10 июня 2006 г. Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Современные информационные угрозы и меры противодействия Сергей Земков Директор по корпоративным продажам в России, странах СНГ и Балтии ЗАО «Лаборатория Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Динамика информационных угроз Источник : CSI/FBI Computer Crime and Security Survey 2005 !!!
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Финансовые потери от вирусных атак Источник : Computer Economics, 2005 Malware Report Melissa, Love Letter, … MyDoom,NetSky,Sasser,… Nature of malware ( viruses, worms, trojans, spyware, adware, and other malicious code) is changing: from overt threads targeting operating system vulnerabilities and users generally, to more focused, covert attacks targeting specific companies or business sectors…
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Источник : данные «Лаборатории Касперского» Количество ежедневно добавляемых сигнатур Рост количества записей в AV-базах
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Рост доли «денежных вирусов» Источник : данные «Лаборатории Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Virus.Win32.GPCode Использование RSA для шифрования файлов данных с последующим «предложением небезвоздмездной помощи» Использование RSA для шифрования файлов данных с последующим «предложением небезвоздмездной помощи» Источник : данные «Лаборатории Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Фишинг Источник : данные «Лаборатории Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Фарминг Источник : данные «Лаборатории Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Блокинг Источник : данные «Лаборатории Касперского»
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Усилия кибер-преступников Создание множества вредоносных программ и/или их вариантов в короткие промежутки времени Создание множества вредоносных программ и/или их вариантов в короткие промежутки времени Компонентная архитектура со скрытой доставкой: (спам) + Web Компонентная архитектура со скрытой доставкой: (спам) + Web Использование технологий сокрытия (root-kits) Использование технологий сокрытия (root-kits) Обман эвристических сканеров Обман эвристических сканеров Прерывание антивирусных процессов Прерывание антивирусных процессов Препятствование обновлению антивирусного ПО Препятствование обновлению антивирусного ПО Различные методы сжатия Различные методы сжатия Различные методы шифрования Различные методы шифрования Вывод: антивирусные технологии требуют оперативного обновления AV- средств и доставки их пользователям в кратчайшие сроки
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Противодействие индустрии Реактивный «вирусный конвейер» Проактивные технологии Эвристика Эвристика Generic detection Generic detection Поведенческие блокираторы Поведенческие блокираторы Поддержка проверки архивов Поддержка проверки архивов Сбор новых образцов Сбор новых образцов Анализ полученных экземпляров Анализ полученных экземпляров Создание механизмов обнаружения Создание механизмов обнаружения Обновление и тестирование AV-баз Обновление и тестирование AV-баз Выпуск и доставка обновлений Выпуск и доставка обновлений Требования к индустрии: 1.Привлечение большего количества специалистов к анализу 2.Постоянное развитие/изобретение новых технологий 3.Уменьшение времени реакции и доставки обновлений
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Некачественная защита = (убытки) 2 Информация от независимых тестеров: Информация от независимых тестеров: Качество обнаружения (уровень детекта) Качество обнаружения (уровень детекта) Скорость реакции на новые угрозы Скорость реакции на новые угрозы Информация от самих производителей: Информация от самих производителей: Частота обновлений Частота обновлений Поддержка проверки в сложных объектах Поддержка проверки в сложных объектах Проактивные методы Проактивные методы Информация от партнёров и коллег: Информация от партнёров и коллег: Уровень и качество технической поддержки Уровень и качество технической поддержки Дополнительные услуги: Дополнительные услуги: Работы по запросу, в том числе экстренные Работы по запросу, в том числе экстренные Доработка функционала продуктов «под заказчика», например «монитор безопасности» или интеграция с системами сетевого мониторинга и управления Доработка функционала продуктов «под заказчика», например «монитор безопасности» или интеграция с системами сетевого мониторинга и управления Другие сервисные услуги и обучение Другие сервисные услуги и обучение
