поколения (например, те же
сигнатуры) работали с файловыми
объектами, то антивирусные «облака»
работают с метаданными.
 Допустим, есть файл — это объект.
Метаданные — это данные об этом
файле: уникальный идентификатор
файла (хэш-функция), информация о
том, каким образом он появился в
системе, как себя вел и т.д.
53

54. Ключевое отличие «облаков»
 Выявление новых угроз в «облаках»
осуществляется по метаданным, сами
файлы при первичном анализе в «облако»
не передаются.
 Такой подход позволяет практически в
реальном времени собирать информацию от
десятков миллионов добровольных
участников распределенной антивирусной
сети с целью выявления недетектируемых
вредоносных программ.
 После обработки метаданных информация о
только что появившемся вредоносном
контенте транслируется всем участникам
информационной сети.
54

55. Как это работает
 В Kaspersky Security Network автоматически
поступает информация о попытках
заражения, которая затем передается
экспертам «Лаборатории Касперского». Также
собирается информация о подозрительных
файлах, загруженных и исполняемых на
компьютерах пользователей, независимо от
источника их получения (веб-сайты, почтовые
вложения, одноранговые сети и т.д.).
 Для отправки информации в KSN требуется
согласие пользователя.
 Конфиденциальная информация – пароли и
другие личные данные – в KSN не передается.
55

56.  Если по завершении проверки программа
признается вредоносной, данные о ней
поступают в Urgent Detection System (UDS), и
эта информация становится доступной
пользователям «Лаборатории Касперского»
еще до создания соответствующей сигнатуры и
включения ее в обновления антивирусных баз.
 Таким образом, клиенты «Лаборатории
Касперского» получают оперативную
информацию о новых и неизвестных угрозах
спустя считанные минуты после начала
кибератаки, в то время как традиционные
антивирусные базы, которые, как
правило, обновляются раз в несколько часов.
56

57. Whitelisting
 В отличие от сигнатурного метода
(пытается найти «плохого» по
внешним признакам), вайтлистинг
знает кто «хороший»
(например, заведомо безопасное
приложение, которое проверено у
нас по программе Whitelist).
 В начале сентября в базе было около
300 миллионов проверенных
файлов. 57

58. Whitelisting
 Кроме того можно запустить
программу в
изолированной, безопасной
среде (Safe Run) или посмотреть
репутацию файла в KSN
 В среднем каждую секунду KSN
получает 400 тысяч таких
запросов.
58

59. 59

60. К чему это всѐ и чем это лучше
традиционного подхода?
 Сегодня каждый день детектируется
порядка 70 тыс. вредоносов, а что
будет завтра?
 Сейчас среднее время выпуска
обновления – всего 40 секунд.
 А вайтлистинг точно знает то, что
уже проверено и гарантировано
чисто.
60

61. К чему это всѐ и чем это лучше
традиционного подхода?
 Whitelisting повышает
производительность антивируса –
ему не надо проверять файлы из
белого списка.
 Такой подход называется ―Default
Deny‖ – сначала всѐ запретить,
потом разрешить только безопасное.
61

62. Технологии облачной защиты
62

63. Wisdom of the Crowd
 Используется технология Wisdom of
the Crowd (WoC), предоставляющая
информацию о степени
популярности программы и ее
репутации среди пользователей KSN.
63

64. Глобальные рейтинги безопасности
 Последние версии продуктов
«Лаборатории Касперского»
позволяют получать данные
Глобальных рейтингов безопасности
(GSR) непосредственно из «облака».
Рейтинг (GSR) каждой программы
рассчитывается с помощью
специального алгоритма и широкого
набора репутационных данных.
64

65. KSN сегодня
300 000 000 файлов в
белых списках
1 000 000 новых
файлов в день
Время реакции
40 секунд
Обнаружение 1 400 000
вредоносных файлов
в день
65

66. Итог
 В Kaspersky Security Network
используется сочетание сигнатурных
и эвристических методов
детектирования вредоносных
программ, технологии контроля
программ с использованием белых и
черных списков и репутационных
сервисов (WoC и GSR).
66

67. Пример
 Юзер запускает ранее неизвестный
файл. Локальный антивирус проверяет
его всеми доступными инструментами –
чисто. Спрашиваем облако – нет
данных. Ок – даѐм добро на запуск.
 Оказывается, что он как-то странно
прописывает себя в реестр, пытается
получить доступ к системным сервисам,
устанавливает подозрительные
соединения, имеет двойное
расширение (jpg.exe) или что-то ещѐ.
67

