ݺߣ

ݺߣShare a Scribd company logo

Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности

UISGCON
UISGCON
1 of 27
Репутация превыше всего! БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM
Угрозы: сложнее, быстрее, чаще
Увы  Антивирусным компаниям для блокирования Web-угроз необходимо от 4,6 до 92,5 часа http://nsslabs.com/host-malware-protection/q2-2010-endpoint- protection-product-group-test-report.html
Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений
Что такое сервис репутации?
Технологии, включаемые в сервисы репутации • Whitelisting — белые списки программного обеспечения. • Web Reputation — репутация Web- сайтов. • Email Reputation — репутация источника электронной почты. • File Reputation — репутация файла. • Smart Feedback — технология сравнения и анализа поведения По версии «Лаборатории Касперского»
Сервис репутации в браузерах  URL Reputation Service (URS) - оценка репутаций веб-страниц, сайтов и ссылок  Application Reputation Service (ARS) - оценка репутации загружаемых файлов.
Блокирование вредоносного кода в тесте NSS Labs
Результаты блокирования вредоносных ссылок на русскоязычных ресурсах
Почему?  Основным каналом при добавлении сайта в список репутаций является поисковая система.  В данном случае система Bing просто отнесла сайты, которые участвовали в тесте, в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше.  Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. При посещении сайтов менее популярных толку от них, увы, немного.
Тестирование сервиса репутации бесплатных антивирусов • Следует учесть, что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми) сегодня живут не дольше 72 часов. • • А значит, вообще не попадают в поле зрения бесплатных антивирусов.
Как это работает? НА ПРИМЕРЕ KASPERSKY SECURITY NETWORK
Ключевое отличие «облаков»  Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются.  После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.
Сбор статистики по шаблонам поведения программ Информация о поведении программ, запускаемых на компьютере пользователя, отправляется в «Лабораторию Касперского», где данные анализируются и сравниваются с репутацией этих программ  Если программа выполняет действие, характерное для вредоносной программы, шаблон ее поведения добавляется в антивирусные базы «Лаборатории Касперского»
Urgent Detection System  Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS)  Эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз.
Схема работы Kaspersky Security Network • Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN. • Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. • Легитимные файлы вносятся в белые списки (Whitelisting).
Технологии, используемые в KSN  Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.  Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.  Используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).
Расширенная облачная защита для корпоративных клиентов  Облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.).  При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.
Сервис репутации в бесплатных антивирусах и плагинах к браузерам  Ключевым является отличие в наполнении базы репутаций  Базы репутаций обновляются исключительно по жалобам пользователей.
Как это работает? (на примере Trend Micro и продуктов «Лаборатории Касперского»)  Пользователь запускает неизвестный файл. Локальный антивирус проверяет его — файл чист. Однако показывает, что файл странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения.  В итоге файл блокируется, а его действия откатываются.
Преимущества  Скорость реакции.  Скрытая логика принятия решений.  Выявление не только новых недетектируемых угроз, но и источников их распространения.
Преимущества  Полнота выявляемых угроз.  Минимизация ложных срабатываний.  Уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования
Преимущества  Простота автоматизации процессов детектирования  Использование «облачной» защиты позволяет минимизировать размеры скачиваемых пользователем AV- баз.
Недостатки  Детектирование только по хэш-функции объекта  Проблема с трафиком на «узких» каналах (DialUp/GPRS/etc.)  Работа только с исполняемыми файлами  Ненадежность сети (есть/нет)  Отсутствие аутентификации и проверки корректности отправляемых источниками данных.
«Облачный» подход: универсальная таблетка или модный пиар?  Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя.  Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой.
LURK
Спасибо за внимание БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM

More Related Content

Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности

  • 1. Репутация превыше всего! БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM
  • 3. Увы  Антивирусным компаниям для блокирования Web-угроз необходимо от 4,6 до 92,5 часа http://nsslabs.com/host-malware-protection/q2-2010-endpoint- protection-product-group-test-report.html
  • 4. Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений
  • 6. Технологии, включаемые в сервисы репутации • Whitelisting — белые списки программного обеспечения. • Web Reputation — репутация Web- сайтов. • Email Reputation — репутация источника электронной почты. • File Reputation — репутация файла. • Smart Feedback — технология сравнения и анализа поведения По версии «Лаборатории Касперского»
  • 7. Сервис репутации в браузерах  URL Reputation Service (URS) - оценка репутаций веб-страниц, сайтов и ссылок  Application Reputation Service (ARS) - оценка репутации загружаемых файлов.
  • 9. Результаты блокирования вредоносных ссылок на русскоязычных ресурсах
  • 10. Почему?  Основным каналом при добавлении сайта в список репутаций является поисковая система.  В данном случае система Bing просто отнесла сайты, которые участвовали в тесте, в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше.  Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. При посещении сайтов менее популярных толку от них, увы, немного.
  • 11. Тестирование сервиса репутации бесплатных антивирусов • Следует учесть, что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми) сегодня живут не дольше 72 часов. • • А значит, вообще не попадают в поле зрения бесплатных антивирусов.
  • 12. Как это работает? НА ПРИМЕРЕ KASPERSKY SECURITY NETWORK
  • 13. Ключевое отличие «облаков»  Выявление новых угроз в «облаках» осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются.  После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.
  • 14. Сбор статистики по шаблонам поведения программ Информация о поведении программ, запускаемых на компьютере пользователя, отправляется в «Лабораторию Касперского», где данные анализируются и сравниваются с репутацией этих программ  Если программа выполняет действие, характерное для вредоносной программы, шаблон ее поведения добавляется в антивирусные базы «Лаборатории Касперского»
  • 15. Urgent Detection System  Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS)  Эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз.
  • 16. Схема работы Kaspersky Security Network • Информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN. • Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. • Легитимные файлы вносятся в белые списки (Whitelisting).
  • 17. Технологии, используемые в KSN  Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.  Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.  Используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).
  • 18. Расширенная облачная защита для корпоративных клиентов  Облачные технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.).  При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.
  • 19. Сервис репутации в бесплатных антивирусах и плагинах к браузерам  Ключевым является отличие в наполнении базы репутаций  Базы репутаций обновляются исключительно по жалобам пользователей.
  • 20. Как это работает? (на примере Trend Micro и продуктов «Лаборатории Касперского»)  Пользователь запускает неизвестный файл. Локальный антивирус проверяет его — файл чист. Однако показывает, что файл странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения.  В итоге файл блокируется, а его действия откатываются.
  • 21. Преимущества  Скорость реакции.  Скрытая логика принятия решений.  Выявление не только новых недетектируемых угроз, но и источников их распространения.
  • 22. Преимущества  Полнота выявляемых угроз.  Минимизация ложных срабатываний.  Уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования
  • 23. Преимущества  Простота автоматизации процессов детектирования  Использование «облачной» защиты позволяет минимизировать размеры скачиваемых пользователем AV- баз.
  • 24. Недостатки  Детектирование только по хэш-функции объекта  Проблема с трафиком на «узких» каналах (DialUp/GPRS/etc.)  Работа только с исполняемыми файлами  Ненадежность сети (есть/нет)  Отсутствие аутентификации и проверки корректности отправляемых источниками данных.
  • 25. «Облачный» подход: универсальная таблетка или модный пиар?  Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя.  Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой.
  • 26. LURK
  • 27. Спасибо за внимание БЕЗМАЛЫЙ В.Ф. MVP CONSUMER SECURITY MICROSOFT SECURITY TRUSTED ADVISOR CYBERCOP@OUTLOOK.COM HTTP://BEZMALY.WORDPRESS.COM