Сервисы репутаций в информационной безопасности

реклама
Сервисы репутаций в
информационной безопасности
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
[email protected]
http://bezmaly.wordpress.com
Автор выражает
особую
признательность
Михаилу Кондрашину,
директору ЗАО АПЛ,
эксперту по продуктам
и сервисам Trend Micro
за помощь в
подготовке раздела
Trend Micro
2
НЕОБХОДИМОСТЬ
ПОЯВЛЕНИЯ СЕРВИСОВ
РЕПУТАЦИИ
3
Бот-конструктор Aldi Bot




Лаборатория G Data Security Labs обнаружила
распродажу ботнетов.
Программа-билдер + бот + обновления +
помощь в инсталляции = €10. Несколько дней
назад цена достигла €5 Евро.
Для новичков проводится курс «Молодого
бойца». Используется TeamViewer, чтобы
сделать покупателей более готовыми к атаке.
Наличие дешевого вредоносного кода на
рынке, делает организацию DDoS-атаки легким
способом заработать деньги.
4
По данным Лаборатории
Касперского






200 000 000 сетевых атак
блокируется ежемесячно
2 000 уязвимостей в приложениях
обнаружено только в 2010 году
70 000 вредоносных программ
появляется ежедневно
19 000 000 + новых вирусов
появилось в 2010 году
30 000+ новых угроз появляется в
день
ежедневно появляется около 70 000
новых вредоносных программ.
5
Рост числа уникальных вредоносных файлов,
перехваченных «Лабораторией Касперского»
6
Объем антивирусных обновлений
7
(по данным "Лаборатории Касперского")
Рост числа вирусов по версии
компании G-Data
8
Страшные цифры Интернет
9
Сколько стоит пользователь Рунет
10
Спасение в эвристических
технологиях?


Эвристические технологии - методики
детектирования не на основе
сигнатуры, а с использованием методов
искусственного интеллекта,
встраиваемого в антивирус.
Лучшие примеры реализации
эвристического анализа
обеспечивают уровень
обнаружения в пределах 50-70%
для знакомых семейств вирусов и
совершенно бессильны перед
совершенно новыми видами атак.
11
Время, необходимое для
блокирования web-угроз

По данным исследования,
проведенного во втором квартале
2010 года компанией NSS Labs,
время, необходимое
антивирусным компаниям для
блокирования web-угроз,
составляет от 4,62 до 92,48 часа
(http://nsslabs.com/host-malwareprotection/q2-2010-endpointprotection-product-group-testreport.html ).
12
Процесс защиты пользователя от момента
появления угрозы до установки антивирусных
обновлений
13
ЧТО ТАКОЕ СЕРВИС
РЕПУТАЦИИ?
14
Что такое сервис репутации?


Сервисы репутации показывают
надежность того или иного источника
(почта, интернет), показывают
репутацию (насколько широко
применяется, является ли
злонамеренным) того или иного
программного обеспечения.
При этом вычисление репутации
производится на серверах
соответствующего производителя в
Интернет.
15
СЕРВИСЫ РЕПУТАЦИИ В
БРАУЗЕРАХ
16
Google Chrome
17
Как это работает


Google Chrome загружает и
сохраняет на вашем ПК
обновленные списки зараженных
сайтов через 5 минут после
запуска, а затем с интервалом в
полчаса.
Для ускорения применяется
хэширование ссылок по алгоритму
SHA-256. При этом в список заносятся
только первые 32 бита из 256. Все
посещаемые ссылки хэшируются и
сравниваются со списком.
18
Как это работает
При совпадении первых 32 бит
отправляется запрос на сервер и
сравнивается полный хэш.
 В случае полного совпадения
выводится уведомление о том, что
данная страница может
расцениваться как вредоносная.

19
Как это работает
В случае, если компьютер
обращается в Google для запроса
информации о конкретном
фрагменте URL или для обновления
списка, будет отправлен
стандартный набор данных, в том
числе ваш IP-адрес, а иногда и файл
cookie.
 Эти данные хранятся в Google
несколько недель.

