Антивирусное ПО как средство борьбы с кибер-преступностью Андрей Зеренков Руководитель службы консалтинга Лаборатория Касперского, ЕЕМЕА

CSI/FBI: динамика распределения ИТ-угроз Источник: CSI/FBI Computer Crime and Security Survey 2007

CSI/FBI: динамика потерь респондента в тыс. $ Источник: CSI/FBI Computer Crime and Security Survey 2007

CSI/FBI: распределение $ потерь в 2007 Источник: CSI/FBI Computer Crime and Security Survey 2007

Динамика количества вредоносных программ Источник: данные «Лаборатории Касперского»

Активность вредоносных программ в 2007 году Основное направление – троянские программы, специализирующимся на краже информации Основное направление – троянские программы, специализирующимся на краже информации банковские и платежные системы банковские и платежные системы онлайн-игры онлайн-игры Продолжается тесное сотрудничество между авторами вредоносных программ и спамерами Продолжается тесное сотрудничество между авторами вредоносных программ и спамерами все крупные эпидемии (Warezov, Zhelatin/Storm, Bagle) имели своей целью создание ботнетов для последующей рассылки спама через зараженные компьютеры, а также сбор адресов электронной почты для создания баз спам-рассылок все крупные эпидемии (Warezov, Zhelatin/Storm, Bagle) имели своей целью создание ботнетов для последующей рассылки спама через зараженные компьютеры, а также сбор адресов электронной почты для создания баз спам-рассылок Проникновение вредоносных программ – преимущественно через электронную почту и уязвимости в браузерах Проникновение вредоносных программ – преимущественно через электронную почту и уязвимости в браузерах отсутствие новых критических уязвимостей в сетевых службах Windows объясняет отсутствие крупных эпидемий сетевых червей отсутствие новых критических уязвимостей в сетевых службах Windows объясняет отсутствие крупных эпидемий сетевых червей

Инструменты кибер-криминала Вредоносные программы Вредоносные программы Несанкционированный доступ к данным, шпионаж Несанкционированный доступ к данным, шпионаж Нештатное поведение и использование оборудования и ПО Нештатное поведение и использование оборудования и ПО Спам Спам Потеря денег/времени, риск потери важных писем Потеря денег/времени, риск потери важных писем Риск мошенничества Риск мошенничества Риск заражения вирусами Риск заражения вирусами Интернет-атаки Интернет-атаки Отказ/замедление работы узлов/сегментов сети, DDoS Отказ/замедление работы узлов/сегментов сети, DDoS Перебои в работе оборудования Перебои в работе оборудования Порча информации, вымогательство Порча информации, вымогательство

Источники централизованного заражения По данным «Akross» более сайтов содержат вредоносные программы, из них более появились в 1H07 По данным «Akross» более сайтов содержат вредоносные программы, из них более появились в 1H07 Китай и США – преимущественно взломанные сайты Китай и США – преимущественно взломанные сайты Россия и Бразилия – на ресурсах бесплатного хостинга Россия и Бразилия – на ресурсах бесплатного хостинга МестоСтрана% 1Китай31,44 2США25,90 3Россия11,05 4Бразилия4,40 5Южная Корея3,64 6Аргентина2,90 7Германия2,31 8Франция1,70 9Панама1,53 10Голландия1,31 Распределение по IP адресам (погрешность определения упакованных неизвестными упаковщиками известных образцов – менее 1%) Источник: данные «Лаборатории Касперского»

Чаще всего пользователь получает электронное сообщение от известного (или неизвестного) адресата примерно следующего содержания: Чаще всего пользователь получает электронное сообщение от известного (или неизвестного) адресата примерно следующего содержания: Приведённая ссылка на YouTube – фиктивная, реально она приводит на страницу «Video Missing», но в ней спрятан IP-адрес совсем другого сайта Приведённая ссылка на YouTube – фиктивная, реально она приводит на страницу «Video Missing», но в ней спрятан IP-адрес совсем другого сайта В результате нажатия ссылки click here, пользователь запускает файл video.exe (вариант червя Zhelatin/Storm) В результате нажатия ссылки click here, пользователь запускает файл video.exe (вариант червя Zhelatin/Storm) Использование Интернет-источников заражения

Механизм создания ботнета 1. Вирусописатель – заражает ПК с помощью троянских программ 2. Объединение заражённых ПК в ботнет с единым управлением 3. Продажа или «аренда» машинного времени ботнета 4. Централизованное управление ботнетами, передача зловредной деятельности на зомби компьютеры 5. Рассылка спама, DDoS-атаки, расширение ботнета (рассылка вирусов) Источник:

