По каким критериям выбирается антивирус?

2

• По рекомендациям знакомых

• По количеству побед в “независимых тестированиях”

• Пришел шеф и сказал, какой на самом деле продукт нужно использовать

3

А какую задачу в организации должен выполнять антивирус?

4

В большинстве случаев считается, что задача антивируса – не допустить ни одной вредоносной программы в локальную сеть

Но это ответ, устаревший на кучку лет

5

Каков итог такого подхода?

6

Как правило в компании или организации установлен антивирус, а иногда и иные средства обеспечения

безопасности. Приняты документы по ИБ

7

Антивирус «тормозит»!

Ваш антивирус пропустил вирус! Мы переходим на

другой!

8

Чуть-чуть статистики

9

0

2

4

6

8

10

12

Попытки Хищения

2010 год2011 год

2010г.:- 2 из 6 попыток успешные (33%);- посягательств на 4,8 млн.руб.,- похищено 175 тыс.руб. (4%) - средняя сумма хищения 90 тыс. руб.

2011г.:- 9 из 23 попыток успешные (~40%);- посягательств на 12 млн.руб.- похищено 8,5 млн.руб. (70%) - средняя сумма хищения 450 тыс. руб.

млн. руб.

10

По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”

11

• По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра и внутренних сетей понизился.

• Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация. Для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак

• Получение полного контроля над важными ресурсами из внутренней сети теперь возможно для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. В 71% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies

12

• с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.

• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем.

• В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies

Только три примера новых угроз:

• Троян-шифровальщик для шифрования файлов, хранящиеся в сетевых хранилищах производства компании Synology.

http://news.drweb.com/show/?c=5&i=5890&lng=ru

• Трояны для блокировки Android устройств и кражи с них денежных средств

http://news.drweb.com/show/?c=5&i=5886&lng=ruhttp://news.drweb.com/show/?c=5&i=5815&lng=ru

• Хакеры могут следить за пользователями, даже не расшифровывая трафик

http://www.securitylab.ru/news/456716.php

13

Троян, предназначенный для удаления на инфицированном компьютере других вредоносных программ.

http://news.drweb.com/show/?c=5&i=5813&lng=ru

В этих условиях за чистотой в сети начинают следить уже вирусы

14

Несмотря на значительные вложения в информационную безопасность компании и

организации беззащитны-

при полной уверенности как руководства, так и сотрудников ИТ-

отделов в обратном

15

Традиционные вопросы:

• Почему так?

• Что делать?

16

Причина раз

Качественное изменение угроз и неосведомленность об этом пользователей

17

Сколько вредоносных файлов приходит на анализ ежедневно

?

100?

1000?

18

Ежедневно на анализ в антивирусную лабораторию поступает более 200 тысяч

новых вирусов

19

По данным Dr.Web Virus Analysts Web Site

250 тысяч

в день

И это далеко не все, что создано…

20

Вредоносные программы разрабатываются не хакерами-одиночками, но криминальными структурами, что позволяет “выпускать на рынок” вредоносные программы, протестированные на необнаружение антивирусами

Справка. Тесты на обнаружение неизвестных вирусов определяют возможность обнаружения угроз подобных ранее известным и ничего не говорят о возможности решения противостоять угрозе, заточенной на необнаружение конкретным решением

21

http://updates.drweb.com/ - ТОЛЬКО для обновлений за 2012-03-02: Trojan.Carberp.14(2) Trojan.Carberp.15(7) Trojan.Carberp.194 Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198 Trojan.Carberp.199 Trojan.Carberp.200 Trojan.Carberp.201 Trojan.Carberp.202 Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206 Trojan.Carberp.207 Trojan.Carberp.208(14) Trojan.Carberp.209 Trojan.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214 Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218 Trojan.Carberp.219 Trojan.Carberp.220 Trojan.Carberp.221 Trojan.Carberp.222 Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227 Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231 Trojan.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235 Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239 Trojan.Carberp.240 Trojan.Carberp.241 Trojan.Carberp.242 Trojan.Carberp.243 Trojan.Carberp.244 Trojan.Carberp.245 Trojan.Carberp.246 Trojan.Carberp.247 Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251 Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255 Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259 Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263 Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267 Trojan.Carberp.29(14) Trojan.Carberp.33(10) Trojan.Carberp.45(4) Trojan.Carberp.5(3) Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80

22

Троянцы семейства Trojan.Carberp нацелены на хищение денежных средств компаний и частных лиц. Распространяется Trojan.Carberp с использованием набора эксплоитов Black Hole Exploit Kit — коллекции уязвимостей, эксплуатирующих ошибки и недокументированные возможности современного ПО, в частности, браузеров и операционных систем. В большинстве случаев жертве Black Hole не нужно предпринимать вообще никаких действий для того, чтобы «получить троянца»: заражение происходит автоматически при просмотре инфицированных веб-сайтов

Разработкой и “продвижением” Trojan.Carberp занимается организованная группа: разработчики находятся в одной стране, сервера, с которых непосредственно распространяется троян – в другой, организаторы – в третьей

23

Trojan.Carberp для перехвата связанной с работой ДБО информации использует различные методы:

логирование нажатий пользователем клавиш, вклинивание в HTTP-трафик в поисках учетных данных и

передаваемых значений экранных форм, встраивание в процессы программ системы банк-клиент, создание скриншотов в моменты ввода важной информации, перехваты отдельных функций, которые могут участвовать в

передаче данных, поиск и похищение сертификатов и ключей.