20
Как это работает



Вся информация, полученная таким
образом, защищается в соответствии со
стандартными условиями политики
конфиденциальности Google .
Безопасный просмотр защищает от
целевого фишинга (так называемого spearphishing), при котором сайт может быть еще
не зарегистрирован в Google списках
опасных сайтов.
Для этого Chrome анализирует содержание
сайта и, если оно кажется подозрительным,
выдает предупреждение.
21
Как это работает

Если вы решили предоставлять Google
статистику об использовании и зашли
на сайт, который может оказаться
опасным, в Google отправляются и
некоторые другие данные, в том числе
полный URL посещаемой страницы,
заголовок referer, отправленный на эту
страницу, и URL, совпавший с одним из
адресов в списке вредоносного ПО
функции Безопасного просмотра
Google.
22
Как это работает


C 5 апреля 2011 года Google Chrome
научился блокировать загрузку
вредоносных файлов с помощью того же
Safe Browsing API.
Отключить эту функцию можно в меню
«Параметры – Расширенные –
Конфиденциальность». Для этого
достаточно снять флажок «Включить
защиту от фишинга и вредоносного ПО».
23
Оповещения Google Chrome о
фишинге и вредоносном ПО
Сообщение
Значение
Внимание!
Обнаружена
проблема.
Это сообщение
отображается для сайтов,
которые Google Chrome
определяет как
потенциально содержащие
вредоносное ПО.
Внимание! Возможно,
этот сайт создан с
целью фишинга
Это сообщение появляется,
когда Google Chrome
обнаруживает, что
посещаемый вами сайт
подозревается в фишинге.24
Антифишинговая защита в Opera



Используется функция «Защита от мошенничества»
(Fraud and Malware Protection), включенная по
умолчанию.
В начале каждого сеанса с конкретным веб-сайтом
она проверяет адрес, используя шифрованный канал:
передает имя домена и адрес запрашиваемой
страницы на специальный сервер, где ищет его в
черных списках фишинговых ссылок, формируемых
Netcraft (www.netcraft.com) и PhishTank
(www.phishtank.com), а также в списках сайтов с
вредоносным ПО, которые ведет «Яндекс».
Если доменное имя совпадет с именем из черного
списка, сервер Fraud and Malware Protection возвратит
браузеру XML-документ, в котором будет описана
проблема (фишинг или вредоносное ПО).
25



Opera Fraud and Malware Protection
server не сохраняет IP-адрес
пользователя или любую другую
идентифицирующую его информацию.
Никакая сессионная информация,
включая cookies, не сохраняется;
в любое время можно отключить
функцию «Защита от мошенничества»
в меню «Настройки - Расширенные
(Crtl-F12) - Безопасность».
26
Предупреждение о мошенничестве
27
Safari
Для поиска фишинговых сайтов
используется технологии Google.
 Как только пользователь пытается
открыть подозрительную страницу в
Safari, браузер соединяется с Google
и запрашивает информацию из двух
основных баз Google: базы
фишинговых ссылок и базы ссылок
вредоносного ПО.

28
Предупреждение
29
Фильтр SmartScreen в Internet
Explorer 9


Сравнение адреса посещаемого сайта
со списком известных мошеннических и
вредоносных сайтов. Если сайт найден
в этом списке, больше проверок не
производится.
В противном случае он анализируется
на предмет наличия признаков,
характерных для мошеннических
сайтов. Также возможна отправка
адреса того сайта, куда пользователь
собирается зайти, онлайн-службе
Microsoft, которая ищет его в списке
фишинговых и вредоносных сайтов. 30
Как это работает

Для защиты от фишинга и
эксплойтов фильтр SmartScreen
исследует строку URL целиком, а не
подмножество адресов URL, на
которые заходил пользователь, а
значит, службе URL Reputation
Service (URS) могут быть переданы
личные сведения, поскольку иногда
они находятся в самой строке URL.
31
Application Reputation Service (ARS)
При загрузке программы в IE9
идентификатор файла и издателя
приложения (если оно подписано
цифровой подписью) отправляются
на проверку с помощью услуги
репутации приложений в облаке.
 Если программа имеет репутацию, то
предупреждение отсутствует.

32
Application Reputation Service (ARS)
Если же файл будет загружаться с
вредоносного сайта, IE9 блокирует
закачку, так же, как и IE8.
 Если файл не имеет репутации, IE
покажет это в строке уведомления и
менеджере загрузки, что позволит
принять обоснованное решение о
доверии к этому файлу.

