1 / 78

Сервисы репутаций в информационной безопасности

Сервисы репутаций в информационной безопасности . Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com.

francis-alvarez
Download Presentation

Сервисы репутаций в информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Сервисы репутаций в информационной безопасности Безмалый В.Ф. MVP Consumer Security Microsoft Security Trusted Advisor vladb@wondowslive.com http://bezmaly.wordpress.com

  2. Автор выражает особую признательность Михаилу Кондрашину, директору ЗАО АПЛ, эксперту по продуктам и сервисам TrendMicro за помощь в подготовке раздела Trend Micro

  3. Необходимость появления сервисов репутации

  4. Бот-конструктор AldiBot • Лаборатория G DataSecurityLabs обнаружила распродажу ботнетов. • Программа-билдер+ бот + обновления + помощь в инсталляции = €10. Несколько дней назад цена достигла €5 Евро. • Для новичков проводится курс «Молодого бойца». Используется TeamViewer, чтобы сделать покупателей более готовыми к атаке. • Наличие дешевого вредоносного кода на рынке, делает организацию DDoS-атаки легким способом заработать деньги.

  5. По данным Лаборатории Касперского • 200 000 000 сетевых атак блокируется ежемесячно • 2 000 уязвимостей в приложениях обнаружено только в 2010 году • 70 000 вредоносных программ появляется ежедневно • 19 000 000 + новых вирусов появилось в 2010 году • 30 000+ новых угроз появляется в день • ежедневно появляется около 70 000 новых вредоносных программ.

  6. Рост числа уникальных вредоносных файлов, перехваченных «Лабораторией Касперского»

  7. Объем антивирусных обновлений (по данным "Лаборатории Касперского")

  8. Рост числа вирусов по версии компании G-Data

  9. Страшные цифры Интернет

  10. Сколько стоит пользователь Рунет

  11. Спасение в эвристических технологиях? • Эвристические технологии - методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. • Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак.

  12. Время, необходимое для блокирования web-угроз • По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ).

  13. Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений

  14. Что такое сервис репутации?

  15. Что такое сервис репутации? • Сервисы репутации показывают надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения. • При этом вычисление репутации производится на серверах соответствующего производителя в Интернет.

  16. Сервисы репутации в браузерах

  17. Google Chrome

  18. Как это работает • Google Chrome загружает и сохраняет на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса. • Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые ссылки хэшируются и сравниваются со списком.

  19. Как это работает • При совпадении первых 32 бит отправляется запрос на сервер и сравнивается полный хэш. • В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная.

  20. Как это работает • В случае, если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. • Эти данные хранятся в Google несколько недель.

  21. Как это работает • Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google . • Безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов. • Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

  22. Как это работает • Если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google.

  23. Как это работает • C 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же SafeBrowsing API. • Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

  24. Оповещения Google Chrome о фишинге и вредоносном ПО

  25. Антифишинговая защита в Opera • Используется функция «Защита от мошенничества» (FraudandMalwareProtection), включенная по умолчанию. • В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал: передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс». • Если доменное имя совпадет с именем из черного списка, сервер FraudandMalwareProtection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

  26. OperaFraudandMalwareProtectionserver не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. • Никакая сессионная информация, включая cookies, не сохраняется; • в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

  27. Предупреждение о мошенничестве

  28. Safari • Для поиска фишинговых сайтов используется технологии Google. • Как только пользователь пытается открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО.

  29. Предупреждение

  30. Фильтр SmartScreen в Internet Explorer 9 • Сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится. • В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов.

  31. Как это работает • Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

  32. Application Reputation Service (ARS) • При загрузке программы в IE9 идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью услуги репутации приложений в облаке. • Если программа имеет репутацию, то предупреждение отсутствует.

  33. Application Reputation Service (ARS) • Если же файл будет загружаться с вредоносного сайта, IE9 блокирует закачку, так же, как и IE8. • Если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

  34. Три способа защиты от мошеннических и вредоносных узлов • Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится. • Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов. • Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

  35. Как это работает • Во избежание задержек обращения к URS производятся асинхронно, так что на работе пользователя это не отражается. • Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen.

  36. Как это работает • В фильтре SmartScreen применяется механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети. • Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах.

  37. Как это работает • Для защиты от фишинга и эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. • Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально.

  38. Как это работает • По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. • Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. • Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

  39. Сервисы репутаций в антивирусах

  40. Kaspersky Security Network

  41. Основные вопросы, которые стоят перед антивирусной индустрией в последнее время • Как сделать процессы защиты автоматическими, чтобы противодействовать лавинообразному потоку угроз? • Как минимизировать размеры антивирусных баз, сохраняя при этом уровень защиты на высоком уровне? • Как значительно увеличить скорость реакции на появляющиеся угрозы?

  42. Общение пользователей с серверами обновлений (было)

  43. Общение пользователя с «облаком» (стало)

  44. Основные принципы работы KasperskySecurityNetwork • Географически распределенный мониторинг актуальных угроз на компьютерах пользователей • Мгновенная доставка собранных данных на серверы «Лаборатории Касперского» • Анализ полученной информации • Разработка и применение мер по защите от новых угроз.

  45. Ключевое отличие «облаков» • Если технологии предыдущего поколения (например, те же сигнатуры) работали с файловыми объектами, то антивирусные «облака» работают с метаданными. • Допустим, есть файл — это объект. Метаданные — это данные об этом файле: уникальный идентификатор файла (хэш-функция), информация о том, каким образом он появился в системе, как себя вел и т.д.

  46. Ключевое отличие «облаков» • Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются. • Такой подход позволяет практически в реальном времени собирать информацию от десятков миллионов добровольных участников распределенной антивирусной сети с целью выявления недетектируемых вредоносных программ. • После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.

  47. Как это работает • В KasperskySecurityNetwork автоматически поступает информация о попытках заражения, которая затем передается экспертам «Лаборатории Касперского». Также собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника их получения (веб-сайты, почтовые вложения, одноранговые сети и т.д.). • Для отправки информации в KSN требуется согласие пользователя. • Конфиденциальная информация – пароли и другие личные данные – в KSN не передается.

  48. Если по завершении проверки программа признается вредоносной, данные о ней поступают в UrgentDetectionSystem (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз. • Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы, которые, как правило, обновляются раз в несколько часов.

  49. Пример • Юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. • Оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё.

  50. Пример • Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. • Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

More Related