Технологии и продукты Microsoft в обеспечении ИБ Лекция 15. Защита от вирусных угроз

Высшая школа экономики Цели Рассмотреть типы информационных вирусов. Изучить основные типы антивирусных средств защиты – средства контроля целостности, антивирусные мониторы и сканеры, антивирусные шлюзы. Познакомиться с новыми подходами к построению антивирусных средств защиты Выявить основное отличие продукта Microsoft ForeFront от других антивирусных решений

Высшая школа экономики Типы вирусных угроз [ГОСТ Р ] Компьютерный вирус - специально созданный программный код, способный самостоятельно распространяться в компьютерной среде файловые и загрузочные вирусы «сетевые черви» бестелесные вирусы комбинированный тип «Троянский конь» (Trojan Horses) Spyware Adware

Высшая школа экономики Модель нарушителя

Высшая школа экономики Модель защиты от потенциального нарушителя антивирусной безопасности

Высшая школа экономики Решение одного производителя Одно и то же ядро сканирования используется на уровне шлюзов, серверов и рабочих станциях Недостатки подхода: Недостатки подхода: Зависимость от одной антивирусной лаборатории Зависимость от одной антивирусной лаборатории Неизбежность очередей и задержек на серверах по время обновления баз данных сигнатур антивирусного ПО Неизбежность очередей и задержек на серверах по время обновления баз данных сигнатур антивирусного ПО Одна точка уязвимости всей системы Одна точка уязвимости всей системы Почтовый сервер Межсетевой экран SMTP-шлюз AV AV AV AV AV AV Вирусы Интернет

Высшая школа экономики Решения разных производителей Для выявления вирусов используются различные продукты от разных производителей Почтовый сервер Вирусы Межсетевой экран SMTP-шлюз Интернет AV AV AV AV AV AV

Высшая школа экономики Многоядерная антивирусная защита централизованное управление несколькими серверами централизованное управление политиками Интернет Exchange Server / Windows SMTP Server Client Security / ISA / Intelligent Application Gateway Share Point / Office Communications Server (H2.2007) AV AV AV AV MS Forefront

Высшая школа экономики Ядра, входящие в состав Forefront До 9-ти антивирусных ядeр одновременно из следующего списка: Microsoft Antimalware engine Sophos Virus Detection (Англия) Computer Associates – Vet (Австралия) Norman Data Defense (Швеция) Computer Associates – Inoculate (Израиль) Лаборатория Касперского (Россия) Virus Buster (Венгрия) Authentium Command Antivirus (США) AhnLab (Южная Корея)

Высшая школа экономики Загрузка процессора Зависимость загрузки процессора от количества антивирусных ядер По результатам тестов компании 3Sharp (октябрь, 2006)

Высшая школа экономики Управление составом антивирусных ядер Forefront Ядро 1 Ядро 1 Ядро 4 Ядро 4 Ядро 2 Ядро 2 Ядро 3 Ядро 3 Нейтральный выбор: использование 50% ядер Нейтральный выбор: использование 50% ядер Больше производительности: использование 25% ядер Больше производительности: использование 25% ядер Максимум производительности: использование одного ядра для каждого сканирования Максимум производительности: использование одного ядра для каждого сканирования Максимум надёжности: использование всех имеющихся ядер (100%) Максимум надёжности: использование всех имеющихся ядер (100%) Больше надёжности: использование 75% ядер Больше надёжности: использование 75% ядер

Высшая школа экономики Управление составом антивирусных ядер Forefront Нейтральный выбор: использование 50% ядер Нейтральный выбор: использование 50% ядер Больше производительности: использование 25% ядер Больше производительности: использование 25% ядер Максимум производительности: использование одного ядра для каждого сканирования Максимум производительности: использование одного ядра для каждого сканирования Максимум надёжности: использование всех имеющихся ядер (100%) Максимум надёжности: использование всех имеющихся ядер (100%) Больше надёжности: использование 75% ядер Больше надёжности: использование 75% ядер Ядро 4 Ядро 4 Ядро 2 Ядро 2

Высшая школа экономики Решения Forefront Сервер Live Communications Live Communications Сервер SharePoint Сервера Exchange Межсетевой экран ISA Server Сервер Windows SMTP Вирусы, черви и спам Сообщения и документы Электроннаяпочта Многоуровневая защита защита Интеграция с инфраструктурой Контроль контента контента