33
Три способа защиты от
мошеннических и вредоносных узлов



Сравнение адреса посещаемого сайта со
списком известных сайтов. Если сайт найден в
этом списке, больше проверок не
производится.
Анализ сайта на предмет наличия признаков,
характерных для мошеннических сайтов.
Отправка адреса сайта, на который
пользователь собирается зайти, онлайн-службе
Microsoft, которая ищет сайт в списке
фишинговых и вредоносных сайтов. При этом
доступ к онлайн-службе производится
асинхронно по SSL-соединению, так что это не
сказывается на скорости загрузки страниц.
34
Как это работает


Во избежание задержек обращения к
URS производятся асинхронно, так что
на работе пользователя это не
отражается.
Чтобы уменьшить сетевой трафик, на
клиентском компьютере хранится
зашифрованный DAT-файл со списком
тысяч наиболее посещаемых узлов; все
включенные в этот список узлы не
подвергаются проверке фильтром
SmartScreen.
35
Как это работает


В фильтре SmartScreen применяется
механизм локального кэширования
адресов URL, позволяющий сохранять
ранее полученные рейтинги узлов и
избежать лишних обращений по сети.
Один из способов выявления
потенциально подставных узлов,
применяемый службой URS, — сбор
отзывов пользователей о ранее
неизвестных узлах.
36
Как это работает
Для защиты от фишинга и
эксплойтов фильтр SmartScreen
исследует строку URL целиком, а не
подмножество адресов URL, на
которые заходил пользователь.
 Фильтр SmartScreen можно включать
или отключать избирательно для
каждой зоны безопасности, но
только в том случае, когда эта
функция включена глобально.

37
Как это работает



По умолчанию фильтр SmartScreen включен
для всех зон, кроме местной интрасети.
Если вы захотите исключить некоторые
узлы из списка проверяемых фильтром
SmartScreen, но не отключать при этом
фильтр полностью, то необходимо включить
фильтр глобально, а затем отключить
фильтрацию только для зоны «Надежные
узлы», после чего конкретные узлы
добавить в эту зону.
Для того чтобы пользователи в организации
не могли отключить фильтр SmartScreen,
необходимо применить групповую
политику.
38
СЕРВИСЫ РЕПУТАЦИЙ В
АНТИВИРУСАХ
39
KASPERSKY
SECURITY
NETWORK
40
Основные вопросы, которые стоят перед
антивирусной индустрией в последнее время
Как сделать процессы защиты
автоматическими, чтобы
противодействовать
лавинообразному потоку угроз?
 Как минимизировать размеры
антивирусных баз, сохраняя при
этом уровень защиты на высоком
уровне?
 Как значительно увеличить скорость
реакции на появляющиеся угрозы?

41
Общение пользователей с
серверами обновлений (было)
42
Общение пользователя с «облаком»
(стало)
43
Основные принципы работы
Kaspersky Security Network
Географически распределенный
мониторинг актуальных угроз на
компьютерах пользователей
 Мгновенная доставка собранных
данных на серверы «Лаборатории
Касперского»
 Анализ полученной информации
 Разработка и применение мер по
защите от новых угроз.

44
Ключевое отличие «облаков»


Если технологии предыдущего
поколения (например, те же
сигнатуры) работали с файловыми
объектами, то антивирусные «облака»
работают с метаданными.
Допустим, есть файл — это объект.
Метаданные — это данные об этом
файле: уникальный идентификатор
файла (хэш-функция), информация о
том, каким образом он появился в
системе, как себя вел и т.д.
45
Ключевое отличие «облаков»



Выявление новых угроз в «облаках»
осуществляется по метаданным, сами
файлы при первичном анализе в «облако»
не передаются.
Такой подход позволяет практически в
реальном времени собирать информацию от
десятков миллионов добровольных
участников распределенной антивирусной
сети с целью выявления недетектируемых
вредоносных программ.
После обработки метаданных информация о
только что появившемся вредоносном
контенте транслируется всем участникам
информационной сети.
46
Как это работает



