Основные векторы развития систем защиты от вредоносного ПО: облачные вычисления и их современные реализации

Кирилл Керценбаум, Руководитель группы Консультантовпо Безопасности, Symantec

Что движет ИБ

Вторжения

192% рост спама с 2007 по 2008 В 2008, Symantec зафиксировал 5471 уязвимостей,

80% которых легко можно было использовать

90% инцидентов ИБ могли бы не случиться, если бы системы были обновлены

В 2008 мы находили 75000 активных Бот инфицированных ПК каждый день

Что движет ИБ

Обнаружения

90% атак в 2008 – атаки организованных преступных групп на корпоративные и частные данные

81% атакованных компаний не соответствовали базовым стандартам (PCI DSS и др.)

67% атак были связаны с небрежностью самих пользователей

Что движет ИБ

Захват

285 миллионов записей данных были украдены в 2008, по сравнению с 230 миллионами с 2004 по 2007

Данные по кредитным картам составляют 32% всех товаров предлагаемых на продажу

Кражи данных обошлись компаниям по всему миру в

$600 миллиардов

• Мы меняем технологии защиты – хакеры адаптируют свои технологии атак

• Их подход очень прост – эксплуатировать, шифровать, распространять и повторять

Защита это постоянная битваКак игра в кошки-мышки

Создание новых проактивных технологий

– Поведенческий анализ, IPS, HIPS, эвристика

Реагировать быстрее

– Миллионы сигнатур как можно быстрее(Norton Pulse Updates каждые 5 минут)

Может мы можем делать больше?

1

2

3

Так что мы делаем?

• Представьте что мы знаем:

– о каждом файле в мире сегодня…

– и как много копий каждого из них

– и какие из них плохие или хорошие

• Давайте упорядочим их по распространенности

– Плохие слева

– Хорошие справа

Проблема: Десятки миллионов файлов (хорошие & плохие)

Перед началом…Давайте посмотрим на большую проблему

Плохие файлы Хорошие файлы

К сожалению ни одна техника не работает хорошо для

десятков миллионов файлов с малой распространенностью.

К сожалению ни одна техника не работает хорошо для

десятков миллионов файлов с малой распространенностью.

Экстраполируя мы в результате получим такой график:

Ра

спр

ост

ран

енн

ост

ь

Белые списки также работают

хорошо.

Белые списки также работают

хорошо.

А для этого длинного диапазона нужно что-

то новое.

А для этого длинного диапазона нужно что-

то новое.

Черные списки работают хорошо.

Черные списки работают хорошо.

Перед началом…Давайте посмотрим на большую проблему

КонцепцияРЕПУТАЦИИ

Вариант ‘A’

Вариант ‘B’

Вариант ‘C’

Представьте как вы выбираете ресторан…

Вариант ‘A’

Вариант ‘B’

Вариант ‘C’

ОбстановкуОбстановку??

Любите ли Вы…

ЕдуЕду??Вариант ‘A’

Вариант ‘B’

Вариант ‘C’

Или возможно…

АтмосферуАтмосферу??Вариант ‘A’

Вариант ‘B’

Вариант ‘C’

Или возможно…

or…

Друга?

Эксперта?

… но вы по-прежнему будете знать мнение одного.

Или может спросить кого-нибудь…

Что если Вы можете спросить много людей?

15

И вы найдете множество разных мнений.

1 1223 34456789Что-то хорошо А что-то плохо

Но возможно также некое согласие на основе достаточной информации

Итак вы имеете мудрость толпы

Репутация:

• Приносит новые возможности в защиту ПК

• Расширяет защиту от текущих механизмов

• Сокращение разрыва в данном противостоянии

ИтакВсе это вместе…

“Облачные” вычисленияИнфраструктура анализа Symantec

• Сервисная инфраструктура Symantec обслуживает аналитику и контроль сотен миллионов ПК

• Наша система сбора телеметрии и более чем 500 специалистов загружают и анализируют

– Телеметрию поведения реального времени

– Эвристическую телеметрию

– Телеметрию событий в сети

– Телеметрию ложных срабатываний

– Информацию с ловушек и сетевых “ищеек”

– Данные об использовании приложений, их производительности и др.

для создания уникальной и обновленной базы репутаций приложений

• Эти системы позволяют Symantec строить распараллеленное видение проблем безопасности и передавать надежные инструменты защиты своим клиентам

18

СПАСИБО

© 2009 Symantec Corporation. All rights reserved.

THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE.

Kirill_Kertsenbaum@symantec.com