Upload
expolink
View
222
Download
0
Embed Size (px)
Citation preview
Г. Санкт-Петербург21 АПРЕЛЯ 2016#CODEIB
Год 2016
Антивирусная безопасность в тисках угроз
Вячеслав МедведевДоктор Веб
ООО "Доктор Веб"+7(495)789-4587+7(495)796-8992
1. Вы уверены, что вы знаете все угрозы?2. По вашему мнению защита находящихся под вашим
контролем сетей/компьютеров/устройств адекватна текущему уровню угроз?
3. Откуда вы узнаете о новых угрозах?4. Насколько часто вы пересматриваете список угроз?5. Существует ли в вашей компании процедура пересмотра
списка угроз и соответствующие документы?6. Что вы делаете, если в течении финансового года в
очередной раз неожиданно возникает проблема безопасности?
2
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Для примера
С какими правами работают антивирусные программы на мобильных устройствах?
3
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Для примера
Какие антивирусы для устройств Apple вы можете назвать?
4
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
5
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
И забегая вперед
Зачем нужен антивирус на шлюзе и на почтовом сервере? Зачем (например) проверять трафик на шлюзе?
Он же он же все равно попадет на рабочие станции и сервера – где уже стоят антивирусы – там его и проверим! Тем более, что антивирусное ядро, проверяющее почту и
файлы и на антивирусе для рабочей станции и на антивирусе для шлюза или почтового сервера – одно и
тоже
Перейдем к защите
Byod… Какие меры защиты вы используете?
6
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Только факты
http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf
7
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Только факты
В течение 2015 года в Банк России было сообщено о хищенияхденежных средств из банкоматов … более 29 млн руб.
Банк России отмечает смещение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб
http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf
8
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Только факты
Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех приложений. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений. Представители семейства Android.Triada обладают функцией самозащиты.
http://news.drweb.com/show/?c=5&i=9899&lng=ru
Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root). Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа… оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС
http://news.drweb.com/show/?c=5&i=9822&lng=ru
99
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
И это далеко не все векторы атак
• Атаки на Linux и Mac• Атаки на сетевое оборудование• Разработка вредоносных программ, в момент
проникновения не обнаруживаемых традиционным антивирусом с актуальной базой
• …
1010
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Новый подход к заражению
Вредоносные программы удаляют свои компоненты, отвечающие за заражение системы, очищая при этом логи. В итоге заражение может производиться многократно. Это возможно в связи с тем, что в системе защиты не используются SIEM системы и защищенные системы логирования
11#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
В итоге антивирусные компании не получают всех компонент вредоносной программы!
12#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
Обнаруживает неизвестные
угрозыПредотвращает запуск вирусов
Вредоносные программы удаляют свои компоненты, отвечающие за заражение системы, очищая при этом логи. В итоге заражение может производиться многократно. Это возможно в связи с тем, что в системе защиты не используются SIEM системы и защищенные системы логирования.
Можно ли защититься?
13
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
А ваши логи защищены от несанкционированных правок?
14
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Вся инфраструктура сети должна быть контролируема в любой момент времени
Грустно, но недавно пришел клиент, который сам написал Центр управления для контроля антивирусов. Хотя имеющийся бесплатен и доступен практически для любой лицензии…
15
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Знаете ли вы все о современных методах с средствах защиты?
Делаете ли вы резервные копии?Надежно ли вы защищаете бекап от изменений?Продумали ли вы процедуру на случай заражения резервной копии?
16#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
йВы должны доверять вашему бекапу
Знает ли дежурная смена кому звонить?А если вас нет на месте?Насколько часто вы проверяете актуальность процедуры обработки инцидента?
17
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
йГотовы ли вы к вирусному инциденту?
Скоро праздники! Готовы ли вы к ним?
Можете ли вы в любой момент времени внести изменения на все мобильные, на которых обрабатываются данные вашей компании/семьи?Установлен ли у вас антивирус?
18
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Используете ли вы MDM-системы?
Внимание! Dr.Web Security Space для Android может лечить вредоносные файлы в системных областях. А вы к этому готовы?
Проверяете ли вы трафик этих устройств? А трафик, идущий на сетевые устройства? Думаете, что заражают только домашние роутеры?
19
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Согласно каким правилам устройства ваших сотрудников входят в сеть?
А для программ?
20#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
Учитываете ли вы, что белый список для сменных носителей невозможен?
Какой почтовый сервер у вас стоит?А как он проверяет почтовые сообщения?
Зачем вам нужен антивирус на почтовом сервере?
21
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Уверены ли вы, что скачанное вами с почтового сервера/файлового сервера/сервера документооборота письмо/документ проверено
актуальной версией антивируса?
Г. МИНСК14 АПРЕЛЯ 2016#CODEIB
Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange
В случае интеграции с почтовым сервером Microsoft Exchange с помощью интерфейса Microsoft Virus Scanning Application Interface (VSAPI) программные средства Системы должны обеспечивать
возможность проверки документов, хранящихся в базе данных, а также проверки при доступе к письму.
проверку всех почтовых ящиков, включая служебные почтовые ящики SystemMailbox, System Attendant;
фильтрацию и блокировку сообщений в зависимости от вероятности принадлежности их к спаму – по категориям спам, вероятно, спам и маловероятно спам;
Запуск задания на фоновую проверку в целях обнаружения ранее неизвестных вредоносных программ;
23
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Отличный функционал, обеспечивающий актуальную защиту почты в любой
момент времени
Вот только производитель, начиная с MS Exchange 2013 убрал эту возможность защиты
Проверяется ли ваш трафик на уровне драйверов?Контролирует ли ваш поведенческий анализатор процесс, если эксплойт не обращается ни к чему за пределами процесса?
24
#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016
Любой документ до его использования или попадания в клиентскую программу должен быть проверен
Dr.Web ShellGuard – следующее поколение Dr.Web Process Heuristic не просто не позволяет вредоносным объектам внедриться в процессы других программ, а контролирует процессы изнутри
Учебный курс по защите от шифровальщиков
2525#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
2626#CODEIB
Г. Санкт-Петербург21 АПРЕЛЯ 2016
Убедитесь, что на компьютерах нет вирусов:
Вопросы? Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
#CODEIBГ. МИНСК14 АПРЕЛЯ 2016