В Kaspersky Security Network автоматически
поступает информация о попытках заражения,
которая затем передается экспертам
«Лаборатории Касперского». Также собирается
информация о подозрительных файлах,
загруженных и исполняемых на компьютерах
пользователей, независимо от источника их
получения (веб-сайты, почтовые вложения,
одноранговые сети и т.д.).
Для отправки информации в KSN требуется
согласие пользователя.
Конфиденциальная информация – пароли и
другие личные данные – в KSN не передается.
47


Если по завершении проверки программа
признается вредоносной, данные о ней
поступают в Urgent Detection System (UDS), и
эта информация становится доступной
пользователям «Лаборатории Касперского»
еще до создания соответствующей сигнатуры и
включения ее в обновления антивирусных баз.
Таким образом, клиенты «Лаборатории
Касперского» получают оперативную
информацию о новых и неизвестных угрозах
спустя считанные минуты после начала
кибератаки, в то время как традиционные
антивирусные базы, которые, как правило,
обновляются раз в несколько часов.
48
Пример


Юзер запускает ранее неизвестный
файл. Локальный антивирус проверяет
его всеми доступными инструментами –
чисто. Спрашиваем облако – нет
данных. Ок – даём добро на запуск.
Оказывается, что он как-то странно
прописывает себя в реестр, пытается
получить доступ к системным сервисам,
устанавливает подозрительные
соединения, имеет двойное
расширение (jpg.exe) или что-то ещё.
49
Пример


Сигнал поступает в KSN, где система
автоматически вычисляет репутацию файла
(веса всех признаков и действий) и принимает
решение о детекте. В результате на
защищённый компьютер отправляется команда
«фас», файл блокируется, а его действия
откатываются.
Разумеется, чем больше сообщений об одном и
том же файле с разных компьютеров, тем более
высокий приоритет обработки и выше точность
и критичность вердикта. Появись такой файл
на других компьютерах, подключённых к KSN –
им сразу говорится, что опасно и не надо
экспериментировать.
50
Пример 2



Сразу несколько пользователей скачали файл по
одной и той же ссылке. Но каждый раз у файла
разный хэш.
KSN начинает раскручивать дело и видит, что,
например, сайт зарегистрирован всего пару дней
назад, на нём «висит» какой-нибудь iframe или с
него раньше уже рассылались зараженные
файлы. И снова облако вычисляет репутацию и
посылает команду блокировать как сам файл, так
и доступ к сайту.
Важно: благодаря такому подходу в среднем
между детектом и вердиктом проходит всего
лишь 40 сек!
51
Пример 2


Другая система
выкачивает из сети
тот самый
подозрительный
файл и передаёт его
на анализ
автоматическому
обработчику.
Этот обработчик
разрабатывает и
тестирует знакомые
всем обновления и
выкладывает на
серверы для скачки.
52
Программа, запускаемая
пользователем,
проверяется по белым
спискам и базе UDS. В
зависимости от результатов
этой проверки программа
получает права доступа к
ресурсам компьютера или
блокируется.
53
Схема работы Kaspersky Security
Network


Информация о запускаемых или
загружаемых приложениях и
посещаемых веб-страницах (URL)
отправляется в KSN с компьютеров, на
которых установлены последние
версии продуктов «Лаборатории
Касперского» для домашних и
корпоративных пользователей.
Файлы и URL проверяются и, в случае
признания их вредоносными,
добавляются в базу Urgent Detection
System. Легитимные файлы вносятся в
белые списки (Whitelisting).
54
Схема работы Kaspersky Security
Network



Эксперты «Лаборатории Касперского»
анализируют подозрительные файлы,
определяют степень их опасности и добавляют
описание в базу сигнатур.
Спустя считанные минуты информация о вновь
обнаруженных вредоносных и легитимных
файлах и URL становится доступна всем
пользователям продуктов «Лаборатории
Касперского» (не только пользователям
Kaspersky Security Network).
По завершении анализа новой вредоносной
программы создается ее сигнатура, которая
включается в антивирусные базы, регулярно
обновляемые на компьютерах пользователей.
55
Технологии, используемые в
KSN



