Upload
clouds-nn
View
103
Download
2
Embed Size (px)
DESCRIPTION
Информационная безопасность.
Citation preview
ОБЗОР УГРОЗ 2014
Павел АлександровИнженер предпродажной поддержки в ПФО[email protected]
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
29
1994Один новый вирус каждый час
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
30
2006Один новый вирус каждую минуту
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
31
2011Один новый вирус каждую секунду
Или 70 000 образцов в день
EVOLUTION OF MALWARE
32
Что насчёт
2014 ?
EVOLUTION OF MALWARE
33
«Лаборатория Касперского»сейчас обрабатывает
315 000уникальных образцов
вредоносных программкаждый день
Основные цифры и статистика
IT-БЕЗОПАСНОСТЬ В 2013
2013 В ЧИСЛАХ - ОБЗОР
35
Согласно данным облачной инфраструктуры Kaspersky Security Network, продукты компании нейтрализовали 5 188 740 554 кибератак на пользовательских компьютерах и мобильных устройствах.
Решения «Лаборатории Касперского» предотвратили 1700 870 654 атак, инициированных множеством вредоносных онлайн-ресурсов, расположенных по всему миру.
Продукты компании перехватили почти 3 миллиарда попыток локального заражения пользовательских компьютеров. При этом этого было обнаружено 1.8 миллиона вредоносных и подозрительных программ.
45% всех веб-атак, заблокированных решениями «Лаборатории Касперского», были инициированы вредоносными онлайн-ресурсами, находящимися в США и России
Боремся с киберзлоумышленниками по всему миру
ПРИЛОЖЕНИЯ, ЧЬИ УЯЗВИМОСТИ ИСПОЛЬЗУЮТСЯ ЗЛОУМЫШЛЕННИКАМИ
36
Представленная статистика по содержащим уязвимости приложениям основана на данных о попытках использования злоумышленниками соответствующих эксплойтов. Учтены как заблокированные веб-атаки, так и предотвращённые локальные заражения, в том числе и на мобильных устройствах.
ОПЕРАЦИОННЫЕ СИСТЕМЫ НАШИХ ПОЛЬЗОВАТЕЛЕЙ
37
61,5% пользователей «Лаборатории Касперского», согласившихся участвовать в Kaspersky Security Network, используют различные версии Windows 7
Однако 26,58% по-прежнему пользуются системами поколения Windows XP
Microsoft прекращает поддержку Windows XP в апреле 2014!
ОНЛАЙН УГРОЗЫ
38
Число атак, которые были инициированы расположенными по всему миру веб-ресурсами, увеличилось с 1 595 587 670 в 2012 до 1 700 870 654.
Это означает, что продукты «Лаборатории Касперского» защищали своих пользователей в сети в среднем 4 659 920 раз в день.
Распределение онлайн-ресурсов с вредоносным ПО по странами
РИСК ОНЛАЙН-ЗАРАЖЕНИЯ
39
В среднем глобальный риск заражения в Интернете вырос на 6,9 пунктов: в 2013 году 41,6% пользователей как минимум раз сталкивались с атакой из Сети
Интернет по-прежнему является основным источником вредоносных программ для пользователей в большинстве стран мира
Статистика
МОБИЛЬНЫЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
41
1 160 образцов
20116 193 образцов2004 – 2010
Декабрь2 137
образцов
2011 был годом мобильных вредоносов
А что насчёт 2012?
В2012
мы обнаружи
ли39,807
образцов
ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ
1,160 samples
2004 – 20102011
6,193 samples
December2,137
samples
What about 2012?