68. Пример
 Сигнал поступает в KSN, где система
автоматически вычисляет репутацию файла
(веса всех признаков и действий) и принимает
решение о детекте. В результате на
защищѐнный компьютер отправляется команда
«фас», файл блокируется, а его действия
откатываются.
 Разумеется, чем больше сообщений об одном и
том же файле с разных компьютеров, тем более
высокий приоритет обработки и выше точность
и критичность вердикта. Появись такой файл
на других компьютерах, подключѐнных к KSN –
им сразу говорится, что опасно и не надо
экспериментировать.
68

69. Пример 2
 Сразу несколько пользователей скачали файл по
одной и той же ссылке. Но каждый раз у файла
разный хэш.
 KSN начинает раскручивать дело и
видит, что, например, сайт зарегистрирован
всего пару дней назад, на нѐм «висит» какой-
нибудь iframe или с него раньше уже
рассылались зараженные файлы. И снова облако
вычисляет репутацию и посылает команду
блокировать как сам файл, так и доступ к сайту.
 Важно: благодаря такому подходу в среднем
между детектом и вердиктом проходит всего
лишь 40 сек! 69

70. Пример 2
 Другая система
выкачивает из сети
тот самый
подозрительный
файл и передаѐт его
на анализ
автоматическому
обработчику.
 Этот обработчик
разрабатывает и
тестирует знакомые
всем обновления и
выкладывает на
серверы для скачки.
70

71. Программа, запускаемая
пользователем,
проверяется по белым
спискам и базе UDS. В
зависимости от результатов
этой проверки программа
получает права доступа к
ресурсам компьютера или
блокируется.
71

72. Схема работы Kaspersky Security
Network
 Информация о запускаемых или
загружаемых приложениях и
посещаемых веб-страницах (URL)
отправляется в KSN с компьютеров, на
которых установлены последние
версии продуктов «Лаборатории
Касперского» для домашних и
корпоративных пользователей.
 Файлы и URL проверяются и, в случае
признания их
вредоносными, добавляются в базу
Urgent Detection System. Легитимные
файлы вносятся в белые списки
(Whitelisting).
72

73. Схема работы Kaspersky Security
Network
 Эксперты «Лаборатории Касперского»
анализируют подозрительные
файлы, определяют степень их опасности и
добавляют описание в базу сигнатур.
 Спустя считанные минуты информация о вновь
обнаруженных вредоносных и легитимных
файлах и URL становится доступна всем
пользователям продуктов «Лаборатории
Касперского» (не только пользователям
Kaspersky Security Network).
 По завершении анализа новой вредоносной
программы создается ее сигнатура, которая
включается в антивирусные базы, регулярно
обновляемые на компьютерах пользователей.
73

74. Технологии, используемые в
KSN
 В KSN также используется технология Wisdom of the
Crowd (WoC), предоставляющая информацию о
степени популярности программы и ее репутации
среди пользователей KSN.
 Данные Глобальных рейтингов безопасности (GSR)
непосредственно из «облака». Рейтинг (GSR) каждой
программы рассчитывается с помощью специального
алгоритма и широкого набора репутационных
данных.
 В Kaspersky Security Network используется сочетание
сигнатурных и эвристических методов
детектирования вредоносных программ, технологии
контроля программ с использованием белых и черных
списков и репутационных сервисов (WoC и GSR).
74

75. Расширенная облачная защита для
корпоративных клиентов
 Облачные технологии (данные из Kaspersky
Security Network) используются для создания
белых списков приложений. Известные
легитимные приложения автоматически
распределяются по категориям (игры,
коммерческое ПО и т.д.).
 Используя категории, системный администратор
может быстро настроить и применить правила
для определенных типов программ в
соответствии с корпоративной политикой
 При формировании белых списков приложений
используются данные, предоставляемые более
чем 200 ведущими производителями ПО. 75

76. Расширенная облачная защита для
корпоративных клиентов
 Инструмент для централизованного управления
Kaspersky Security Center дает возможность
тонкой настройки взимодействия с Kaspersky
Security Network для защиты узлов
корпоративной сети.
 Администратор может активировать или
отключить облачную защиту в различных
модулях Kaspersky Endpoint Security 8 для
Windows. Также есть возможность отключить
передачу данных в Kaspersky Security
Network, если этого требует корпоративная
политика безопасности.
76

77. Преимущества
 Скорость реакции.
 Скрытая логика принятия решений.
 Выявление не только новых
недетектируемых угроз, но и
источников их распространения.
77

78. Преимущества
 Полнота выявляемых угроз.
 Минимизация ложных срабатываний.
ак показывает практика, уровень
ложных срабатываний при
детектировании с помощью
«облаков», как минимум в 100 раз
ниже обычного сигнатурного
детектирования
78