Все варианты троянцев зашифрованы вирусными упаковщиками. Среди команд, которые способен выполнять Trojan.Carberp, имеются директивы запуска произвольных файлов на инфицированном компьютере, команда установки сеанса «удаленного рабочего стола» по протоколу RDP, и даже удаления на зараженном ПК операционной системы.

24

Современные вредоносные программы:• Отлично маскируются в системе. Trojan.Carberp запускаясь на

инфицированной машине, предпринимает целый ряд действий для того, чтобы уйти от средств контроля и наблюдения. После успешного запуска троянец внедряется в другие работающие приложения, а свой основной процесс завершает, таким образом, вся его дальнейшая работа происходит частями внутри сторонних процессов, что является его характерным свойством. Миф о том, что появление любого вируса можно заметить визуально отжил себя окончательно

• конкурируют между собой - в Trojan.Carberp имеется возможность уничтожения «конкурирующих» банковских троянцев

• действуют в составе ботнетов, управляемых из одного (или нескольких) командных центров. Таким образом зараженная машина или сеть служит еще и источником заражения

• благодаря возможности удаленного управления и возможности использования плагинов имеется возможность организации атаки на конкретную компанию по заказу извне. На данный момент имеются версии плагинов под большинство известных банковских систем!

25

Carberp контролирует работу пользователей и собирает логи для:

26

• Windows Live Messenger • Google talk • Paltalk • QIP Online • JAJC • Miranda ICQ • Yahoo Messenger • Outlook • Jabber • AOL Instant Messenger • Camfrog • POP Peeper • PocoMail

• Vypress Auvis • Group Mail • Incredi Mail • Mail.Ru • Eudora • The Bat! • Becky! Internet Mail • Windows Mail • MRA • Internet Explorer • Safari • Firefox • Chrome • Opera

Carberp собирает пароли от Windows Commander, Total Commander, FileZilla, FTP Commander, CuteFTP, CoffeeCup, Frigate3, WinSCP, Free FTP, LeapFTP, Cryper Web Site Publisher, Far Manager FTP

Carberp пытается внедриться на страницы с именами• esk.sbrf.ru • online.sberbank.ru • *.alfabank.* • sbi.sberbank.ru • ibank.prbb.ru • *telebank.ru

Carberp пытается перехватить платежи через PayPal, IBank, Cyberplat и PSB

27

В этих условиях полагать, что антивирус предотвратив все попытки проникновения –

безумие.

Задачи антивируса в современных сетях стали принципиально иными

28

Проблема два

А как мы должны защищаться?

29

Нам нужно исключить появление вирусов.

Что предлагается делать специалистам по безопасности

?

30

Требования к реализации АВЗ.1: Оператором обеспечивается антивирусная защита информационной системы.Реализация антивирусной защиты должна предусматривать:• применение средств антивирусной защиты на

автоматизированных рабочих местах, … средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами…;

• проверка в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;

31

Требования к усилению АВЗ.1:• в информационной системе должно обеспечиваться

централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на элементах информационной системы (серверах, автоматизированных рабочих местах);

• оператором должен обеспечиваться запрет использования съемных машинных носителей информации;

• в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;

32

Решит все вышеперечисленное проблему защиты от вредоносных файлов?

33

Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

Приказ ФСТЭК России от 11 февраля 2013 г. N 17

Только одно требование

34

Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;

• управление доступом субъектов доступа к объектам доступа;• ограничение программной среды;• защиту машинных носителей информации;• антивирусную защиту;• обнаружение (предотвращение) вторжений;• целостность информационной системы и информации;• …

Приказ ФСТЭК России от 11 февраля 2013 г. N 17

Что в данном списке должно обеспечить защиту от вирусов?

И чем защищаться?

35

Имеется разрыв между тем, как видится система защиты ее создателям и тем, что

она может реально

36

Разрыв между требованиями, прописанными в документах регуляторов и тем, что могут средства защиты

Разрыв между положениями документов и тем, как их понимают исполнители

Разрыв между реальным уровнем угроз и его всем известным значением

Разрыв между требуемым уровнем компетенции и знаниями, даваемыми в ВУЗах

Разрыв между затратами, требуемыми для реальной защиты – и возможностью компаний

37

В этих условиях совершение компьютерного преступления – вопрос

времени

38

Проблемы три/четыре/пять

Недоучет рисков

Формальный подход к обеспечению безопасности

Обеспечение безопасности в соответствии с имеющимися финансами

39

… вредоносная программа действует с использованием ряда уязвимостей в ПО сетевых хранилищ NAS (Network Attached Storage) производства компании Synology. Троянец выполняет шифрование хранящихся на устройстве данных и требует у жертвы выкуп

http://news.drweb.com/show/?c=5&i=5890&lng=ru

Уязвимости есть везде

Вопрос не в наличии уязвимостей – вопрос можно ли через них проникнуть к вам!