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Уровень детекта (из ) Источник : (отчёт за февраль, 2006) Avast! ProfAVG Prof AVIRA Antivir Personal Premium BitDefender Anti-Virus 9.0 Prof PlusDr.Web Anti-Virus ESET NOD32 Anti-Virus F-Prot Anti-Virus 3.16fF-Secure Anti-Virus 6.12 (multi-engine)Gdata AntiVirusKit (AVK) (multi-engine)Kaspersky Anti-Virus Personal Pro McAffee VirusScan Norman Virus Control 5.81Panda Anti-Virus Symantec Norton Anti-Virus TrustPort AntiVirus (multi-engine)VBA ,24 90,47 96,19 93,08 88,76 97,89 83,91 99,58 99,84 99,57 96,41 85,32 85,70 97,61 97,35 76,70 99,50% (-0,5%) 95,00% (-5,0%) пропущено пропущено
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Уровень детекта (из ) Источник : (отчёт за август, 2005)
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Источник : Research Group, Magdeburg University Время реакции
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Kaspersky® Corporate Suite Интегрированная система обеспечения безопасности в рамках корпоративной сети вне зависимости от ее размеров, сложности и программных платформ Интегрированная система обеспечения безопасности в рамках корпоративной сети вне зависимости от ее размеров, сложности и программных платформ Компоненты программного комплекса обеспечивают централизованно управляемую антивирусную защиту всех узлов сети компании, работающих под управлением наиболее популярных операционных систем и программных приложений, легко адаптирующиеся к конфигурации сети компании: Компоненты программного комплекса обеспечивают централизованно управляемую антивирусную защиту всех узлов сети компании, работающих под управлением наиболее популярных операционных систем и программных приложений, легко адаптирующиеся к конфигурации сети компании: Защита различных используемых у Вас платформ Защита различных используемых у Вас платформ Охват всевозможных типов информационных узлов: файловых серверов и внутренних приложений, почтовых серверов, серверов Интернет и внешних приложений, ПК, ноутбуков, КПК и смартфонов Охват всевозможных типов информационных узлов: файловых серверов и внутренних приложений, почтовых серверов, серверов Интернет и внешних приложений, ПК, ноутбуков, КПК и смартфонов Наличие централизованных средств установки, управления, обновления и мониторинга Наличие централизованных средств установки, управления, обновления и мониторинга
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Kaspersky ® Administration Kit Система централизованного администрирования, обеспечивающая: Система централизованного администрирования, обеспечивающая: Удаленную установку приложения без участия локального администратора с автоматической регистрацией на сервере администрирования Удаленную установку приложения без участия локального администратора с автоматической регистрацией на сервере администрирования Использование таких инструментов как группы, политики, задачи и т.п. для управления всеми защищаемыми узлами Использование таких инструментов как группы, политики, задачи и т.п. для управления всеми защищаемыми узлами Возможность ретрансляции обновлений для других приложений входящих в состав комплексной системы антивирусной защиты Возможность ретрансляции обновлений для других приложений входящих в состав комплексной системы антивирусной защиты Дополнительный интерфейс администратора на основе Microsoft Management Console Дополнительный интерфейс администратора на основе Microsoft Management Console Уведомления администраторов и отчётность Уведомления администраторов и отчётность
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Внутренние угрозы В соответствии с аналитическими исследованиями и отчетами (IDC, Ernst&Young, CSI начиная с 2000 года) - около 70-80% ущерба приносят инциденты с участием служащих работающих внутри компаний, - 50% случаев нарушения конфиденциальности - реализация внутренних угроз
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Защита от внутренних угроз Infowatch Mail Monitor + Mail Storage – фильтрация исходящей почты + архивирование и анализ почты Infowatch Web Monitor – фильтрация инструкций POST в исходящем web-трафике Infowatch Print Monitor – фильтрация информации выводимой на печать + архивирование и анализ напечатанной информации Infowatch DataBase Monitor – анализ обращений к базам данных Infowatch Net Monitor – агент на рабочей станции Device Monitor, File Monitor, Application Monitor (MS Office, Adobe) Infowatch Enterprise Solution – интегрированное решение, включая все вышеописанное + единая консоль управления + импорт политик + экспорт алертов в УС