Уровни противодействия кибер-криминалу Государство Государство Уголовное преследование Уголовное преследование Предложения по ужесточению законодательства Предложения по ужесточению законодательства Межгосударственные соглашения (процедуры борьбы) Межгосударственные соглашения (процедуры борьбы) Интернет-провайдеры Интернет-провайдеры Фильтрация трафика от вирусов и спама Фильтрация трафика от вирусов и спама Отслеживание чистоты исходящего от пользователя трафика Отслеживание чистоты исходящего от пользователя трафика Предупреждение о заражении и последующее отключение Предупреждение о заражении и последующее отключение Предложение услуг по управлению антивирусной защитой ПК пользователей Предложение услуг по управлению антивирусной защитой ПК пользователей Организации и частные пользователи Организации и частные пользователи Использование современных средств антивирусной защиты Использование современных средств антивирусной защиты Комплексные методы защиты Комплексные методы защиты Актуальные версии АПО и антивирусных баз Актуальные версии АПО и антивирусных баз

Что есть «современные средства AV-защиты»? Множество продуктов различных производителей, но «не все йогурты одинаково полезны», как минимум: Множество продуктов различных производителей, но «не все йогурты одинаково полезны», как минимум: различное качество распознавания (детектирования) различное качество распознавания (детектирования) различная оперативность (скорость реакции на новые образцы) различная оперативность (скорость реакции на новые образцы) различный функционал различный функционал сертификация сертификация Международных лабораторий Международных лабораторий Производителей программных и аппаратных платформ Производителей программных и аппаратных платформ Государственных органов Государственных органов Современная архитектура комплексной системы защиты или, в противном случае: Современная архитектура комплексной системы защиты или, в противном случае: наличие незакрытых уязвимостей в используемых ОС и приложениях наличие незакрытых уязвимостей в используемых ОС и приложениях отсутствие контроля за действиями пользователей отсутствие контроля за действиями пользователей Выверенные процессы и процедуры эксплуатации установленных систем и средств, или же: Выверенные процессы и процедуры эксплуатации установленных систем и средств, или же: несвоевременное обновление средств защиты несвоевременное обновление средств защиты несоблюдение политики безопасности сотрудниками, вплоть до отключения установленных средств защиты несоблюдение политики безопасности сотрудниками, вплоть до отключения установленных средств защиты

AV-Comparatives (август2007) – уровень детекта Advanced+AdvancedStandard

Английский журнал PC Pro (коллекция MessageLabs) Источник: (2007)

AV-Comparatives (ноябрь2007) – проактивная защита Advanced+AdvancedStandard

KAV 6.0 for WinWks как пример комплексной защиты Централизованно управляемая защита от вредоносных программ на уровне файлообменных операций, почтового и Интернет-трафика Централизованно управляемая защита от вредоносных программ на уровне файлообменных операций, почтового и Интернет-трафика Лучшее в индустрии качество обнаружения вредоносных программ сигнатурными методами Лучшее в индустрии качество обнаружения вредоносных программ сигнатурными методами Мощный поведенческий блокиратор, обеспечивающий сравнимое с сигнатурным методом качество обнаружения Мощный поведенческий блокиратор, обеспечивающий сравнимое с сигнатурным методом качество обнаружения мониторинг системного реестра с откатом вредоносных изменений мониторинг системного реестра с откатом вредоносных изменений контроль целостности приложений контроль целостности приложений Суммарная вероятность пропуска только двумя компонентами – сигнатурным движком и модулем проактивной защиты: Р Sum = P Sign * P PDM = 0,015 * 0,06 = 0,00009 Суммарная вероятность пропуска только двумя компонентами – сигнатурным движком и модулем проактивной защиты: Р Sum = P Sign * P PDM = 0,015 * 0,06 = 0,00009 Эвристический анализатор, обеспечивающий детектирование на принадлежность семейству/виду Эвристический анализатор, обеспечивающий детектирование на принадлежность семейству/виду Модуль Анти-Хакер, обеспечивающий блокировку и входящего, и исходящего трафиков и на уровне протоколов, и на уровне приложений Модуль Анти-Хакер, обеспечивающий блокировку и входящего, и исходящего трафиков и на уровне протоколов, и на уровне приложений Ряд других возможностей (макро и скрипт вирусы, анти-фишинг, анти- реклама, анти-дозвон, поддержка Cisco NAC,…) Ряд других возможностей (макро и скрипт вирусы, анти-фишинг, анти- реклама, анти-дозвон, поддержка Cisco NAC,…)