40

«Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?»

«Я уже так делал» ‑ 5.3%; «Жаль только не предлагают» ‑ 20.2%; «Да, но я ничего не знаю» ‑ 10.1%; «Нет. Боюсь, меня оттуда быстро уволят» ‑ 11.5%; «Нет, это аморально» ‑ 52.8%.

«Использовали ли вы в личных целях служебную информацию?»

«Использовал» ‑ 26.8%. «Не было возможности, но хотелось» ‑ 8.9%; «Нет» ‑ 50.8%; «Никогда не обладал такой информацией» ‑ 13.4%;

http://searchinform.ru/news/digest-articles/2758

41

Компоненты защиты для OS Windows

“Зачем мне нужны непонятные компоненты?”

Заражено может быть все!

В очередной раз описаны способы эксплуатации уязвимостей JetDirect — технологии, которая обеспечивает подключение сетевых принтеров к локальной сети, обычно по порту TCP 9100.В частности можно получить доступ к содержимому чужих документов в памяти принтераСписок производителей, выпускающих принтеры с поддержкой JetDirect: Canon, Fujitsu, HP, Konica Minolta, Lexmark, Xerox, Sharp, Kodak, Brother, Samsung, Toshiba, Ricoh, Kyocera Mita, Lanier, Gestetner, Infotek, OCE, OKI.

http://blog.seguesec.com/2013/01/ahora-puedes-imprimir-ahora-no

43

Только установка антивируса на всех узлах сети способна предотвратить распространение неизвестного вируса по сети и возникновение повторных заражений – незащищенный сервер или рабочая станция – лакомый кусок для злоумышленника!

44

Проблема шесть

А все ли золото, что блестит или Мы отвечаем за то, что мы выбираем или стоит

ли верить моде?

45

Интеграция с корпоративными системами управления, использование в своих приложениях сторонних библиотек

Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети.

Но каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены, администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети.

46

А между прочим:

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы

Приказ ФСТЭК России № 17

47

Использование в локальной сети ПО, имеющего известные уязвимости или ПО для которого нет средств защиты

48

Вирус AdThief заразил более 75 тыс. iOS-устройств http://www.anti-malware.ru/news/2014-08-21/14586

Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)).

В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющих возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение).

Приказ ФСТЭК России № 17 49

Проактивные системы (обычного типа)

Требуют наличия в базах данных всех профилей всех существующих в мире программ, что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. И неверный ответ может привести к тяжелым последствиям. Таким образом, реальна атака на «приучение» пользователя отвечать «да» и последующее вредоносное действие.

50

Системы на основе контроля за изменениями, в том числе облачные

Прорывная технология в момент возникновения, позволяющая сократить время проверки, сейчас не имеет смысла – контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы.

В дополнение к этому облачные системы критичны к каналу доступа в Интернет.

51

Достаточно много систем “безопасности” рекламируют подход на основе контрольных сумм

Да, когда-то и антивирусы имели в своем составе подобное, но отказались от этой технологии – файл может остаться неизвестным, но поменяв переменные окружения вместо него запускается иной файл

И не забываем о неизвестных вирусах!

52

Возможность внедрения вредоносных программ в легитимные загрузки – в том числе в подписанные исполняемые файлы, если проверка подписи не проводится перед их выполнением

http://www.securitylab.ru/news/456834.php

Во-первых, антивирусная защита поддерживается только для Windows. Для реализации безагентового сценария при виртуализации Linux/Unix/… придётся подождать VMware. Во-вторых, … не работает функция карантина для файлов и зараженных «виртуалок». Т.е. отловленного зловреда можно только убить, вылечить или протрубить сигнал сисадмину. В-третьих… Увы – всё это тоже особенности API от VMware.

Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе

53

Антиспам системы на основе байесовских сумм

Могут быть доведены до 100-процентого обнаружения спама, но требуют постоянного обучения и используют внешние базы DNSBL – в связи с чем уязвимы к атакам на дискриминацию отправителя через внесение его в данные базы.

Облачные системы антиспама также могут быть уязвимы к атакам на дискриминацию отправителя.

54

Блокирование сменных носителей на основе их идентификаторов

Но сейчас партии флешек выпускаются с одним идентификатором

55

Думаете это полный список ложных технологий, которые вам продают?

• Виртуальные клавиатуры• Защищенные среды исполнения• Менеджеры паролей• Системы анализа уязвимостей• Программы, именующиеся себя

антируткитами и антиспуваре

56

Каждая из этих технологий имеет свои плюсы – глупо это отрицать – но каждая из них должна

быть обложена варнингами о возможных проблемах

57

А как преступники получают доступ к информации и деньгам компании?

58

Большинство компаний:

• Считают, что они слишком мелкие чтобы заинтересовать хакеров

• Доверяют и своим сотрудникам и их квалификации – “на серверах у нас работают только системные администраторы, поэтому там вирусов быть не может”

59

Сейчас тоже можно по старинке – фишингом - выудив у жертвы базу данных e-mail адресов корпоративных клиентов

Можно ограбить жертву…

Но люди ленивы, а чем преступники хуже всех?