В KSN также используется технология Wisdom of the
Crowd (WoC), предоставляющая информацию о
степени популярности программы и ее репутации
среди пользователей KSN.
Данные Глобальных рейтингов безопасности (GSR)
непосредственно из «облака». Рейтинг (GSR) каждой
программы рассчитывается с помощью специального
алгоритма и широкого набора репутационных
данных.
В Kaspersky Security Network используется сочетание
сигнатурных и эвристических методов
детектирования вредоносных программ, технологии
контроля программ с использованием белых и черных
списков и репутационных сервисов (WoC и GSR).
56
Расширенная облачная защита для
корпоративных клиентов



Облачные технологии (данные из Kaspersky
Security Network) используются для создания
белых списков приложений. Известные
легитимные приложения автоматически
распределяются по категориям (игры,
коммерческое ПО и т.д.).
Используя категории, системный администратор
может быстро настроить и применить правила
для определенных типов программ в
соответствии с корпоративной политикой
При формировании белых списков приложений
используются данные, предоставляемые более
чем 200 ведущими производителями ПО.
57
Расширенная облачная защита для
корпоративных клиентов


Инструмент для централизованного управления
Kaspersky Security Center дает возможность
тонкой настройки взимодействия с Kaspersky
Security Network для защиты узлов
корпоративной сети.
Администратор может активировать или
отключить облачную защиту в различных
модулях Kaspersky Endpoint Security 8 для
Windows. Также есть возможность отключить
передачу данных в Kaspersky Security Network,
если этого требует корпоративная политика
безопасности.
58
Преимущества
Скорость реакции.
 Скрытая логика принятия решений.
 Выявление не только новых
недетектируемых угроз, но и
источников их распространения.

59
Преимущества
Полнота выявляемых угроз.
 Минимизация ложных срабатываний.
ак показывает практика, уровень
ложных срабатываний при
детектировании с помощью
«облаков», как минимум в 100 раз
ниже обычного сигнатурного
детектирования

60
Преимущества
Простота автоматизации процессов
детектирования
 Использование «облачной» защиты
позволяет минимизировать размеры
скачиваемых пользователем AV-баз.

61
Недостатки


Детектирование только по хэшфункции объекта
В первых версиях реализации
«облачной» инфраструктуры
используется детектирование только по
хэш-функциям. Однако в настоящее
время, понимая, что этого
недостаточно, компании внедряют и
другие подходы, которые позволяют по
одной «облачной» сигнатуре выявлять
целые семейства угроз (в том числе
полиморфные).
62
Недостатки
Проблема с трафиком на «узких»
каналах (DialUp/GPRS/etc.)
 Работа только с исполняемыми
файлами
 Ненадежность сети (есть/нет)
 Отсутствие аутентификации и
проверки корректности
отправляемых источниками данных.

63
СЕРВИСЫ РЕПУТАЦИИ В
TREND MICRO
64
Trend Micro SPN
Ключевой идеей этой системы была
концепция “репутации”, то есть
вынесения вердикта для ресурса
(файла, сайта, сообщения
электронной почты) только на
основе накопленных ранее данных.
 То есть, без необходимости
анализировать сам ресурс
непосредственно в момент
обращения к нему пользователя.

65
Методы отслеживания репутации в
SPN



Формирование базы ресурсов,
например сайтов, и отслеживание
происходящих изменений.
Если, например, сайт слишком часто
меняет свой IP-адрес, то это типичный
признак вредоносного сайта. При этом
в чем собственно заключается его
вредоносность не известно.
При попытке посетить этот сайт,
антивирус Trend Micro в реальном
времени сверяется с SPN и блокируется
доступ.
66



SPN хранит базу репутации источников
сообщений электронной почты, а также
базу репутации отдельных файлов.
Наличие всех трех баз, дает второй и
самый изощренный способ выявления
угроз.
Разработчики Trend Micro называют
этот метод корреляцией. Суть метода в
том, что используя по информацию в
одних базах наполняются другие.
67
Технология Web Reputation



Отслеживает надежность веб-сайтов и веб-страниц,
используя сведения о репутации доменов, содержащиеся в
одной из крупнейших в мире баз данных.
Оценивает репутацию веб-доменов и отдельных страниц, а
также ссылок на веб-сайтах (поскольку законные сайты
периодически частично взламываются).
Блокирует доступ пользователей к сомнительным или
зараженным сайтам.
68
Технология Email Reputation