Скорость реакции производителя

Производительность АПО

Одно из многосторонних сравнений Источник :

Объекты защиты Внешние каналы передачи информации и управления Внешние каналы передачи информации и управления Доля спама уже не снижается ниже 75%, а в пиковые периоды достигает 95% Доля спама уже не снижается ниже 75%, а в пиковые периоды достигает 95% Каналы в очень большой степени используются для распространения вредоносных программ и для организации спам-рассылок Каналы в очень большой степени используются для распространения вредоносных программ и для организации спам-рассылок Внутренние информационные каналы Внутренние информационные каналы Проникновение и распространение вредоносных программ, включая эпидемии – Интернет и почтовый трафик Проникновение и распространение вредоносных программ, включая эпидемии – Интернет и почтовый трафик Системы обработки и хранения данных – серверы, рабочие станции и мобильные устройства Системы обработки и хранения данных – серверы, рабочие станции и мобильные устройства Интернет и почтовый трафики, а также файлообменные операции Интернет и почтовый трафики, а также файлообменные операции

Kaspersky ® OpenSpace Security Концепция и продукты ЛК удовлетворяют всем современным требованиям к построению систем информационной защиты Концепция и продукты ЛК удовлетворяют всем современным требованиям к построению систем информационной защиты Безопасная рабочая среда не ограничена стенами офиса: Безопасная рабочая среда не ограничена стенами офиса: Обязательна полноценная защита удалённых ПК и ноутбуков Обязательна полноценная защита удалённых ПК и ноутбуков Также требуется защита КПК и смартфонов Также требуется защита КПК и смартфонов В рамках офиса обеспечивается: В рамках офиса обеспечивается: Защита рабочих станций и серверов файлов и приложений (Windows, Linux) Защита рабочих станций и серверов файлов и приложений (Windows, Linux) Защита внутренних почтовых серверов (Exchange, Lotus Notes/Domino, ClearSwift, MTA *nix) Защита внутренних почтовых серверов (Exchange, Lotus Notes/Domino, ClearSwift, MTA *nix) Защита Интернет (Microsoft ISA Server, CheckPoint Firewall-1, Squid/Linux) и почтовых шлюзов (от вредоносных программ и спама) Защита Интернет (Microsoft ISA Server, CheckPoint Firewall-1, Squid/Linux) и почтовых шлюзов (от вредоносных программ и спама) Централизованное управление и мониторинг многоуровневыми распределёнными системами Централизованное управление и мониторинг многоуровневыми распределёнными системами

Факторы, затрудняющие противодействие Анонимность Анонимность Добровольная авторизация пользователей Добровольная авторизация пользователей Создание государственных сервисов, использующих единую аутентификацию и авторизацию пользователей Создание государственных сервисов, использующих единую аутентификацию и авторизацию пользователей Предоставление коммерческих льгот авторизованному пользователю Предоставление коммерческих льгот авторизованному пользователю Сложности юридического противодействия Сложности юридического противодействия Международный характер кибер-криминала Международный характер кибер-криминала Трудоемкость и высокая стоимость сбора доказательной базы Трудоемкость и высокая стоимость сбора доказательной базы Скромная судебная практика, готовность судов Скромная судебная практика, готовность судов Обеспечение фильтрации вредоносного трафика и спама Обеспечение фильтрации вредоносного трафика и спама На уровне провайдера На уровне провайдера На уровне пользователя На уровне пользователя

Необходимые составляющие успеха Гармонизация национального законодательства с требованиями международного права по борьбе с компьютерной преступностью Гармонизация национального законодательства с требованиями международного права по борьбе с компьютерной преступностью Активное государственное регулирование вопросов обеспечения безопасности в Интернет Активное государственное регулирование вопросов обеспечения безопасности в Интернет На уровне Интернет-провайдеров На уровне Интернет-провайдеров На уровне гос. организаций На уровне гос. организаций На уровне коммерческих организаций и индивидуальных пользователей На уровне коммерческих организаций и индивидуальных пользователей Высокая профессиональная подготовка правоохранительных органов от следователя до судебной системы Высокая профессиональная подготовка правоохранительных органов от следователя до судебной системы Сотрудничество и правовой механизм по взаимодействию правоохранительных органов различных государств Сотрудничество и правовой механизм по взаимодействию правоохранительных органов различных государств

Благодарю за внимание! Благодарю за внимание! Андрей Зеренков Руководитель службы консалтинга Лаборатория Касперского, ЕЕМЕА