Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"

Г. Санкт-Петербург21 АПРЕЛЯ 2016#CODEIB

Год 2016

Антивирусная безопасность в тисках угроз

Вячеслав МедведевДоктор Веб

ООО "Доктор Веб"+7(495)789-4587+7(495)796-8992

1. Вы уверены, что вы знаете все угрозы?2. По вашему мнению защита находящихся под вашим

контролем сетей/компьютеров/устройств адекватна текущему уровню угроз?

3. Откуда вы узнаете о новых угрозах?4. Насколько часто вы пересматриваете список угроз?5. Существует ли в вашей компании процедура пересмотра

списка угроз и соответствующие документы?6. Что вы делаете, если в течении финансового года в

очередной раз неожиданно возникает проблема безопасности?

2

#CODEIBГ. Санкт-Петербург21 АПРЕЛЯ 2016

Для примера

С какими правами работают антивирусные программы на мобильных устройствах?

3


Для примера

Какие антивирусы для устройств Apple вы можете назвать?

4


5


И забегая вперед

Зачем нужен антивирус на шлюзе и на почтовом сервере? Зачем (например) проверять трафик на шлюзе?

Он же он же все равно попадет на рабочие станции и сервера – где уже стоят антивирусы – там его и проверим! Тем более, что антивирусное ядро, проверяющее почту и

файлы и на антивирусе для рабочей станции и на антивирусе для шлюза или почтового сервера – одно и

тоже

Перейдем к защите

Byod… Какие меры защиты вы используете?

6


Только факты

http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf

7



В течение 2015 года в Банк России было сообщено о хищенияхденежных средств из банкоматов … более 29 млн руб.

Банк России отмечает смещение вектора атак в сторону кредитных организаций. Так инциденты, связанные с целевыми атаками на операционную инфраструктуру кредитных организаций и платежных систем, в 2015 году привели к финансовым потерям в размере более 900 млн руб

http://www.cbr.ru/PSystem/P-sys/survey_2015.pdf

8



Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех приложений. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений. Представители семейства Android.Triada обладают функцией самозащиты.

http://news.drweb.com/show/?c=5&i=9899&lng=ru

Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root). Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа… оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС


99




И это далеко не все векторы атак

• Атаки на Linux и Mac• Атаки на сетевое оборудование• Разработка вредоносных программ, в момент

проникновения не обнаруживаемых традиционным антивирусом с актуальной базой

• …

1010


Новый подход к заражению

Вредоносные программы удаляют свои компоненты, отвечающие за заражение системы, очищая при этом логи. В итоге заражение может производиться многократно. Это возможно в связи с тем, что в системе защиты не используются SIEM системы и защищенные системы логирования

11#CODEIB

Г. Санкт-Петербург21 АПРЕЛЯ 2016

В итоге антивирусные компании не получают всех компонент вредоносной программы!

12#CODEIB


Обнаруживает неизвестные

угрозыПредотвращает запуск вирусов

Вредоносные программы удаляют свои компоненты, отвечающие за заражение системы, очищая при этом логи. В итоге заражение может производиться многократно. Это возможно в связи с тем, что в системе защиты не используются SIEM системы и защищенные системы логирования.

Можно ли защититься?

13


А ваши логи защищены от несанкционированных правок?

14


Вся инфраструктура сети должна быть контролируема в любой момент времени

Грустно, но недавно пришел клиент, который сам написал Центр управления для контроля антивирусов. Хотя имеющийся бесплатен и доступен практически для любой лицензии…

15


Знаете ли вы все о современных методах с средствах защиты?

Делаете ли вы резервные копии?Надежно ли вы защищаете бекап от изменений?Продумали ли вы процедуру на случай заражения резервной копии?

16#CODEIB


йВы должны доверять вашему бекапу

Знает ли дежурная смена кому звонить?А если вас нет на месте?Насколько часто вы проверяете актуальность процедуры обработки инцидента?

17


йГотовы ли вы к вирусному инциденту?

Скоро праздники! Готовы ли вы к ним?

Можете ли вы в любой момент времени внести изменения на все мобильные, на которых обрабатываются данные вашей компании/семьи?Установлен ли у вас антивирус?

18


Используете ли вы MDM-системы?

Внимание! Dr.Web Security Space для Android может лечить вредоносные файлы в системных областях. А вы к этому готовы?

Проверяете ли вы трафик этих устройств? А трафик, идущий на сетевые устройства? Думаете, что заражают только домашние роутеры?

19


Согласно каким правилам устройства ваших сотрудников входят в сеть?

А для программ?

20#CODEIB


Учитываете ли вы, что белый список для сменных носителей невозможен?

Какой почтовый сервер у вас стоит?А как он проверяет почтовые сообщения?

Зачем вам нужен антивирус на почтовом сервере?

21


Уверены ли вы, что скачанное вами с почтового сервера/файлового сервера/сервера документооборота письмо/документ проверено

актуальной версией антивируса?

Г. МИНСК14 АПРЕЛЯ 2016#CODEIB

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

В случае интеграции с почтовым сервером Microsoft Exchange с помощью интерфейса Microsoft Virus Scanning Application Interface (VSAPI) программные средства Системы должны обеспечивать

возможность проверки документов, хранящихся в базе данных, а также проверки при доступе к письму.

проверку всех почтовых ящиков, включая служебные почтовые ящики SystemMailbox, System Attendant;

фильтрацию и блокировку сообщений в зависимости от вероятности принадлежности их к спаму – по категориям спам, вероятно, спам и маловероятно спам;

Запуск задания на фоновую проверку в целях обнаружения ранее неизвестных вредоносных программ;

23


Отличный функционал, обеспечивающий актуальную защиту почты в любой

момент времени

Вот только производитель, начиная с MS Exchange 2013 убрал эту возможность защиты

Проверяется ли ваш трафик на уровне драйверов?Контролирует ли ваш поведенческий анализатор процесс, если эксплойт не обращается ни к чему за пределами процесса?

24


Любой документ до его использования или попадания в клиентскую программу должен быть проверен

Dr.Web ShellGuard – следующее поколение Dr.Web Process Heuristic не просто не позволяет вредоносным объектам внедриться в процессы других программ, а контролирует процессы изнутри

Учебный курс по защите от шифровальщиков

2525#CODEIB


2626#CODEIB


Убедитесь, что на компьютерах нет вирусов:

Вопросы? Благодарим за внимание!

Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки

8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!

8-800-33-DRWEB

#CODEIBГ. МИНСК14 АПРЕЛЯ 2016

http://www.drweb.com/

Software

Доктор Веб. Вячеслав Медведев. "Год 2016. Антивирусная безопасность в тисках угроз"