60

Интернет велик, но большинство посещают одни и те же сайты – причем ежедневно.

Сайты новостные, сайты финансовые…

Нужно же быть в курсе!

61

Для проникновения/внедрения вирусов в защищаемую систему используются:

Методы социальной инженерии (вирус Стихнет)

Взлом сайтов и ресурсов сети Интернет, наиболее часто посещаемых целевой группой

Так же для целью криминальных структур служат личные устройства и домашние компьютеры сотрудников и клиентов компании-цели. Целью их взлома и заражения является, как хищение и подмена данных, так и проникновение с их помощью в защищаемую сеть

62

От момента совершения мошеннической операции и до вывода средств проходит 1–3

минуты!

63

Учтем что:

Все люди одной специальности ходят на одни и те же сайты.

Как минимум с личных машин сотрудники работают с правами администратора

Большинство выходит в Интернет с рабочего компьютера

У почти всех стоят Adobe Acrobat и Adobe Flash.

64

Попробуем определить требования к антивирусной защите?

65

Когда в 1988 году появились сообщения о вирусе Good Times, небезызвестный Роберт Моррис III создал следующее руководство по борьбе с вирусом: Не используйте электрическую сеть! Не используйте батарейки и аккумуляторы - есть

сведения, что вирусом захвачено большинство фабрик по их производству, и вирус заражает положительный полюс батарей и аккумуляторов (вы можете попробовать присоединять только "-").

Не скачивайте и не закачивайте файлы. Не храните файлы на жестком диске или дискетах. Не читайте почтовые сообщения. Даже это! Не используйте последовательные порты, модемы и

телефонные линии. …

66

… Не пользуйтесь клавиатурой, монитором или

принтером. Не используйте процессор и память! Не пользуйтесь электрическим светом, электрическими

или газовыми обогревателями. Не включайте кондиционер. Опасайтесь воды и огня!

Я уверен, что если все мы будем следовать этим 9 простым инструкциям, вирус будет уничтожен, и электронные флюиды наших компьютеров вновь станут чистыми.

67

Для собственной защиты от вредоносных программ можно пользоваться и этими советами.

Но для компаний есть способ и лучше!

68

Что нужно пользователю?

Чтобы все работало и не тормозило

Чтобы продукт был:прост в использовании,потреблял мало ресурсов,не пропускал вирусовне давал возможности по незнанию

протащить вирус

69

Антивирус обязан иметь систему самозащиты, не позволяющую

неизвестной вредоносной программе нарушить нормальную работу антивируса

нормально функционировать до поступления обновления, позволяющего пролечить заражение

иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию

лечить активные заражения

70

Продукт Поддерживаемые ОС/платформы Базовая лицензия Дополнительные

компоненты

Dr.Web® Desktop Security Suite

Windows

Комплексная защита* ЦУ

КриптографАнтивирус**

Mac OS X, LinuxАнтивирус

ЦУ

OS/2, MS DOS

Dr.Web® Server Security Suite

Windows, Novell NetWare,Mac OS X Server Антивирус ЦУ

Unix (Samba)

Dr.Web® Mail Security Suite

MS ExchangeIBM Lotus DominoUnixKerio (Windows, Linux, Mac OS X)

Антивирус ЦУ Антиспам (кроме Kerio) SMTP proxy

Dr.Web® Gateway Security Suite

MS ISA/TMG

АнтивирусKerio

ЦУUnix

MIMEsweeper, Qbik WinGate Антиспам

Dr.Web® Mobile Security Suite

Windows Mobile

Антивирус

ЦУ

Android

Symbian OS Антиспам

* В лицензию Комплексная защита входят следующие компоненты: антивирус, антиспам, веб-антивирус, офисный контроль, брандмауэр (соответствует продукту для домашних пользователей Dr.Web Security Space). ** В лицензию Антивирус входят антивирус, антишпион, антируткит, брандмауэр.

71

В состав Dr.Web Enterprise Security Suite добавлялись новые продукты

Почему Dr.Web?

72

Защита информационных, финансовых и временных ресурсов для любого бизнеса:

Dr.Web Enterprise Security Suite – надёжная защита корпоративной сети

Dr.Web CureNET! – необходимое дополнение к антивирусу другого производителя

Dr.Web LiveCD – «скорая помощь» при сложнейших заражениях

Запомним эти имена!

73

Dr.Web Enterprise Security Suite защищает не только локальную сеть, но и мобильные устройства сотрудников, их домашние ПК — как имеющие выход в Интернет, так и не имеющие его.

Администратор компании может гарантировать, что с личных компьютеров сотрудников в локальную сеть не попадет ничего лишнего.

74

Все помнят количество дыр в Adobe Flash/Acrobat, через которые потоком шли вирусы? Использование SpIDer Gate и SpIDer Mail позволяет исключить проникновение вредоносных объектов через уязвимости программ (таких как браузеры, Аdobe Flash и Аdobe Acrobat, почтовые клиенты), поскольку весь трафик проверяется до его поступления в соответствующую программу! Проверен будет даже шифрованный трафик/

Наличие в Dr.Web Комплексная защита, так же как в Dr.Web Security Space (в отличие от более дешевого решения Антивирус Dr.Web) дополнительных модулей позволяет вам обеспечить комплексную антивирусную защиту, поскольку основная масса вредоносных программ (в том числе нацеленных на кражу денежных средств и контроль за своими жертвами) попадает в компьютеры пользователей из сети Интернет.

