Trustworthy Computing Ждем Вас в 11:00 9 апреля на онлайн пресс-конференции Отчет Microsoft о безопасности Security Intelligence Report Volume 6: Новые данные об ИТ-угрозах в России и мире

Trustworthy Computing Владимир Мамыкин Директор по информационной безопасности Microsoft Россия Отчет Microsoft о безопасности Security Intelligence Report Volume 6: Новые данные об ИТ-угрозах в России и мире Ренат Минаждинов Руководитель программы взаимодействия с ИТ-сообществом и направления информационной безопасности, Microsoft Россия

Trustworthy Computing Безопасность Инсайдеры Вирусы Соответствие Хакеры Защита Утечки Инвестиции Мобильность Аутсорсинг Угрозы Информация Бизнес Кризис Лояльность Стандарты

Trustworthy Computing

6-й выпуск Security Intelligence Report содержит информацию о трендах, наблюдаемых за последние несколько лет в области информационной безопасности Основное внимание в отчете уделяется второй половине 2008 г. (2П08) Отчет содержит подробную информацию о Разглашениях уязвимостей ПО Эксплойтах Уязвимостях связанных с веб-обозревателями Вредоносном и потенциально нежелательном ПО Утечках информации Угрозах спама и фишинга Ложном ПО для безопасности Атакам связанным с форматами файлов. Различиям угроз для домашних пользователей и корпоративного сегмента Новое в v6.0

Trustworthy Computing Разглашения уязвимостей Common Vulnerabilities and Exposures National Vulnerability Database (NVD) Тематические сайты Сайты производителей ПО и сайты их служб поддержки Эксплойты уязвимостей Публично доступные ресурсы, включая архивы эксплойтов, уведомления антивирусов, группы рассылки, тематические сайты Microsoft Security Bulletins SecurityFocus

Trustworthy Computing

Рис. 1. Уязвимости, выявленные в отрасли, по степени серьезности согласно CVSS версии 2, по полугодиям (1П03 2П08) Рис. 2. Отраслевые показатели количества уязвимостей, затрагивающих операционные системы, браузеры и др. (2П03 2П08)

Trustworthy Computing Эксплойты, целью которых является ПО Microsoft и сторонних производителей, установленное на компьютерах под управлением ОС Windows Vista Эксплойты, целью которых является ПО Microsoft и сторонних производителей, установленное на компьютерах под управлениемОС Windows XP

Trustworthy Computing..использовавшихся при атаках на компьютеры под управлением Windows Vista..использовавшихся при атаках на компьютеры под управлением Windows XP Уязвимости ПО Microsoft Уязвимости ПО сторонних производителей

Trustworthy Computing Наиболее часто используемыми уязвимостями в ПО Microsoft Office являются самые старые из них. 91,3 % от общего количества проанализированных атак связаны с одной-единственной уязвимостью, исправление безопасности для которой было выпущено более двух лет назад (CVE ) Успешных атак с использованием формата документов Office 2007 зафиксировано не было

Trustworthy Computing Показатель использования файлов формата Adobe PDF в качестве вектора атаки резко возрос в период 2П08 (в июле количество таких атак более чем вдвое превысило общее количество атак за весь период 1П08) и удвоился или почти удвоился за оставшиеся месяцы указанного года Рис. 10. Эксплойты в Adobe Reader по месяцам 2008 г. по отношению к среднему показателю за период 2П08

Trustworthy Computing Основной выявленной причиной утечки данных продолжает оставаться кража оборудования, например ноутбуков (33,5 % от всех случаев потери данных по имеющимся сведениям). Вместе с потерей оборудования две эти категории составляют 50 % от общего числа зафиксированных случаев.

Trustworthy Computing В корпоративной среде атаки червей регистрировались намного чаще, чем на домашних ПК На домашних ПК зафиксировано намного больше программ-троянов, троянов-загрузчиков, троянов-сбрасывателей, программ для показа рекламы.

Trustworthy Computing Для России уровень инфицированности (CCM) составил 21.1 (+ (+59% к 1H08) (т.е. заражения были обнаружены на 21.1 из 1000 ПК, на которых запускалась программа MSRT) Средний показатель в мире составил 8.6

Trustworthy Computing

Производитель ПО непрерывно совершенствует код Производитель ПО выпускают обновление и информацию о противодействии потенциальной угрозе. Пользователи получают обновление и устанавливают его Злоумышленники получают общедоступное обновление и осуществляют... Производители антивирусов или самого ПО обнаруживают заразу и обновляют сигнатуры Таймер вкл. Таймер выкл. декомпиляция поиск деталей уязвимости поиск возможностей использовать эту уязвимость написание вредоносного кода запуск вредоносного кода в Интернет Вся информация доступна на Microsoft и другие участники индустрии объединили усилия в борьбе с Conficker Microsoft предложила награду в $250 тыс. долларов за информацию, которая приведет к аресту и осуждению распространителей вируса

Trustworthy Computing 4 из 5 этих угроз варианты семейства Taterf (червь, распространяющийся через подключаемые носители для кражи учетных записей и паролей для популярных онлайн-игр) Семейство Frethog это большая группа троянов для кражи паролей, которые охотятся за конфиденциальными данными, такими как учетные записи многопользовательских онлайн-игр Massive Multiplayer Online Games, например, World of Warcraft)