2013:Всего было
обнаружено 143 211 образцов
ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНЫХ ЗА 2013 ГОД
43
Платформа Android по-прежнему является основной целью атак, подтверждая одновременно как её популярность, так и уязвимость
В 2013 общее число новых найденных образцов вредоносного кода составило 143 211
Так как один и тот же вредоносный код внедряется в разные приложения, всего таких программ для Android за 2013 год было найдено 3 905 502
За 2012 и 2013 в сумме было найдено примерно 10 миллионов вредоносных программ для Android
Мобильные платформы под прицелом
ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНАХ ЗА 2013 ГОД
44
Большинство вредоносных программ нацелено на кражу денег
В течение года число модификаций мобильных зловредов, нацеленных на фишинг, кражу данных кредитных карт и денежных средств, увеличилось почти в 20 раз
В 2013 году решения для мобильных платформ «Лаборатории Касперского» предотвратили 2 500 заражений банковскими троянцами.
Виды мобильных зловредов
ТЕНДЕНЦИЯ – БАНКОВСКИЕ ТРОЯНЦЫ
45
В 2013 было отмечено резкое увеличения числа банковских троянцев, нацеленных на Android
Кибериндустрия мобильных вредоносов становится более сфокусированной на получении прямой прибыли с помощью фишинга, кражи данных кредитных карт, осуществления финансовых транзакций со счёта жертвы на счета мобильных телефонов и оттуда на электронные кошельки злоумышленников.
Число мобильных банковских троянцев в коллекции «Лаборатории Касперского»
МОБИЛЬНЫЕ ЗЛОВРЕДЫ – ГЕОГРАФИЯ УГРОЗ
46
Мобильные угрозы зависят от региона – злоумышленники пользуются различными категориями вредоносного ПО в разных регионах и странах
Странадоля всех
атакованных пользователей
1 Россия 40.34%
2 Индия 7.90%
3 Вьетнам 3.96%
4 Украина 3.84%
5Соединённое Королевство
3.42%
Текущие угрозы
ИНЦИДЕНТЫ
МАСКА
48
Маска – глобальная сеть кибершпионажа, которая функционирует как минимум с 2007 года
Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.
Название происходит от испанского разговорного слова "Careto" («Маска»), которое авторы использовали в названии некоторых модулей.
МАСКА
49
С помощью алгоритмов идентификации мы насчитали более 380 уникальных жертв среди более чем 1 000 IP-адресов
В числе основных жертв:
Государственные учреждения
Дипломатические посольства и миссии
Нефтегазовые компании
Исследовательские институты
Частные инвестиционные компании
Активисты
KASPERSKY SECURITY ДЛЯ ВИРТУАЛЬНЫХ СРЕДПРЕДСТАВЛЯЕМ «ЛЕГКИЙ АГЕНТ»
КАК ИЗМЕНИЛИСЬ РИСКИ БЕЗОПАСНОСТИС ПРИХОДОМ ВИРТУАЛЬНЫХ СРЕД?
51
► Данные пользователей отделены от среды вычислений
► Срок жизни ВМ уменьшился
► Срок развертывания новой ВМ из шаблона минимален
► Усилилась взаимозависимость. Нестабильность одной ВМ может оказывать влияние на всю инфраструктуру.
► Сохранились традиционные риски ИБ– утечка данных, потеря данных
► Сохранился риск нарушения непрерывности бизнеса
ВРЕДОНОСНОЕ ПО В ВИРТУАЛЬНЫХ СРЕДАХ
52
► РАБОТАЮТ ЛИ ВИРУСЫ В ВИРТУАЛЬНЫХ СРЕДАХ??► УЯЗВИМЫ ГОСТЕВЫЕ ОС. БОЛЬШИНСТВО
ТРАДИЦИОННЫХ ВИРУСОВ НЕЗАВИСИМЫ ОТ СРЕД ВИРТУАЛИЗАЦИИ
ДА
► ИСПОЛЬУЮТ ЛИ СПЕЦИФИКУ ВИРТУАЛЬНЫХ СРЕД??ДА
► ПЕРВЫЙ ТРОЯН, ЗАРАЖАЮЩИЙ ШАБЛОНЫ ВИРТУАЛЬНЫХ МАШИН VMWARE БЫЛ НАЙДЕН В 2012 (MORCUT)
► МОГУТ ЛИ ВЫЖИВАТЬ В ВИРТУАЛЬНОЙ СРЕДЕ??ДА
► СЕТЕВОЙ ЧЕРВЬ, ПРОШЕДШИЙ ЧЕРЕЗ КОРПОРАТИВНЫЙ ПЕРИМЕТР, МОЖЕТ ЖИТЬ СКОЛЬ УГОДНО ДОЛГО
ВАРИАНТЫ ЗАЩИТЫ ВИРТУАЛЬНОЙ СРЕДЫ
53
Без защитыТрадиционн
ыерешения
Решения для виртуализац
ии
Не
Вариант
?
ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ТРАДИЦИОННЫХ АНТИВИРУСНЫХ РЕШЕНИЙ В ВИРТУАЛЬНЫХ СРЕДАХ
54
1. Совместимость
• Поддерживает ли официально ваш антивирус ESXi? (Xen? Hyper-V?)
• Как поведет себя антивирус под действуем vMotion, XenMotion, и.т.п.?
2. Специфика виртуальных сред:
• Сканирование по расписанию => деградация производительности хоста
• Обновление антивирусных баз => деградация производительности хоста
• Для шаблонов виртуальных машин – устаревание антивирусных сигнатур
3. Отношение защита/производительность
РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
55
Антивирусная защита на уровне гипервизора посредством VMware vShield Endpoint API
1. Защищаемые виртуальные машины содержат только драйверы VMware
2. Специальная машина защитысодержит антивирусное решение
3. Запросы на проверку отсылаются на машину защиты.
4. Обработка запросов и обновления базсконцентрированы на одной виртуальной машине в пределах хоста
Запрос на проверку
Вердикт Только VMware
РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ
56
Преимущества
1. Совместимость обеспечивается вендором
2. Решается проблема «штормов»:
• Антивирусные базы на одной машине
3. Снижается нагрузка на ресурсы гипервизора
• Меньше «след» машин в памяти
• Избегаем повторного сканирования (общий кэш вердиктов)
► ТОЛЬКО ДЛЯ VMWARE. КАК БЫТЬ ПОЛЬЗОВАТЕЛЯМ HYPER-V? XEN?
Запрос на проверку
Вердикт Только VMware
РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | ЛЕГКИЙ АГЕНТ
57
Добавляется небольшое
приложение для
резидентной защиты
Hyper-V, Xen
Антивирусная защита на уровне гипервизора: Легкий агент
1. Отличия в реализации:
• Дополнительное лёгкое приложениена защищаемой ВМ.
• Не использует VMware API
• Содержит дополнительные модули защиты
2. Поддерживает Hyper-V и Citrix (Xen)
3. Наиболее полный набор технологий защиты:
• Система защиты от вторжений и сетевой экран
• Контроль приложений/web/устройств
• Проверка памяти и системных процессов
4. Оптимальное потребление ресурсов при настраиваемом уровне защиты
KSV | ЛЕГКИЙ АГЕНТ ДЛЯ HYPER-V
58
► ЗАЩИТА НА УРОВНЕ ГИПЕРВИЗОРА
► ВОЗМОЖНОСТЬ РАЗВЕРТЫВАНИЯ НА ФУНКЦИОНИРУЮЩИЕ СИСТЕМЫ БЕЗ ПЕРЕЗАГРУЗКИ
► ПОД ДЕЙСТВИЕМ LIVE MIGRATION ЗАЩИЩАЕМЫЕ МАШИНЫ АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ
► СОВМЕСТИМОСТЬ: LIVE BACKUP
Hyper-V 2008 R2, Hyper-V 2012
KSV | ЛЕГКИЙ АГЕНТ ДЛЯ CITRIX XEN