75

Dr.Web - только чистый интернет-контент

Сканирует HTTP-трафик

Фильтрация файлов, аплетов, скриптов

Не зависит от используемого браузера

Начинает сканирование сразу после установки в системе

Блокировка фишинговых и других опасных сайтов по записям в соответствующих базах ссылок

76

Dr.Web: защита почтовых сообщений

Работа с протоколами POP3, IMAP4, NNTP, SMTP в режиме реального времени

Проверка всех компонентов письма

Прозрачность работы

Высокая степень обнаружения вредоносных кодов.

Эффективная фильтрация спама

77

Dr.Web - защита нужной информации

Запрет доступа к файлам, папкам, съемным носителям и ресурсам сети

78

Фоновое сканирование на руткиты

Новая подсистема фонового сканирования и нейтрализации активных угроз в критических областях Windows и системной BIOS компьютера

Бережное потребление ресурсов системы (CPU, IO, RAM), а также учет мощности аппаратного обеспечения – автоматическое реагирование на изменение потребностей пользователя

79

Расширенная превентивная защита

Опция блокировки автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий (4 режима)

80

Антивирусное ядро компании не идет вслед за угрозами, используя сигнатурные методы. Использование технологии Origin Tracking позволяет быть на шаг впереди

81

Dr.Web Virus-Finding Engine

Оптимальное количество записей

82

Сокращение времени реакции

83

Расширенная превентивная защита

Опция блокировки автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий (4 режима)

84

Dr.Web Cloud

Мгновенная проверка URL на серверах компании «Доктор Веб» через сервис Dr.Web Cloud в режиме реального времени — вне зависимости от состояния вирусных баз Dr.Web на компьютере пользователя и настроек обновления.

85

Комфортная работа при включенной системе защиты

86

87

Нет ничего проще!Предотвратить заражения через сменные носители?

Нет ничего проще!Предотвратить заражения через сменные носители?

88

Нет ничего проще!Предотвратить заражения через вредоносные веб-ресурсы?

89

SpiderGate проверяет веб-трафик до его поступления в браузер, использует базу

вредоносных ресурсов, сигнатурный поиск вирусов и эвристические технологии

Нет ничего проще!Предотвратить заражения через вредоносные веб-ресурсы?

90

Добавить адрес в белый

список Добавить адрес в

черный список

ScriptHeuristic:• предотвращает исполнение любых вредоносных

скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов

• Защищает от любых вредоносных скриптов в HTML и PDF-документах

• Защищает компьютер от заражения неизвестными вирусами через веб-браузер

• Работает независимо от состояния вирусной базы Dr.Web

• Работает с любыми веб-браузероми

Предотвратить заражения через вредоносные веб-ресурсы? Почему Dr.Web?

91

ScriptHeuristic это не только работа со скриптами –

обнаружение неизвестных угроз в HTML и PDF-документах.

Предотвратить заражения через вредоносные веб-ресурсы? Почему Dr.Web?

92

Нет ничего проще!Предотвратить заражения при запуске вируса пользователем?

Обнаруживает

неизвестные угрозы

Предотвращает запуск вирусов

93

Просмотр состава аппаратно-программного обеспечения на защищенных станциях локальной сети

94

Нет ничего проще!Контроль за установленным программным и аппаратным обеспечением

Контроль возникновения эпидемий Контроль списка работающих в

данный момент на станциях антивирусной сети пользователей

Просмотр местоположения станций и серверов на карте

95

Где и что происходит?Нет ничего проще!

В сети разные операционные системы?

Централизованное управление антивирусом только для одного

типа систем?

Приходится бегать от одного компьютера к другому?

96

Центр Управления Dr.Web поддерживает все популярные

платформы97

98

Изменение первичной группы при автоматическом подтверждении доступа станций к антивирусному серверу

Гибкая система управления заданиями

99

Dr.Web Enterprise Suite 10:Сокращение стоимости сопровождения системы защиты

Интеграция с Active Directory и LDAP, включая синхронизацию групп станций

100

Dr.Web Enterprise Suite 10:Сокращение стоимости сопровождения системы защиты

Поддержка кластеров антивирусных серверов Dr.Web

Система распределения прав администраторов антивирусной сети

101

Dr.Web Enterprise Suite 10:Безопасность и отказоустойчивость

Новостной агент Система

оповещений администраторов, включающая поддержку SNMP

102

Dr.Web Enterprise Suite 10:Безопасность и отказоустойчивость

Возможность управления базой данных через Центр Управления

SQL-консоль для выполнения произвольных SQL-запросов

103

Dr.Web Enterprise Suite 10:Полное использование возможностей современных решений

Загрузка системой обновления только изменившихся файлов

Проверка обновлений на выбранных компьютерах/группах

Возможность ограничения канала по группам Управление ревизиями обновлений продуктов,

