VI В СЕРОССИЙСКАЯ ОТРАСЛЕВАЯ КОНФЕРЕНЦИЯ ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ИТ- СЛУЖБ ДЗО ОАО РАО «ЕЭС Р ОССИИ » Информационная безопасность объединённых сред – децентрализация и тиражирование или единое централизованное решение? Андрей ЗЕРЕНКОВ Руководитель службы консалтинга

CSI/FBI: динамика распределения ИТ-угроз Источник: CSI/FBI Computer Crime and Security Survey 2007

CSI/FBI: динамика потерь респондента в тыс. $ Источник: CSI/FBI Computer Crime and Security Survey 2007

Ежедневный рост антивирусных баз ЛК Источник: данные «Лаборатории Касперского» (по сентябрь 2007)

Активность вредоносных программ в 1H07 Основное направление – троянские программы, специализирующимся на краже пользовательской информации Основное направление – троянские программы, специализирующимся на краже пользовательской информации банковские и платежные системы банковские и платежные системы онлайн-игры онлайн-игры Продолжается тесное сотрудничество между авторами вредоносных программ и спамерами Продолжается тесное сотрудничество между авторами вредоносных программ и спамерами все крупные эпидемии (Warezov, Zhelatin, Bagle) имели своей целью создание ботнетов для последующей рассылки спама через зараженные компьютеры, а также сбор адресов электронной почты для создания баз спам-рассылок все крупные эпидемии (Warezov, Zhelatin, Bagle) имели своей целью создание ботнетов для последующей рассылки спама через зараженные компьютеры, а также сбор адресов электронной почты для создания баз спам-рассылок Проникновение вредоносных программ – преимущественно через электронную почту и уязвимости в браузерах Проникновение вредоносных программ – преимущественно через электронную почту и уязвимости в браузерах отсутствие новых критических уязвимостей в сетевых службах Windows объясняет отсутствие крупных эпидемий сетевых червей отсутствие новых критических уязвимостей в сетевых службах Windows объясняет отсутствие крупных эпидемий сетевых червей

Краткое резюме по ситуации Угроза вредоносных программ не становится менее опасной, скорее наоборот – в этом году она активно прогрессирует: Угроза вредоносных программ не становится менее опасной, скорее наоборот – в этом году она активно прогрессирует: подавляющее большинство вредоносных программ – троянцы различных типов, ворующие или искажающие информацию подавляющее большинство вредоносных программ – троянцы различных типов, ворующие или искажающие информацию они могут быть получены не только снаружи, но и занесены изнутри благодаря так называемому «человеческому фактору» они могут быть получены не только снаружи, но и занесены изнутри благодаря так называемому «человеческому фактору» высокое количество быстро модифицируемых версий почтовых червей и полиморфных вирусов требует максимально быстрой реакции и комбинированного использования различных технологий высокое количество быстро модифицируемых версий почтовых червей и полиморфных вирусов требует максимально быстрой реакции и комбинированного использования различных технологий Необходима всесторонняя защита всех устройств обработки информации на основе самых передовых технологий Необходима всесторонняя защита всех устройств обработки информации на основе самых передовых технологий

CSI/FBI: использование технологий защиты Источник: CSI/FBI Computer Crime and Security Survey 2007

CSI/FBI: распределение $ потерь Источник: CSI/FBI Computer Crime and Security Survey 2007

Причины потерь Неправильный выбор средств защиты – «не все йогурты одинаково полезны», как минимум: Неправильный выбор средств защиты – «не все йогурты одинаково полезны», как минимум: различное качество распознавания (детектирования) и различное качество распознавания (детектирования) и различная оперативность (скорость реакции на новые образцы) различная оперативность (скорость реакции на новые образцы) Неправильная архитектура комплексной системы защиты или просто отсутствие таковой: Неправильная архитектура комплексной системы защиты или просто отсутствие таковой: наличие незакрытых уязвимостей в используемых ОС и приложениях наличие незакрытых уязвимостей в используемых ОС и приложениях отсутствие контроля за действиями пользователей отсутствие контроля за действиями пользователей Неправильная эксплуатация установленных систем и средств Неправильная эксплуатация установленных систем и средств несвоевременное обновление средств защиты несвоевременное обновление средств защиты несоблюдение политики безопасности сотрудниками, вплоть до отключения установленных средств защиты несоблюдение политики безопасности сотрудниками, вплоть до отключения установленных средств защиты

Централизация или тиражирование? Ответ зависит от выбранного решения и наличия квалифицированных специалистов на всех объектах Ответ зависит от выбранного решения и наличия квалифицированных специалистов на всех объектах Программные средства, или аппаратный комплекс, или аутсорсинг Программные средства, или аппаратный комплекс, или аутсорсинг Наличие средств централизованного управления и мониторинга иерархическими распределёнными системами Наличие средств централизованного управления и мониторинга иерархическими распределёнными системами Способность ИТ-персонала на всех объектах, включая специалистов по информационной безопасности, постоянно отслеживать ситуацию и оперативно реагировать на новые угрозы Способность ИТ-персонала на всех объектах, включая специалистов по информационной безопасности, постоянно отслеживать ситуацию и оперативно реагировать на новые угрозы Квалификация Квалификация Работа в режиме 24х7 Работа в режиме 24х7