Trustworthy Computing ПО данного типа намеренно вводит пользователей в заблуждение относительно средства защиты Нацелены на кражу личных данных пользователя и заработок путем мошенничества Предоставляют мнимую (или минимальную) защиту от вредоносного кода

Trustworthy Computing 10 из топ 10 семейств являются вредоносным ПО 19 из топ 25 семейств являются вредоносным ПО Только 6 из топ 25 являются потенциальное нежелательным ПО Топ 25 семейств ответственны за 81.0% всех зараженных ПК в России

Trustworthy Computing

Руководства Средства разработки (SDL) Управление инфраструктурой Управление учетным записями Сервисы Защита информации Клиентские и серверные ОС Серверные приложения Периметр Сервера Рабочиестанции Локальная сеть

Trustworthy Computing Guidance Developer Tools Управление инфраструктурой Active Directory Federation Services (ADFS) Управление учетным записями Сервисы Защита информации Encrypting File System (EFS) BitLocker Network Access Protection (NAP) Клиентские и серверные ОС Серверные приложения Периметр

Trustworthy Computing Продукты семейства Forefront Server Security объединяют мощь лидирующих антивирусных движков от Microsoft и нескольких антивирусных лабораторий Каждый продукт Forefront Server Security может использовать до пяти антивирусных ядер при сканировании

Trustworthy Computing Быстрый ответ на новые угрозы Безостановочная защита благодаря избыточности Множество антивирусных ядер и более высокий уровень эвристики Время реакции (часов) Многоядерное решение Microsoft WildList Number Malware Name Forefront Set 1 Forefront Set 2 Forefront Set 3 Vendor A*Vendor B*Vendor C* 10/07 agobot_itw486.ex_ /07 autorun_itw11.ex_ /07 autorun_itw15.ex_ /07 ircbot_itw176.ex_ /07 ircbot_itw177.ex_ /07 ircbot_itw182.ex_ /07 sdbot_itw2410.ex_ /07 sdbot_itw2499.ex_ /07 sdbot_itw2511.ex_ /07 vb_itw29.ex_ /07 vbs_solow_itw26.vb /07 virut_itw12.ex_ /07 virut_itw14.ex_ /07 wogue_itw1.ex_ /07 1agent_itw8.ex_ /07 autorun_itw18.ex_ /07 feebs_itw89.ex_ /07 ircbot_itw232.ex_ /07 mabezat_itw1.ex_ /07 malas_itw1.ex_ /07 sdbot_itw2383.ex_ /07 sdbot_itw2533.ex_ /07 sdbot_itw2563.ex_ /07 sdbot_itw2582.ex_ /07 sdbot_itw2583.ex_ /07 vb_itw51.ex_ * Includes beta signatures ** 0.00 denotes proactive detection 1 Source: AV-Test.org 2008 ( Прочие одноядерные решения = Менее 5 часов = от 5 до 24 часов = Более 24 часов

Trustworthy Computing «Развернув в прошлом году в организации многоуровневую систему ИБ с помощью семейства продуктов Microsoft Forefront, мы были приятно удивлены как небольшими затратами на внедрение, так и общей технической эффективностью решения. Плюс, тот самый Conficker не имел никаких шансов в нашей сети!» - Андрей Григорьев, руководитель ИТ- отдела группы компаний "Связной"

Trustworthy Computing

Законодательные органы Индустрия Потребители Правоохранительные органы Правоохранительные органы

Trustworthy Computing – Россия стала первой страной в мире с которой Microsoft подписала соглашение Government Security Program о доступе к исходным кодам своих программ (подписано с НТЦ «Атлас» и ФСБ) На территории НТЦ «Атлас» организована лаборатория по исследованию исходных кодов продуктов Microsoft – она работает ПОСТОЯННО Коды доступны не только ФСБ, но и другим заинтересованным государственным организациям – ФСТЭК, Министерству обороны, Минатому, и другим.

Trustworthy Computing 31

Trustworthy Computing

Инструменты и документация Microsoft Security Assessment Toolkit Infrastructure Optimization Microsoft IT Showcase Microsoft Windows Vista Security Whitepapers Microsoft Security Intelligence Report Достоверная оперативная информация Достоверная оперативная информация Обучение и тренинги Learning Paths for Security Professionals

Trustworthy Computing Регулярно устанавливайте доступные обновления от Microsoft Разрешите автоматические обновления Используйте ресурс Microsoft Update (не только Windows Update), чтобы получать обновления для всех рподуктов Microsoft (см. Убедитесь, что сторонние приложения также обновлены Убедитесь, что вы используете обновленное антивирусное ПО от надежного поставщика, например, Microsoft Forefront Client Security или Windows Live OneCare. Антивирусное ПО может быть также получено от доверенных поставщиков, входящих в альянс Virus Information Alliance.Microsoft Forefront Client Security Windows Live OneCareVirus Information Alliance Не открывайте документы и ссылки полученные от неизвестных Корпоративным заказчикам необходимо убедиться, что политики безопасности внедрены, а инфраструктура соответствует принципам эшелонированной защиты (можно воспользоваться Microsoft Security Assessment Tool для оценки безопасности ИТ-инфраструктуры)Microsoft Security Assessment Tool Следуйте рекомендациям и обновлениям на страницах портала

Trustworthy Computing Мы будем очень рады ответить на ваши вопросы