находящихся в репозитории Dr.Web Сервера

104

Dr.Web Enterprise Suite 10:Российская система обновлений

Возможность экспорта, импорта и распространения конфигурации группы или рабочей станции на другие группы и станции

Удобный механизм изменения политик, применения их к определенным группам

Возможность скачивания конфигурационного файла с настройками подключения Dr.Web Агентов под ОС Android, Mac OS X и ОС семейства UNIX из Центра Управления

105

Dr.Web Enterprise Suite 10:Управление политиками системы защиты

Экспорт статистики антивирусной сети в формате PDF Отправка статистических отчетов по электронной почте

через расписание Dr.Web Сервера Отображение статистики работы самого антивирусного

сервера Контроль действий администраторов

106

Dr.Web Enterprise Suite 10:Все под контролем

Установка с помощью полного антивирусного агента – дистрибутива, содержащего все необходимые для установки компоненты

В состав Dr.Web Enterpise Suite 10 вошли пакеты, с помощью которых возможна установка на иные кроме Windows операционные системы – в том числе Linux и FreeBSD

Сканер сети позволяет производить поиск станций, находящихся в разных доменах, а при установке станции могут распределяться по группам в соответствии с заранее заданными правилами

Возможность рассылки инсталляционных файлов Dr.Web Агентов из Центра Управления по электронной почте

Установка с помощью службы распределенной файловой системы (DFS)

107

Dr.Web Enterprise Suite 10:Расширение возможностей по установке

отсутствие влияния ограничений операционной системы на количество станций на одном сервере

встроенная база данных возможность использования любых внешних баз

данных

108

Dr.Web Enterprise Suite 10:Полное использование возможностей современных решений

Выбор тех обновлений, которые будут устанавливаться Установка обновлений в указанное время Групповые обновления Просмотр информации о результатах обновления на

станциях сети Выбор для обновления ближайших серверов ВСО Получение обновлений с помощью утилиты автономной

загрузки репозитория Dr.Web Сервера из ВСО

Добавлена возможность обновления по защищенному каналу с использованием SSL-сертификатов

109

Dr.Web Enterprise Suite 10:Новая система обновлений

Только один пример увеличения качества

110

Наиболее популярные почтовые сервера:Microsoft Exchange (40,1%)Sendmail (30,6%)Postfix (22,2%)Kerio MailServer (12.8%)IBM Lotus Domino (10.6%)Exim (10.2%)qmail (7.4%)Communigate Pro (7.4%)

Почему нужно защищать почтовый сервер?

111

Только защита почтового сервера может защитить его от превращение в источник заражений при

проникновении в сеть неизвестного вируса!

112

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

113

114

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

115

Dr.Web для почтовых серверов Exchange не следует канонам!

Однако все антивирусные программы, проверяющие почту, поступающую на почтовый сервер, интегрируются с ним с помощью API этого сервера - и тем самым ограничиваются в своих возможностях. Например для MS Exchange в принципе невозможно проверить письмо целиком – и использовать правила опирающиеся на признаки, которые могут быть в различных частях письма - MS Exchange отдает письма своим плагинам только по частям. Для MS Exchange даже статистика проверенного отражает не количество проверенных писем, а количество проверенных объектов!

SMTP-шлюз, самостоятельно принимающий и отправляющий почту не ограничен в своих возможностях анализа – и качество фильтрации с помощью его заведомо лучше!

116

Фильтрация почтового трафика на вирусы и спам Уникальные настройки на основе правил Фильтрация и исключение из проверки сообщений по

различным критериям Предотвращение массовых рассылок Архивация всех проходящих сообщений Возможность помечать и модифицировать письма Защита собственных модулей от сбоев

Использование SMTP proxy

117

Облака

118

“Использование облачных сервисов безопасно”

“Наш ЦОД сертифицирован по TIER3”

Что можно сказать о безопасности клиента, перешедшего на облачные сервисы?

119

Пользователь облачных сервисов не знает, где и как обрабатываются его данные, не может контролировать процесс их обработки, утечки и изоляции от данных иных клиентов сервиса, а также возможности доступа со стороны сотрудников компании, обеспечивающей работу сервиса

120

Пользователь облачных сервисов вынужден доверять провайдеру услуг, который не предоставляет никакой гарантии защиты данных и не возмещает убытков

121

Данные могут быть скомпрометированы путем проникновения со стороны гипервизора, соседних виртуальных машин, во время их передачи по сети Интернет

122

Особое внимание необходимо уделить защите локальной сети при использовании облачных сервисов:

– рекомендуется использовать антивирусные прокси сервера как на стороне облака, так и на стороне компании.

– хорошей практикой является использование защищенных каналов связи, однако необходимо учитывать риск внедрения вредоносных программ в разрыв между защищенным каналом и клиентской программой

– рекомендуется использовать антивирусные средства для защиты всех виртуальных машин вне зависимости от места их расположения

123

При использовании облачных сервисов необходимо предусматривать меры, противодействующие:

получению доступа, хищению и/или модификации данных на удаленных серверах, а также во время передачи данных между удаленными серверами и серверами и рабочими станциями, принадлежащими компании

внедрению вредоносных программ на удаленные сервера и во время передачи данных

простоям на время отсутствия доступа к удаленным серверпам

124

В качестве мер защиты должны использоваться : системы шифрования, а также системы создания

каналов VPN почтовые шлюзы на стороне ЦОД и на стороне

локальной сети или локальные почтовые сервера, проверяющие входящую почту и накапливающие почтовые сообщения во время отсутствия доступа к ЦОД

файловые сервера и сервисы, синхронизирующие содержание с содержанием удаленных серверов

125

Не забываем!

