2. Свойства зловредов
• Модуль обхода антивирусных систем
• Незаметность для конечного пользователя
• Связь с центром управления через SSL-тоннель
3. Требования к системе обнаружения
вредоносного ПО
• Оперативность
• Минимальное влияние на производительность работы пользователей
• Низкий уровень ложных срабатываний
5. Сигнатурный анализ
Обнаружение зловредов, по характерному отпечатку
(сигнатуре)
Преимущества:
• Низкий процент ложных срабатываний
Проблемы:
• Необходимо постоянное обновление БД
• При росте количества вредоносов БД будет расти,
занимая больше места и снижая
производительность
• Не работает против неизвестных вредоносов
6. Эвристический анализ
Обнаружение зловредов по поведению на хосте
Преимущества:
• Механизм не зависит от базы данных сигнатур
Недостатки:
• Высокий уровень ложных срабатываний при
«строгих» настройках
• Низкий уровень эффективности при «мягких»
настройках
7. Черные/белые списки
Проверка запуска процессов/запущенных программ
– Запрет запуска определенного набора ПО
(черный список)
– Разрешение запуска явно определенного
набора ПО (белый список)
Преимущества:
• Снижение зависимости безопасности серверов от
обновлений ПО, которые не могут быть поставлены
оперативно
• Возможность работы без обновлений антивирусных
баз
Недостатки:
• Трудоемкий процесс поддержания списков в
актуальном состоянии
8. Sandbox
Отслеживание поведения зловреда в
виртуализованной оболочке
Преимущества:
• Механизм не зависит от базы данных сигнатур
• Анализ происходит до того момента, как
Недостатки:
• Ресурсоемкость
• Низкая эффективность против «спящих» вредоносов
9. Репутационный анализ
Хеш (или контрольная сумма) проверяемого объекта
(файла, почтового сообщения, URL-ссылки) отправляется
в облачный сервис, который возвращает репутацию
объекта (плохой, скорее плохой, средний, скорее
хороший, хороший)
Преимущества:
• Мгновенная реакция на изменение репутации объекта
• Минимальные затраты ресурсов (временных,
вычислительных) на проверку объектов
• Возможность кросс-векторного анализа объектов (URL-
ссылка из спам-письма будет также иметь плохую
репутацию)
Недостатки:
• Необходимость постоянного подключения к Интернет
• Дополнительный входящий-исходящий трафик
• Зависимость от функционирования облачного сервиса
14. Kaspersky Security Network
Задача:
Защита домашних и корпоративных рабочих станций от
вредоносных файлов, почтовых сообщений, URL-ссылок
В каких продуктах используется:
• Домашние, начиная с Kaspersky Internet Security 2009
• Корпоративные, начиная с Kaspersky Endpoint Security 8
for Windows
• Kaspersky Security для почтовых серверов
Антивирусные агенты отправляют в облако:
• Информацию о контрольных суммах обрабатываемых
файлов
• Информацию для определения репутации URL
• Статистические данные для защиты от спама
15. Check Point ThreatCloud
Задача:
Защита корпоративной сети на уровне сети от вредоносного
ПО, обнаружение активности бот-сетей
В каких продуктах используется:
• Программные и аппаратные межсетевые экраны на базе
Check Point Security Gateway R75.40
Отправляет в облако:
• Информацию о типе зафиксированной атаки
• IP-адрес источника атаки
Особенности:
• Обнаружение в проверяемом трафике признаков
коммуникации ботов и центров управления
• Блокировка взаимодействия ботов и командных центров
бот-сетей
16. McAfee Global Threat Intelligence
Задача:
• Защита корпоративных пользователей от вредоносного ПО,
спама, сетевых атак
В каких продуктах используется:
• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз,
антивирус для рабочих станций, SIEM и др.
Отправляет в облако:
• Хеши проверяемых объектов
• IP-адреса, с которых был получены вредоносные файлы,
спам-сообщения
• URL-ссылки, на которых найдены вредоносные элементы
Особенности:
• Очень большое количество узлов работающих с системой
(100+ млн.)
• Кросс-векторный анализ репутаций объектов
17. Резюме
• Современное вредоносное ПО крайне сложно остановить
• Необходим системный подход – эшелонированная защита, комбинация различных
механизмов обнаружения вредоносного ПО
• Репутационные сервисы значительно повышают эффективность средств ИБ