79. Преимущества
 Простота автоматизации процессов
детектирования
 Использование «облачной» защиты
позволяет минимизировать размеры
скачиваемых пользователем AV-баз.
79

80. Недостатки
 Детектирование только по хэш-
функции объекта
 В первых версиях реализации
«облачной» инфраструктуры
используется детектирование только по
хэш-функциям. Однако в настоящее
время, понимая, что этого
недостаточно, компании внедряют и
другие подходы, которые позволяют по
одной «облачной» сигнатуре выявлять
целые семейства угроз (в том числе
полиморфные).
80

81. Недостатки
 Проблема с трафиком на «узких»
каналах (DialUp/GPRS/etc.)
 Работа только с исполняемыми
файлами
 Ненадежность сети (есть/нет)
 Отсутствие аутентификации и
проверки корректности
отправляемых источниками данных.
81

82. СЕРВИСЫ РЕПУТАЦИИ В
TREND MICRO
82

83. Trend Micro SPN
 Ключевой идеей этой системы была
концепция ―репутации‖, то есть
вынесения вердикта для ресурса
(файла, сайта, сообщения
электронной почты) только на
основе накопленных ранее данных.
 То есть, без необходимости
анализировать сам ресурс
непосредственно в момент
обращения к нему пользователя.
83

84. Методы отслеживания репутации в
SPN
 Формирование базы
ресурсов, например сайтов, и
отслеживание происходящих
изменений.
 Если, например, сайт слишком часто
меняет свой IP-адрес, то это типичный
признак вредоносного сайта. При этом
в чем собственно заключается его
вредоносность не известно.
 При попытке посетить этот
сайт, антивирус Trend Micro в реальном
времени сверяется с SPN и блокируется
доступ. 84

85.  SPN хранит базу репутации источников
сообщений электронной почты, а также
базу репутации отдельных файлов.
 Наличие всех трех баз, дает второй и
самый изощренный способ выявления
угроз.
 Разработчики Trend Micro называют
этот метод корреляцией. Суть метода в
том, что используя по информацию в
одних базах наполняются другие.
85

86. Технология Web Reputation
 Отслеживает надежность веб-сайтов и веб-страниц,
используя сведения о репутации доменов, содержащиеся в
одной из крупнейших в мире баз данных.
 Оценивает репутацию веб-доменов и отдельных страниц, а
также ссылок на веб-сайтах (поскольку законные сайты
периодически частично взламываются).
 Блокирует доступ пользователей к сомнительным или
зараженным сайтам.
86

87. Технология Email Reputation
 Проверяет IP-адреса по базе данных, содержащей
сведения об их репутации.
 Оценивает репутацию отправителей почтовых сообщений в
режиме реального времени.
 Постоянно анализирует IP-адреса, переоценивая
репутацию.
 Блокирует вредоносные почтовые сообщения и угрозы
(например, «зомби») в «облачной» среде до их
проникновения в систему.
87

88. Технология File Reputation
 Проверяет репутацию всех файлов по «облачной» базе
данных, прежде чем предоставить пользователям доступ к
ним.
 Минимизирует время задержки при проверке благодаря
использованию высокопроизводительных сетей для
доставки содержимого и локальных серверов кэширования.
 Использует архитектуру «облако — клиент», чтобы
уменьшить размер файла локальной антивирусной базы
данных и таким образом свести к минимуму угрозу
увеличения объемов (большое количество создаваемых за
день угроз).
88

89. Технология сравнения и анализа
поведения
 Сравнивает сочетания действий и
компоненты угрозы и
определяет, являются ли они
вредоносными.
 Постоянно обновляет множество баз
данных угроз, обеспечивая
реагирование на угрозы в режиме
реального времени.
89

90. Программа Smart Feedback
 Улучшенная комплексная защита пользователей
обеспечивается благодаря круглосуточному
взаимодействию продуктов Trend
Micro, исследовательских центров и технологий.
 Информация обо всех новых
угрозах, обнаруженных на клиентских
компьютерах в ходе плановых
проверок, автоматически заносится в вирусные
базы данных Trend Micro.
90

91. Пример
 Рассмотрим сообщение электронной почты, которое
приходит в ловушку для спама в TrendLabs с
известного источника спама.
 Если к сообщению прикреплен исполняемый файл, то
с него снимается контрольная сумма и она пополняет
базу репутации файлов. Одновременно этот файл
автоматически запускается в контролируемом
окружении и выявляется, например, что он загружает
из Интернета еще два каких-то исполняемых файла.
 Отметим, что именно такое поведение характерно для
популярных последнее время троянов семейства
Trojan.Downloader. Хеш-суммы загруженных файлов
также помещаются в базу репутации файлов, а
адреса, с которых производилась загрузка пополняют
базу репутации сайтов. Адреса, с которых
загружаются дополнительные компоненты также
помещаются в базу репутации сайтов.
91