Широко распространенной практикой является использование сотрудниками облачных сервисов (google.docs, google.mail, google.disk и аналогичных), доступ к которым не контролируется системами безопасности компании

126

Защита домашних и мобильных

127

Защита как и беременность не бывает частичной. Нельзя поставить только часть защиты. Рыцарь, у которого из защиты только шлем вызовет только смех у хакеров

128

Каждая пятая программа с «дырой», что позволяет:• блокировать телефон,• отправлять СМС,• включать динамик без ведома пользователя,• звонить,• получать доступ к почте и паролям,• получать данные от GPS-навигатора,• иметь доступ к файлам, фотографиям.

Это все Андроид!

129

Типы угроз• Вредоносные приложения, отправляющие СМС на платные

номера – Android.SmsSend

• Вирусы, ворующие ТAN-коды – Android.SpyEye.1

• Платные шпионские программы– Flexispy, Mobile Spy, Mobistealth

• Вирусы, предоставляющие удаленное управление телефоном– Android.Plankton– Android.Gongfu (Android.DreamExploid)– Android.GoldDream

• Шпионские программы– Android.AntaresSpy.1

130

Android.SpyEye.1

131

Мобильные устройства на данный момент предоставляют криминалу куда большие возможности, чем обычные компьютеры

132

Возможность отслеживать местоположение владельца устройства

Возможность записывать все переговоры и фотографировать участников встреч

Возможность управлять температурой аккумулятора с целью его подрыва и причинения вреда владельцу

На этом фоне традиционное воровство паролей и рассылка СМС выглядят детским ребячеством

133

Для мобильных устройств уже сейчас существуют все основные типы вредоносных программ, а заражение происходит через уязвимости – для заражения устройства достаточно зайти на зараженный сайт

134

40 процентов планшетов не имеет никакой защиты

48% работников пытаются обходить требования безопасности

Только 21% работников координируют свои действия с ИТ-отделом

http://megafon.cnews.ru/top/2012/09/03/polovina_korporativnyh_abonentov_ignoriruet_zaprety_itsluzhby_501616

135

Dr.Web Enterprise Security Suite это: Поддержка всех версий Андроид

136

Dr.Web Enterprise Security Suite это: Удобный интерфейс

137

Dr.Web Enterprise Security Suite это: Защита в режиме реального

времени Автоматическая проверка

загружаемых приложений – как бы они не загружались

Облачная защита Блокирование еще неизвестных

угроз, подозрительных процессов Удобство настройки обновлений Проверка всех типов архивов Сканирование карты памяти при

подключении Перемещение подозрительных

файлов в карантин – и восстановление из него

138

Dr.Web Enterprise Security Suite это:Детектирование новых угроз с помощью технологии Origin Tracing

139

Dr.Web Enterprise Security Suite это: Фильтрация вызовов и СМС по

ключевым словам Антифишинг Белые и черные списки Просмотр и выбор действий

для заблокированных звонков и сообщений

140

Dr.Web Enterprise Security Suite это: Удаленная блокировка устройства Удаленное определение

местоположения Удаленное уничтожение всей

информации в памяти устройства Удаленное включение звуковой

сигнализации Уведомление об изменении SIM-

карты Возможность восстановить пароль

Anti-Theft на сайте разработчика

141

Используя Dr.Web Enterprise Security Suite пользователь не остается один:

Удобный контроль состояния Полная статистика Круглосуточная техподдержка Возможность отправки

подозрительного файла в лабораторию для анализа

142

Только факты

50 миллионов скачиваний только Dr.Web для Андроид!

Собственная антивирусная лаборатория Постоянный выпуск новых технологий на рынок Автоматизированная антивирусная аналитическая

система Высокая скорость реакции на поступающие

угрозы – выпуск обновлений сразу после анализа угрозы

Сервера обновлений по всему миру

143

Все работают с деньгами

144

Виды атаки: Атака на каналы передачи данных Вирусная атака на сервер Атака на компьютер через Интернет с целью кражи

секретного ключа ЭЦП, паролей Атака на компьютер через Интернет с целью захвата

удаленного управления ресурсами компьютера Атака с целью подмены документа при передаче его на

подпись Атака с целью подмены части или всего использующегося

ПО Внедрение программных закладок или троянских программ

По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ”145

Вывод средств производится на:

1. банковские карты для обналичивания,

2. счета мобильных телефонов, в основном «Билайн» (услуга «МОБИ.Деньги»)

3. электронные кошельки виртуальных платежных систем, в основном Яндекс.Деньги, Qiwi.

От момента совершения мошеннической операции и до вывода средств проходит 1-3 минуты!