Проверяет IP-адреса по базе данных, содержащей
сведения об их репутации.
Оценивает репутацию отправителей почтовых сообщений в
режиме реального времени.
Постоянно анализирует IP-адреса, переоценивая
репутацию.
Блокирует вредоносные почтовые сообщения и угрозы
(например, «зомби») в «облачной» среде до их
проникновения в систему.
69
Технология File Reputation



Проверяет репутацию всех файлов по «облачной» базе
данных, прежде чем предоставить пользователям доступ к
ним.
Минимизирует время задержки при проверке благодаря
использованию высокопроизводительных сетей для
доставки содержимого и локальных серверов кэширования.
Использует архитектуру «облако — клиент», чтобы
уменьшить размер файла локальной антивирусной базы
данных и таким образом свести к минимуму угрозу
увеличения объемов (большое количество создаваемых за
день угроз).
70
Технология сравнения и анализа
поведения
Сравнивает сочетания действий и
компоненты угрозы и определяет,
являются ли они вредоносными.
 Постоянно обновляет множество баз
данных угроз, обеспечивая
реагирование на угрозы в режиме
реального времени.

71
Программа Smart Feedback


Улучшенная комплексная защита пользователей
обеспечивается благодаря круглосуточному
взаимодействию продуктов Trend Micro,
исследовательских центров и технологий.
Информация обо всех новых угрозах,
обнаруженных на клиентских компьютерах в
ходе плановых проверок, автоматически
заносится в вирусные базы данных Trend Micro.
72
Пример



Рассмотрим сообщение электронной почты, которое
приходит в ловушку для спама в TrendLabs с
известного источника спама.
Если к сообщению прикреплен исполняемый файл, то
с него снимается контрольная сумма и она пополняет
базу репутации файлов. Одновременно этот файл
автоматически запускается в контролируемом
окружении и выявляется, например, что он загружает
из Интернета еще два каких-то исполняемых файла.
Отметим, что именно такое поведение характерно для
популярных последнее время троянов семейства
Trojan.Downloader. Хеш-суммы загруженных файлов
также помещаются в базу репутации файлов, а
адреса, с которых производилась загрузка пополняют
базу репутации сайтов. Адреса, с которых
загружаются дополнительные компоненты также
помещаются в базу репутации сайтов.
73
Пример 2

Если с серверов определенного
провайдера рассылается
подозрительно много спама, то и все
сайты, которые размещены у
данного провайдера получают
низкую репутацию. Разумеется, что
это не означает, что доступ к ним
однозначно блокируется, но им
оказывается более пристальное
внимание.
74
Пример 3




Третьим способом определения репутации ресурсов в
базах SPN является система обратной связи.
Фактически SPN учитывает обращение клиентов
Trned Micro к ней для ее собственного пополнения.
При выявлении спам-письма, IP-адрес отправителя
помещается в базу на относительно короткий срок (в
пределах нескольких часов).
Если же в течение этих нескольких часов большое
количество клиентов Trend Micro обратиться к базе
репутации электронной почты, чтобы свериться
относительно репутации данного адреса, то это явный
признак того, что адрес попал с базу не случайно.
Разумеется, что если все таки произошла ошибка, у
любого пользователя всегда есть возможность
удалить свой адрес из базы.
75
«ОБЛАЧНЫЙ» ПОДХОД:
УНИВЕРСАЛЬНАЯ ТАБЛЕТКА
ИЛИ МОДНЫЙ ПИАР?
76



Не стоит рассматривать антивирусные
«облака» в качестве обособленной
технологии защиты пользователя.
Максимальная эффективность защиты
достигается при одновременном
использовании уже имеющихся
наработанных технологий защиты вместе с
«облачной» антивирусной системой.
При таком объединении мы получаем
лучшее от обоих подходов: «облачную»
скорость реакции на неизвестные угрозы,
высокий уровень детектирования,
проактивность, низкий уровень ошибок и
полноту выявляемых угроз.
77
Спасибо за внимание!
Вопросы?
Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Advisor
[email protected]
http://bezmaly.wordpress.com
Скачать