92. Пример 2
 Если с серверов определенного
провайдера рассылается
подозрительно много спама, то и все
сайты, которые размещены у
данного провайдера получают
низкую репутацию. Разумеется, что
это не означает, что доступ к ним
однозначно блокируется, но им
оказывается более пристальное
внимание. 92

93. Пример 3
 Третьим способом определения
репутации ресурсов в базах SPN
является система обратной связи.
Фактически SPN учитывает обращение
клиентов Trned Micro к ней для ее
собственного пополнения.
 При выявлении спам-письма, IP-адрес
отправителя помещается в базу на
относительно короткий срок (в
пределах нескольких часов).

93

94. Пример 3
 Если же в течение этих нескольких
часов большое количество клиентов
Trend Micro обратиться к базе
репутации электронной почты, чтобы
свериться относительно репутации
данного адреса, то это явный признак
того, что адрес попал с базу не
случайно.
 Разумеется, что если все таки
произошла ошибка, у любого
пользователя всегда есть возможность
удалить свой адрес из базы.
94

95. СЕРВИСЫ РЕПУТАЦИИ В
ПРОДУКТАХ КОМПАНИИ
SYMANTEC
95

96.  Согласно Отчету Symantec об
угрозах Интернет-безопасности, в
2010 году зафиксировано более 286
миллионов уникальных вредоносных
программ.
96

97. Insight
 Для обеспечения защиты от сложных
и новейших угроз, Symantec
Endpoint Protection 12 использует
усовершенствованную технологию
Insight. Эта облачная технология
определения репутации файлов
обеспечивает защиту виртуальных
сред, основываясь на данных
сообщества пользователей
продуктов Symantec. 97

98. Insight
 Symantec собирает информацию о
том, какие исполняемые файлы
существуют в мире, когда они были
созданы, каким количеством людей
используются, откуда появляются и
т.д. Это позволяет без анализа
содержимого понять категорию
файла: опасный файл или нет.
98

99. Insight
 Symantec собирает информацию о
том, какие исполняемые файлы
существуют в мире, когда они были
созданы, каким количеством людей
используются, откуда появляются и
т.д. Это позволяет без анализа
содержимого понять категорию
файла: опасный файл или нет.
 Insight позволяет снизить на 70 %
нагрузку на рабочую станцию. 99

100. SONAR
 Используемая технология
SONAR, основанная на репутационно-
поведенческом подходе, позволяет
отслеживать работающие приложения на
предмет подозрительного поведения и
блокировать уязвимости нулевого дня и
узконаправленные угрозы в режиме
реального времени.
100

101. Гибридные технологии защиты
 Гибридные технологии защиты с
использованием облачной репутационной
технологии Insight сегодня представлены
как в домашних (Norton), так и в
корпоративных (Symantec Endpoint
Protection 12) продуктах Symantec для
защиты рабочих станций, серверов и
других устройств, подключенных к сети.
101

102. Гибридные технологии защиты
В облаке Symantec
содержатся анонимные
данные о распространении
более 2,5 миллиардов
файлов более чем на 175
миллионах компьютерах
клиентов
102

103. Shared Insight Cache
 Shared Insight Cache позволяет
производить сканирование любых файлов
всего лишь один раз на инфраструктуру.
Т.е. если на нескольких серверах или
рабочих станциях есть одинаковые
файлы, то лишь на одной машине файл
будет просканирован, а на всех остальных
машинах сканирование производиться не
будет.
103

104. «ОБЛАЧНЫЙ» ПОДХОД:
УНИВЕРСАЛЬНАЯ ТАБЛЕТКА
ИЛИ МОДНЫЙ ПИАР?
104

105.  Не стоит рассматривать антивирусные
«облака» в качестве обособленной
технологии защиты пользователя.
 Максимальная эффективность защиты
достигается при одновременном
использовании уже имеющихся
наработанных технологий защиты вместе с
«облачной» антивирусной системой.
 При таком объединении мы получаем
лучшее от обоих подходов: «облачную»
скорость реакции на неизвестные
угрозы, высокий уровень
детектирования, проактивность, низкий
уровень ошибок и полноту выявляемых
угроз. 105

106. Спасибо за внимание!
Вопросы? Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
vladb@wondowslive.com
http://bezmaly.wordpress.com