59
► УСТАНОВКА НА ШАБЛОН ВИРТУАЛЬНОЙ МАШИНЫ VDI ПУЛА
► СОЗДАННЫЕ МАШИНЫ ИЗ ШАБЛОНА АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ И НАЧИНАЮТ РАБОТАТЬ
► ПОДДЕРЖИВАЕТ УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ ЧЕРЕЗ CITRIX RECEIVER ПОСРЕДСТВОМ ПРОТОКОЛА MULTI-STREAM ICA
► ПРИ ПЕРЕХОДЕ НА СОСЕДНИЙ ХОСТ ПОД ДЕЙСТВИЕМ XENMOTION АВТОМАТИЧЕСКИ ВЫБИРАЕТСЯ БЛИЖАЙШАЯ МАШИНА ЗАЩИТЫ
► ПОДДЕРЖКА PERSONAL VDISK, VM PROTECTION& RECOVERY
Xen 6.0.2 и Xen 6.1
XenDesktop 5.6
БЛОКИРОВАНИЕ ФИШИНГОВЫХ И ЗАРАЖЕННЫХ САЙТОВ
60
ЗАЩИТА ФАЙЛОВОЙ СИСТЕМЫ, ПРОВЕРКА ПАМЯТИ И ПРОЦЕССОВ
АВТОМАТИЧЕСКАЯ ЗАЩИТА ОТ ЭКСПЛОЙТОВ, ЗАЩИТА ОТ ОТКЛЮЧЕНИЯ (САМОЗАЩИТА)
СЕТЕВАЯ ЗАЩИТА – ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ, СЕТЕВОЙ ЭКРАН, ЗАЩИТА ОТ АТАК.
KSV | ЛЕГКИЙ АГЕНТТЕХНОЛОГИИ ЗАЩИТЫ
KSV | ЛЕГКИЙ АГЕНТТЕХНОЛОГИИ КОНТРОЛЯ
61
Контроль Web
Контроль приложений
Контроль устройств
62
► Локальный кэш вердиктов Не нужно перепроверять файлы и приложения
► Общий кэш вердиктов
Не нужно проверять одинаковые файлы на разных VM
Существенно увеличивает производительность для сценария VDI (много одинаковых файлов)
► Централизованное обновление баз
► Оптимизация файловых операций как на каждой VM, так и в рамках всего хоста.
KSV | ЛЕГКИЙ АГЕНТВЫСОКАЯ ПРОИЗВОДИТЕЛЬНОСТЬ
63
► Тестовый стенд : IBM System x3550 M3 (Intel Xeon 6 Cores), 128 GB RAM СХД IBM DS3400 (12x450Gb 15K SAS) Гостевая операционная система: Win7 Офисная нагрузка : сеть, outlook, excel, файлы
► Достигнутый уровень консолидации: 100+ машин под защитой на одном хосте (около 15 VM на ядро)
► Дисковые операции:
Выигрыш от 20% до 50% по сравнению с традиционным решением
Сокращение дисковой очереди: в разы
3 14 25 36 47 58 69 80 91 102 1130
100200300400500600700
PhysicalDisk\Disk Writes/sec
BaselineTraditionalKSV LA
3 11 19 27 35 43 51 59 67 75 83 91 99 107 115 1230
10
20
30
40
PhysicalDisk\Avg. Disk Queue Length
KSV | ЛЕГКИЙ АГЕНТРЕАЛЬНАЯ ПРОВЕРКА ПРОИЗВОДИТЕЛЬНОСТИ
64
ПО РЕСУРСАМ (ЯДРО)
ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ ВСЕХ ГИПЕРВИЗОРОВ – HYPER-V, XEN, ESXi
ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ БЕЗАГЕНТСКОГО РЕШЕНИЯ И ЛЕГКОГО АГЕНТА
KSVГИБКОЕ ЛИЦЕНЗИРОВАНИЕ
ПО ВИРТУАЛЬНЫМ МАШИНАМ
По серверам
По рабочим станциям
1 2 3PAGE 65 |
Спасибо за внимание, вопросы!
Павел Александров
Инженер предпродажной поддержки в ПФОЕ-mail: [email protected]