146

Троянец «Zeus» - в июне 2011 г. украл около миллиона долларов с банковских счетов;

Вирус-троянец «URLZone» – за 3 недели в Германии похитил 300 тыс. Евро с банковских счетов;

Троянец-бэкдор-руткит «TDSS» - удалённое управление заражённой системой, крайне сложен в лечении;

Trojan.Bioskit.1 – заражение AWARD BIOS

«Безопасных» сред больше не существует – заражено может быть все!

147

Как защититься?

148

149

Для защиты непосредственно систем ДБО используются: Виртуальные клавиатуры Аутентификация в системе ДБО Запрет входящих каналов на время работы ДБО Подтверждение платежей с помощью криптокалькуляторов

(потенциально с использованием ключевых параметров платежа) или SMS

Организация доверенной среды (загрузка доверенной операционной системы) - изоляция рабочего места ДБО от внешнего мира (LiveCD) или использование защищенного терминального режима доступа

Защита платежных данных при передаче – шифрование данных

Защищенное хранение ключей ЭЦП. Неизвлекаемое хранение на USB-токенах и смарт-картах

Ввод платежной информации на внешних устройствах (гарантия совпадения показываемой и формируемой платежки)

Что из этих средств уже скомпрометировано?

• Виртуальные клавиатуры обходятся снятием экрана• Запрет входящих каналов на время работы обходится

внедрением вируса до начала работы системы• Аутентификация в системе — зависит от пользователей

— социальная инженерия использовалась и используется

• Организация доверенной среды — изоляция рабочего места от внешнего мира через LiveCD обходится с помощью буткитов

• Виртуальные среды (в том числе на Java) взламываются путем подмены базовых компонентов

• Использование внешних систем подразумевает использование программных компонентов, что позволяет компрометировать и эти устройства, считавшиеся панацеей

• Подтверждение по СМС не подходит для большинства организаций — в силу количества операций

150

Клиенты – государственные органы

Администрация президента

Федеральное собрание Российской Федерации. Совет Федерации

Министерство обороны

Министерство иностранных дел

ФСБ

Министерство финансов

Министерство образования и науки

151

КлиентыБанки и компании финансового сектора

Центральный Банк Российской Федерации

Сбербанк России

Raiffeisen Bank Aval

152

КлиентыПромышленные предприятия и энергетический сектор

РАО “Газпром”Российские Железные

дорогиПредприятия военно-

промышленного комплексаArcelorMittal (Kryvyj Rig)

153

КлиентыТелеком

EWE Tel (Germany)

LKW (Luxembourg)

Clara.Net (UK)

Golden telecom

УкрТелеком

КазахТелеком

154

Что такое Dr.Web Enterprise Suite 10? Упрощение процедуры закупки и внедрения Сокращение стоимости сопровождения системы

защиты Полное использование возможностей

современных решений Защита большего количества операционных

систем с момента установки Усиление безопасности и отказоустойчивости Управление политиками системы защиты Dr.Web Enterpise Suite 10.0 – центр контроля

безопасности Новая система обновлений Удобная система отчетов и статистики

155

Размер документа с краткой информацией о изменениях превышает 10 страниц

156

Почему Dr.Web?

157

Во первых - качество

158

Антивирусная технологияДоктор Веб входит в число немногих разработчиков антивирусного ПО, обладающих собственной технологией обнаружения и лечения вирусов.

Миссия компании Доктор Веб – постоянное развитие технологий обнаружения современных вредоносных программ, развитие систем информационной безопасности высочайшего класса

Антивирусное ядро: Dr.Web®

Разрабатывается с: 1992

Автор антивируса Dr.Web: Игорь Данилов

Владелец технологий Dr.Web: «Доктор Веб» – 100%российская компания

159

И это качество подтверждено не одним сертификатом

160

Сертификаты соответствия ФСТЭК и ФСБ

Dr.Web – антивирус, сертифицированный МО РФ

Dr.Web полностью соответствует требованиям закона о защите персональных данных

Dr.Web – антивирус, сертифицированный на работу с программами 1С

Сертификаты

161

IT-специалисты могут получить подтвержденные «Доктор Веб» знания значительно быстрее и, что самое главное, совершенно бесплатно.

Чтобы стать специалистом в администрировании программных продуктов Dr.Web, необходимо:1. Зарегистрироваться на сайте training.drweb.com/external и получить доступ к «Личному кабинету»;2. Самостоятельно изучить учебные материалы, которые находятся в «Личном кабинете»3. Сдать соответствующий экзамен.

В случае успешной сдачи экзамена соискатель получает электронный сертификат по выбранному направлению.

Обучение специалистов

162

Мы не внушаем нашим клиентам иллюзий – мы развиваем технологии, дающие

реальную защиту!

163

Предлагая клиентам наши продукты, мы не обманываем. Купив наш продукт, пользователь получит тот функционал, который ему обещали

Только продукты Dr.Web способны не замедлять работу программ, а, наоборот, даже ускорять ее

Мы не проводим социальных экспериментов на пользователях – мы их защищаем

164

Убедитесь, что на компьютерах нет вирусов:

165

Вопросы?

Благодарим за внимание!Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!8-800-33-DRWEB