Защищаемся от вредоносного кода бесплатно Андрей Бешков Руководитель программы информационной безопасности [email protected] О чем будем говорить? • Понять что происходит в мире ИБ • Как создать жизнеспособную систему ИБ Что происходит в мире? Сегодня штормит… как и вчера….. Как и год назад! Что происходит в мире? • 39% компьютеров в мире заражены вредоносным кодом • Каждый 14-й файл скачиваемый из интернет содержит вредоносный код • Более 1 млн. компьютеров взламывается каждый день. Каждые 14 секунд один компьютер Что происходит в мире? • Участники Anonymous, Lulzsec и прочих групп регулярно взламывают крупнейшие компании в мире и международные организации не прилагая никакого труда • В этом году 90% процентов крупнейших компаний в мире имели инциденты ИБ в своей инфраструктуре • Убытки от киберпреступности 114 миллиардов долларов в год Источник: 16 security problems bigger than Flame Любой присоединенный к Интернет: Имеет мгновенный доступ к … • Всеобъемлю щей сети без границ • Хактивистам • Криминальным организациям крадущим данные • Государственным организациям специализирующимся на шпионаже • Прекрасным интернет сервисам Интернет великий уравнитель Полковник Кольт сделал людей равными Быть преступником сложно? Trend Micro report “Russian Underground 101” Могучая кучка зловредов? 800,000 700,000 600,000 Компьютеры очищенные MSRT 500,000 400,000 300,000 200,000 27 семейств 100,000 1 6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 101 106 111 116 121 126 131 136 141 146 151 156 161 0 Ранг зловредов Microsoft Security Intelligence Report выпуск 11 Методы распространения зловредного кода 44.8% 45% 40% 35% 30% % заражений по каждому методу 26.0% 25% 17.2% 20% 15% 10% 4.4% 5% 3.2% 2.4% 1.7% 0.3% 0.0% Office Macros Exploit: Zero-day 0% User AutoRun: Interaction USB Required AutoRun: Network File Infector Exploit: Update Long Available Exploit: Update Available Password Brute Force Microsoft Security Intelligence Report выпуск 11 Уязвимости! Каждый месяц! Zero day уязвимости - фетиш ИБ индустрии? Распределение эксплоитов используемых в зловредном ПО за 1 половину 2012 Не Zero-Day эксплоиты 99.88% Zero-Day эксплоиты 0.12% Microsoft Security Intelligence Report выпуск 11 Отношение к обновлениям Как дела с обновлениями в мире? Microsoft Windows Microsoft Word Adobe Reader Oracle Java Adobe Flash Player Нет последнего обновления 34% 39% 60% 94% 70% Нет последних трех обновлений 16% 35% 46% 51% 44% Статус обновления безопасности Microsoft Security Intelligence Report выпуск 13 Что сейчас выгодно атаковать? 5 продуктов с множественными уязвимостями не обновленных на пользовательских ПК и наиболее часто атакуемых злоумышленниками • • • • • • Oracle Java Adobe Flash Player Apple QuickTime Apple iTunes Winamp Adobe Shockwave Player 23% пользователей посещают интернет с устаревших браузеров. 14.5% используют предыдущую версию, 8.5% отстают на несколько версий . Kaspersky IT Threat Evolution Q3 2012 Обновитесь! И оставайтесь в безопасности! Windows 7 и Windows 8 Стандартные привилегии Java 6 Прекращает установку версий side by side Adobe Flash Player 11 Поддержка SSL MS Office 2010, MS Office 2013 XML форматы файлов Защищённый просмотр Adobe Acrobat Reader X Applied Microsoft SDL Protected Mode Internet Explorer 9 Фильтр SmartScreen Protected Mode Adobe SPLC: Как ускорить установку обновлений Microsoft? Вступить в бесплатную программу Security Update Validation Program Доступ к обновлениям от Microsoft за неделю до их публичного выпуска. Дает возможность протестировать их в своей инфраструктуре и защищать свои системы быстрее. Атаки Drive-By Download источник: http://secunia.com Как защищаться? Любить UAC! Исследование BeyondTrust за 2010 г. утверждает что работа в системе с правами обычного пользователя предотвращает использование: 75% критических уязвимостей Windows 7 100% уязвимостей Microsoft Office опубликованных в 2010 г. 100% уязвимостей Internet Explorer опубликованных в 2010 г. 64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г. http://www.net-security.org/secworld.php?id=10886 Защита от эксплоитов - EMET • Не требуется перекомпилировать приложения • Защищает от основных механизмов срабатывания эксплоитов • Рекомендуется для • Приложений обрабатывающих ввод из Интернет или других не доверенных источников EMET блокирует 89% эксплоитов 200 180 181 160 140 120 100 80 60 40 21 20 10 0 Windows XP SP3 Windows XP SP3 + EMET • Для тестирования EMET использовались 184 наиболее популярных эксплоита Windows 7 RTM Социальные атаки Эффективность Smart Screen 100% Malware Block Rate by Browser 80% 60% 99.1% 40% 70.4% 20% 0% Internet Explorer Chrome 4.3% 4.2% Firefox Safari Групповые политики IE 10 ~1500 Браузер по умолчанию Групповых политик для всех версий IE Уведомляем пользователей если это не так 28 Adobe Flash Новых политик для Internet Explorer 10 Можно выключить Adobe Flash и запретить приложениям использовать его Подробнее Group Policy Settings in Internet Explorer 10 Групповые политики наше всё! • MSDN Search Tool for Group Policies: http://gpsearch.azurewebsites.net/ Microsoft! Всё включено! Заповни Анкету Виграй Приз http://anketa.msswit.in.ua