Высшая школа экономики Защита периметра Защита серверных приложений Защита клиентской и серверной ОС Всесторонняя защита бизнес- приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления Microsoft Forefront

Высшая школа экономики Обеспечение безопасности конечных точек (EndPoint Protection) = защита от вредоносного ПО + оценка здоровья Интеграция с существующей инфраструктурой (SQL, AD, GPO, WSUS) Высоко масштабируемое решение Продвинутая отчетность Низкая стоимость владения Forefront Client Security

Высшая школа экономики Соответствует ли моя инфраструктура рекомендациям по безопасности? Как изменяется во времени уровень уязвимости системы? Какая часть моей инфраструктуры наиболее уязвима? Контроль и отчетность

Высшая школа экономики Forefront будет защищать большой адронный коллайдер CERN: "By the end of this year, all NICE PCs will have MS Forefront Client Security installed. This new anti-virus and anti-malware application will replace the current anti-virus product from Symantec. The reasons for this change include the small footprint of the client application, excellent response times for pattern updates and very good integration with the existing NICE infrastructure."

Высшая школа экономики Microsoft Security Essentials Новый бесплатный пакет антивирусных приложений от компании Microsoft 23 июня 2009 года выпущена ограниченная публичная бета-версия продукта, доступная для скачивания только первым пользователям из США, Израиля и Бразилии Релиз финальной версии состоится осенью 2009 г. Будет представлен на 20 рынках и 10 языках.

Высшая школа экономики Особенности Microsoft Security Essentials На ранней стадии разработки программа была известна под кодовым именем Morro Придет на смену коммерческому сервису Windows Live OneCare Microsoft Security Essentials включает в себя только движок по удалению вредоносных кодов Во время инсталяции MSE Windows Defender будет отключен Антивирусные базы для MSE будут выходить раз в сутки

Высшая школа экономики уровня угрозы серьезная угроза высокий уровень средний уровень низкий уровень угрозы

Высшая школа экономики Варианты сканирования Быстрый сканирует лишь папку Windows и запущенные процессы Полный Выборочный можно указать в каких папках произвести сканирование

Высшая школа экономики Возможности Возможность удаления наиболее распространенных вредоносных программ Возможность удаления известных вирусов Антивирусная защита в реальном времени Возможность удаления известных шпионских программ Защита от шпионских программ в реальном времени.

Высшая школа экономики Производительность Ограничение загрузки процессора (в результате чего система всегда будет оставаться отзывчивой на запросы пользователя); Сканирование во время отдыха (сканирование и обновление будут иметь низкий приоритет и будут выполнять только во время отдыха компьютера); Умное кэширование и использование памяти (не используемые сигнатуры вирусов не загружаются в память).

Высшая школа экономики Интерфейс Схож с Windows Defender 4 вкладки Home - демонстрируются сведения о работе программы и актуальности антивирусных баз, а также представлены опции для выполнения быстрой, полной или частичной проверки компьютера на предмет наличия вредоносного программного обеспечения Update - фигурирует одноимённая клавиша и отображаются сведения об обновлении приложения и антивирусных сигнатур History - говорит само за себя, и в ней можно просмотреть историю работы пакета с указанием всех файлов, в которых найдены вирусы Settings - представлены различные настройки антивируса.

Высшая школа экономики Интерфейс

Высшая школа экономики Обнаружение вирусов

Высшая школа экономики Тестирование MSE Компания AV-Test GmbH Платформы: Windows XP, Vista и Windows наиболее актуальных вирусов, троянов и червей Результат "Все файлы были должным образом продиагностированы и вылечены. Это отличный результат, так как многие антивирусы до сих пор не определяют эти вирусы". "Ни один из безопасных файлов не был помечен как вредоносный - это отличный результат".

Высшая школа экономики Использованные источники Сердюк В.А. Комплексный подход к защите компании от вредоносного кода // "Документальная электросвязь", 19, 2008 Сердюк В.А. Комплексный подход к обеспечению безопасности на основе многоуровневой защиты от вирусных угроз // "Документальная электросвязь" 17, 2006 Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008 Калихман Р. Forefront Client Security: технический обзор // Microsoft, слайды. Косинов М. Защита на уровне периметра сети: Microsoft ForeFront TMG и Microsoft Forefront IAG // Softline, слайды, Трофимов А. ForeFront TMG: обзор преемника ISA Server // Microsoft, слайды.

Спасибо за внимание!