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Служба консалтинга ЛК Плановые работы (в штатном режиме): Плановые работы (в штатном режиме): Полный спектр работ, связанных с созданием комплексных систем антивирусной защиты (КСАЗ) корпоративных ИТ-инфраструктур Полный спектр работ, связанных с созданием комплексных систем антивирусной защиты (КСАЗ) корпоративных ИТ-инфраструктур Проведение аудита антивирусной защиты корпоративных систем Проведение аудита антивирусной защиты корпоративных систем Анализ состояния антивирусной защиты и выработка рекомендаций Анализ состояния антивирусной защиты и выработка рекомендаций Создание/модернизация КСАЗ «под ключ», разработка методик тестирования/внедрения/модернизации САЗ Создание/модернизация КСАЗ «под ключ», разработка методик тестирования/внедрения/модернизации САЗ Создание руководящих документов по эксплуатации САЗ Создание руководящих документов по эксплуатации САЗ Выработка политик антивирусной защиты предприятий Выработка политик антивирусной защиты предприятий … Работы в режиме «ЧС» Работы в режиме «ЧС» Анализ ситуаций, возможно вызванных проникновением зловредных программ (и не только вирусов), их выявление и помощь в устранении Анализ ситуаций, возможно вызванных проникновением зловредных программ (и не только вирусов), их выявление и помощь в устранении
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Служба консалтинга ЛК Вне зависимости от того, какой установлен антивирус, мы предлагаем следующие услуги по сопровождению: Анализ подозрительных файлов и программ; Анализ подозрительных файлов и программ; Разбор инцидентов, связанных с действием вредоносных программ, в том числе трояны и шпионское ПО ; Разбор инцидентов, связанных с действием вредоносных программ, в том числе трояны и шпионское ПО ; Оценка состояния системы безопасности (настройки ОС, АПО, межсетевых экранов и.т.д); Оценка состояния системы безопасности (настройки ОС, АПО, межсетевых экранов и.т.д); Передача заказчику специальных решений, включающих в себя: Передача заказчику специальных решений, включающих в себя: Описание механизма распространения обнаруженных вредоносных программ, их описание, механизм их взаимодействия с информационными бизнес-системами, а также вся полученная информация, способствующая выявлению злоумышленника. Описание механизма распространения обнаруженных вредоносных программ, их описание, механизм их взаимодействия с информационными бизнес-системами, а также вся полученная информация, способствующая выявлению злоумышленника. Список используемых ими уязвимостей и необходимых для их устранения заплат. Список используемых ими уязвимостей и необходимых для их устранения заплат. Рекомендации по обнаружению и удалению выявленных вредоносных программ, а также по предотвращению повторения аналогичных ситуаций. Рекомендации по обнаружению и удалению выявленных вредоносных программ, а также по предотвращению повторения аналогичных ситуаций. Стандартные и/или специализированные программные средства, обеспечивающие обнаружение и удаление выявленных вредоносных программ. Стандартные и/или специализированные программные средства, обеспечивающие обнаружение и удаление выявленных вредоносных программ.
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Пример реализованного проекта Отрасль : Энергетика Заказчик: ОАО УК «ГидроОГК» (УК «Волжский Гидроэнергетический каскад») Цели и задачи: Необходимость обеспечения антивирусной безопасности ИТ- инфраструктуры предприятия. Решение: Создание комплексной системы антивирусной безопасности и стратегии ее развития. Преимущества решения: Защита всех ресурсов компании от вирусов и спама; Защита всех ресурсов компании от вирусов и спама; Единая система управления и администрирования; Единая система управления и администрирования; Круглосуточная техническая поддержка Круглосуточная техническая поддержка Оперативное (ежечасное) обновление баз Оперативное (ежечасное) обновление баз
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Корпоративные клиенты в Мире в России, странах СНГ и Балтии Государственный сектор Italian Ministry of Foreign Affairs, Kuwait Ministry of Foreign Affairs, National Security of Poland, US Department of Labour, Ministry of Education (France), Ministry of Internal Affairs (Czech Republic) и др. Министерство экономического развития и торговли РФ, МВД РФ, Министерство Финансов РФ, Управление делами Президента РФ, Федеральная служба охраны РФ, ФТС России, ГТК Белоруссии, Министерство Юстиции Латвии Топливно-Энергетический комплекс Oil Industry of Serbia, Lukoil Bulgaria УК «ГидроОГК», СО-ЦДУ ЕЭС, Мосэнерго, Ленэнерго, Газпром, Росэнергоатом, ЛУКОЙЛ, Татнефть, и др. Банки и страховые компании National Bank of Serbia, Bancaja Group (Spain), Omega Bank (Greece), Erste Bank Hungary Rt, Komercijalna banka ad Beograd, Lloyd Continental и др Центральный банк РФ, Сберегательный банк России, Национальный банк Украины, Национальный банк Казахстана, Центральный банк Узбекистана, Альфа-Банк, Альфа-Страхование, Внешторгбанк, Внешэкономбанк, Parekss Banka и др. Телекоммуникация и связь Italy Telecom Mobile, France Telecom, Czech On Line, I.NET S.p.a (Italy), Wanadoo (Madagaskar), Serbian Telecom, BBC Worldwide, La Poste, Stemcor и др. Global One, МТС, Вымпелком, Мегафон, Голден Телеком, Ростелеком, Казахтелеком, Волгателеком, Omnitel Lithuania Уралсвязьинформ, и др.
Конференция IT TEAM ENERGY, 7-11 июня 2006 г. Вопросы?
Спасибо за внимание!