1. Анализ
функциональности
репутационных
сервисов
Москва 2013

2. Свойства зловредов
• Модуль обхода антивирусных систем
• Незаметность для конечного пользователя
• Связь с центром управления через SSL-тоннель

3. Требования к системе обнаружения
вредоносного ПО
• Оперативность
• Минимальное влияние на производительность работы пользователей
• Низкий уровень ложных срабатываний

4. Механизмы обнаружения вредоносного ПО
• Сигнатурный
• Эвристический
• Белые/черные списки
• Sandbox
• Репутационный

5. Сигнатурный анализ
Обнаружение зловредов, по характерному отпечатку
(сигнатуре)
Преимущества:
• Низкий процент ложных срабатываний
Проблемы:
• Необходимо постоянное обновление БД
• При росте количества вредоносов БД будет расти,
занимая больше места и снижая
производительность
• Не работает против неизвестных вредоносов

6. Эвристический анализ
Обнаружение зловредов по поведению на хосте
Преимущества:
• Механизм не зависит от базы данных сигнатур
Недостатки:
• Высокий уровень ложных срабатываний при
«строгих» настройках
• Низкий уровень эффективности при «мягких»
настройках

7. Черные/белые списки
Проверка запуска процессов/запущенных программ
– Запрет запуска определенного набора ПО
(черный список)
– Разрешение запуска явно определенного
набора ПО (белый список)
Преимущества:
• Снижение зависимости безопасности серверов от
обновлений ПО, которые не могут быть поставлены
оперативно
• Возможность работы без обновлений антивирусных
баз
Недостатки:
• Трудоемкий процесс поддержания списков в
актуальном состоянии

8. Sandbox
Отслеживание поведения зловреда в
виртуализованной оболочке
Преимущества:
• Механизм не зависит от базы данных сигнатур
• Анализ происходит до того момента, как
Недостатки:
• Ресурсоемкость
• Низкая эффективность против «спящих» вредоносов

9. Репутационный анализ
Хеш (или контрольная сумма) проверяемого объекта
(файла, почтового сообщения, URL-ссылки) отправляется
в облачный сервис, который возвращает репутацию
объекта (плохой, скорее плохой, средний, скорее
хороший, хороший)
Преимущества:
• Мгновенная реакция на изменение репутации объекта
• Минимальные затраты ресурсов (временных,
вычислительных) на проверку объектов
• Возможность кросс-векторного анализа объектов (URL-
ссылка из спам-письма будет также иметь плохую
репутацию)
Недостатки:
• Необходимость постоянного подключения к Интернет
• Дополнительный входящий-исходящий трафик
• Зависимость от функционирования облачного сервиса

10. Эффективность репутационного анализа
(почта)
Почтовый
сервер
Интернет
Облачный
Локальный
Анализ соединенияРепутация сообщенияРепутация IP-адреса
Статистический и
эвристический анализ
Фильтрация ~ 50% спама
Фильтрация ~ 80% спама
Фильтрация ~ 90% спама
Фильтрация ~ 99.5% спама

11. Эффективность репутационного анализа
(файлы)
-
20,000
40,000
60,000
80,000
100,000
120,000
140,000
Sep/10 Oct/10 Nov/10 Dec/10
Обнаружено с помощью сигнатур
Обнаружено с помощью репутационного сервиса McAfee GTI
Увеличение эффективности на 35%
Увеличение эффективности
на 25%
По данным McAfee

12. Источники
• Исследовательские лаборатории
• Интернет-сканеры
• Развернутые продукты
Чем больше узлов, работающих с сервисом –
тем он эффективнее!

13. Примеры реализации репутационных
сервисов

14. Kaspersky Security Network
Задача:
Защита домашних и корпоративных рабочих станций от
вредоносных файлов, почтовых сообщений, URL-ссылок
В каких продуктах используется:
• Домашние, начиная с Kaspersky Internet Security 2009
• Корпоративные, начиная с Kaspersky Endpoint Security 8
for Windows
• Kaspersky Security для почтовых серверов
Антивирусные агенты отправляют в облако:
• Информацию о контрольных суммах обрабатываемых
файлов
• Информацию для определения репутации URL
• Статистические данные для защиты от спама

15. Check Point ThreatCloud
Задача:
Защита корпоративной сети на уровне сети от вредоносного
ПО, обнаружение активности бот-сетей
В каких продуктах используется:
• Программные и аппаратные межсетевые экраны на базе
Check Point Security Gateway R75.40
Отправляет в облако:
• Информацию о типе зафиксированной атаки
• IP-адрес источника атаки
Особенности:
• Обнаружение в проверяемом трафике признаков
коммуникации ботов и центров управления
• Блокировка взаимодействия ботов и командных центров
бот-сетей

16. McAfee Global Threat Intelligence
Задача:
• Защита корпоративных пользователей от вредоносного ПО,
спама, сетевых атак
В каких продуктах используется:
• Межсетевой экран, cетевой IPS, Анти-спам, web-шлюз,
антивирус для рабочих станций, SIEM и др.
Отправляет в облако:
• Хеши проверяемых объектов
• IP-адреса, с которых был получены вредоносные файлы,
спам-сообщения
• URL-ссылки, на которых найдены вредоносные элементы
Особенности:
• Очень большое количество узлов работающих с системой
(100+ млн.)
• Кросс-векторный анализ репутаций объектов

17. Резюме
• Современное вредоносное ПО крайне сложно остановить
• Необходим системный подход – эшелонированная защита, комбинация различных
механизмов обнаружения вредоносного ПО
• Репутационные сервисы значительно повышают эффективность средств ИБ

18. Контактная информация:
Павел Коростелев
E-mail: p_korostelev@step.ru
Спасибо за внимание!