Основополагающие принципы «Лоскутные технологии» в защите – это ~100%-ная брешь, вызванная отсутствием: «Лоскутные технологии» в защите – это ~100%-ная брешь, вызванная отсутствием: целостности защиты целостности защиты какие-то узлы могут оказаться неучтенными, хотя бы временно какие-то узлы могут оказаться неучтенными, хотя бы временно конфигурационные настройки «на глаз» не поддаются системному подходу конфигурационные настройки «на глаз» не поддаются системному подходу единых средств мониторинга и управления единых средств мониторинга и управления неконтролируемые действия пользователя неконтролируемые действия пользователя сложность эксплуатации и, тем более, оперативной реакции, особенно во время атак и вирусных эпидемий сложность эксплуатации и, тем более, оперативной реакции, особенно во время атак и вирусных эпидемий единого механизма обновления средств защиты единого механизма обновления средств защиты несвоевременное обновление оставляет компьютер незащищенным против новейших вирусов, а они часто опаснее предыдущих… несвоевременное обновление оставляет компьютер незащищенным против новейших вирусов, а они часто опаснее предыдущих…

Варианты решений Внешние каналы передачи информации и управления – защита на шлюзе, включая мультивендорность в рамках всей организации Внешние каналы передачи информации и управления – защита на шлюзе, включая мультивендорность в рамках всей организации Доля спама уже не снижается ниже 75%, а в пиковые периоды достигает 95% Доля спама уже не снижается ниже 75%, а в пиковые периоды достигает 95% Каналы в очень большой степени используются для распространения вредоносных программ и для организации спам-рассылок Каналы в очень большой степени используются для распространения вредоносных программ и для организации спам-рассылок Внутренние информационные каналы – прежде всего защита серверов электронной почты и Интернет-коммуникаций Внутренние информационные каналы – прежде всего защита серверов электронной почты и Интернет-коммуникаций Проникновение и распространение вредоносных программ, включая эпидемии, не только снаружи… Проникновение и распространение вредоносных программ, включая эпидемии, не только снаружи… Системы обработки и хранения данных – информационные хранилища, серверы и рабочие станции Системы обработки и хранения данных – информационные хранилища, серверы и рабочие станции Интернет- и почтовый трафик, а также файлообменные операции Интернет- и почтовый трафик, а также файлообменные операции

AV-Test.org (коллекция 1H07) Источник:

PC Pro на коллекции MessageLabs Источник: (2007)

KAV 6.0 как пример комплексной защиты Централизованно управляемая защита от вредоносных программ на уровне файлообменных операций, почтового и Интернет-трафика Централизованно управляемая защита от вредоносных программ на уровне файлообменных операций, почтового и Интернет-трафика Лучшее в индустрии качество обнаружения вредоносных программ сигнатурными методами Лучшее в индустрии качество обнаружения вредоносных программ сигнатурными методами Мощный поведенческий блокиратор, обеспечивающий сравнимое с сигнатурным методом качество обнаружения Мощный поведенческий блокиратор, обеспечивающий сравнимое с сигнатурным методом качество обнаружения мониторинг системного реестра с откатом вредоносных изменений мониторинг системного реестра с откатом вредоносных изменений контроль целостности приложений контроль целостности приложений Суммарная вероятность пропуска только двумя компонентами – сигнатурным движком и модулем проактивной защиты: Р Sum = P Sign * P PDM = 0,015 * 0,06 = 0,00009 Суммарная вероятность пропуска только двумя компонентами – сигнатурным движком и модулем проактивной защиты: Р Sum = P Sign * P PDM = 0,015 * 0,06 = 0,00009 Эвристический анализатор, обеспечивающий детектирование на принадлежность семейству/виду Эвристический анализатор, обеспечивающий детектирование на принадлежность семейству/виду Модуль Анти-Хакер, обеспечивающий блокировку и входящего, и исходящего трафиков и на уровне протоколов, и на уровне приложений Модуль Анти-Хакер, обеспечивающий блокировку и входящего, и исходящего трафиков и на уровне протоколов, и на уровне приложений Ряд других возможностей (макро и скрипт вирусы, анти-фишинг, анти-реклама, анти-дозвон, поддержка Cisco NAC,…) Ряд других возможностей (макро и скрипт вирусы, анти-фишинг, анти-реклама, анти-дозвон, поддержка Cisco NAC,…)

Скорость реакции производителя

Производительность АПО

Kaspersky ® OpenSpace Security Безопасная рабочая среда не ограничена стенами офиса: Безопасная рабочая среда не ограничена стенами офиса: Обязательна полноценная защита удалённых ПК и ноутбуков Обязательна полноценная защита удалённых ПК и ноутбуков Также требуется защита КПК и смартфонов Также требуется защита КПК и смартфонов В рамках офиса обеспечивается: В рамках офиса обеспечивается: Защита рабочих станций и серверов файлов и приложений (Windows, Linux) Защита рабочих станций и серверов файлов и приложений (Windows, Linux) Защита внутренних почтовых серверов (Exchange, Lotus Notes/Domino, ClearSwift, MTA *nix) Защита внутренних почтовых серверов (Exchange, Lotus Notes/Domino, ClearSwift, MTA *nix) Защита Интернет (Microsoft ISA Server, CheckPoint Firewall-1, Squid/Linux) и почтовых шлюзов (от вредоносных программ и спама) Защита Интернет (Microsoft ISA Server, CheckPoint Firewall-1, Squid/Linux) и почтовых шлюзов (от вредоносных программ и спама) Централизованное управление и мониторинг многоуровневыми распределёнными системами Централизованное управление и мониторинг многоуровневыми распределёнными системами

VI В СЕРОССИЙСКАЯ ОТРАСЛЕВАЯ КОНФЕРЕНЦИЯ ДЛЯ РУКОВОДИТЕЛЕЙ И СПЕЦИАЛИСТОВ ИТ- СЛУЖБ ДЗО ОАО РАО «ЕЭС Р ОССИИ » Благодарю за внимание! Андрей ЗЕРЕНКОВ Руководитель службы консалтинга