Сервисы репутаций в информационной безопасности

Безмалый В.Ф.MVP Consumer Security

Microsoft Security Trusted Advisorvladb@wondowslive.com

http://bezmaly.wordpress.com

2

Автор выражает особую признательность Михаилу Кондрашину, директору ЗАО АПЛ, эксперту по продуктам и сервисам Trend Micro за помощь в подготовке раздела Trend Micro

3

НЕОБХОДИМОСТЬ ПОЯВЛЕНИЯ СЕРВИСОВ РЕПУТАЦИИ

4

Бот-конструктор Aldi Bot Лаборатория G Data Security Labs обнаружила

распродажу ботнетов. Программа-билдер + бот + обновления +

помощь в инсталляции = €10. Несколько дней назад цена достигла €5 Евро.

Для новичков проводится курс «Молодого бойца». Используется TeamViewer, чтобы сделать покупателей более готовыми к атаке.

Наличие дешевого вредоносного кода на рынке, делает организацию DDoS-атаки легким способом заработать деньги.

5

По данным Лаборатории Касперского 200 000 000 сетевых атак блокируется

ежемесячно 2 000 уязвимостей в приложениях

обнаружено только в 2010 году 70 000 вредоносных программ

появляется ежедневно 19 000 000 + новых вирусов появилось в

2010 году 30 000+ новых угроз появляется в день ежедневно появляется около 70 000

новых вредоносных программ.

6

Рост числа уникальных вредоносных файлов, перехваченных «Лабораторией Касперского»

7

Объем антивирусных обновлений

(по данным "Лаборатории Касперского")

8

Рост числа вирусов по версии компании G-Data

9

Страшные цифры Интернет

10

Сколько стоит пользователь Рунет

11

Спасение в эвристических технологиях? Эвристические технологии - методики

детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус.

Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50-70% для знакомых семейств вирусов и совершенно бессильны перед совершенно новыми видами атак.

12

Время, необходимое для блокирования web-угроз

По данным исследования, проведенного во втором квартале 2010 года компанией NSS Labs, время, необходимое антивирусным компаниям для блокирования web-угроз, составляет от 4,62 до 92,48 часа (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ).

13

Процесс защиты пользователя от момента появления угрозы до установки антивирусных обновлений

14

ЧТО ТАКОЕ СЕРВИС РЕПУТАЦИИ?

15

Что такое сервис репутации? Сервисы репутации показывают

надежность того или иного источника (почта, интернет), показывают репутацию (насколько широко применяется, является ли злонамеренным) того или иного программного обеспечения.

При этом вычисление репутации производится на серверах соответствующего производителя в Интернет.

16

СЕРВИСЫ РЕПУТАЦИИ В БРАУЗЕРАХ

17

Google Chrome

18

Как это работает Google Chrome загружает и сохраняет

на вашем ПК обновленные списки зараженных сайтов через 5 минут после запуска, а затем с интервалом в полчаса.

Для ускорения применяется хэширование ссылок по алгоритму SHA-256. При этом в список заносятся только первые 32 бита из 256. Все посещаемые ссылки хэшируются и сравниваются со списком.

19

Как это работаетПри совпадении первых 32 бит

отправляется запрос на сервер и сравнивается полный хэш.

В случае полного совпадения выводится уведомление о том, что данная страница может расцениваться как вредоносная.

20

Как это работаетВ случае, если компьютер

обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie.

Эти данные хранятся в Google несколько недель.

21

Как это работает Вся информация, полученная таким образом,

защищается в соответствии со стандартными условиями политики конфиденциальности Google .

Безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в Google списках опасных сайтов.

Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

22

Как это работает Если вы решили предоставлять Google

статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на эту страницу, и URL, совпавший с одним из адресов в списке вредоносного ПО функции Безопасного просмотра Google.

23

Как это работает

C 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API.

Отключить эту функцию можно в меню «Параметры – Расширенные – Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносного ПО».

24

Оповещения Google Chrome о фишинге и вредоносном ПО

Сообщение Значение

Внимание! Обнаружена проблема.

Это сообщение отображается для сайтов, которые Google Chrome определяет как потенциально содержащие вредоносное ПО.

Внимание! Возможно, этот сайт создан с целью фишинга

Это сообщение появляется, когда Google Chrome обнаруживает, что посещаемый вами сайт подозревается в фишинге.

25

Антифишинговая защита в Opera Используется функция «Защита от мошенничества»

(Fraud and Malware Protection), включенная по умолчанию.

В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал: передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft (www.netcraft.com) и PhishTank (www.phishtank.com), а также в списках сайтов с вредоносным ПО, которые ведет «Яндекс».

Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру XML-документ, в котором будет описана проблема (фишинг или вредоносное ПО).

26

Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию.

Никакая сессионная информация, включая cookies, не сохраняется;

в любое время можно отключить функцию «Защита от мошенничества» в меню «Настройки - Расширенные (Crtl-F12) - Безопасность».

27

Предупреждение о мошенничестве

28

SafariДля поиска фишинговых сайтов

используется технологии Google.Как только пользователь пытается

открыть подозрительную страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносного ПО.

29

Предупреждение

30

Фильтр SmartScreen в Internet Explorer 9 Сравнение адреса посещаемого сайта со

списком известных мошеннических и вредоносных сайтов. Если сайт найден в этом списке, больше проверок не производится.

В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов.

31

Как это работаетДля защиты от фишинга и

эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

32

Application Reputation Service (ARS)При загрузке программы в IE9

идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью услуги репутации приложений в облаке.

Если программа имеет репутацию, то предупреждение отсутствует.

33

Application Reputation Service (ARS)Если же файл будет загружаться с

вредоносного сайта, IE9 блокирует закачку, так же, как и IE8.

Если файл не имеет репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

34

Три способа защиты от мошеннических и вредоносных узлов Сравнение адреса посещаемого сайта со

списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.

Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.

Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

35

Как это работает Во избежание задержек обращения к

URS производятся асинхронно, так что на работе пользователя это не отражается.

Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список узлы не подвергаются проверке фильтром SmartScreen.

36

Как это работает В фильтре SmartScreen применяется

механизм локального кэширования адресов URL, позволяющий сохранять ранее полученные рейтинги узлов и избежать лишних обращений по сети.

Один из способов выявления потенциально подставных узлов, применяемый службой URS, — сбор отзывов пользователей о ранее неизвестных узлах.

37

Как это работаетДля защиты от фишинга и

эксплойтов фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально.

38

Как это работает По умолчанию фильтр SmartScreen включен

для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из

списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, то необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону.

Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

39

СЕРВИСЫ РЕПУТАЦИЙ В АНТИВИРУСАХ

40

KASPERSKY SECURITY NETWORK

41

Основные вопросы, которые стоят перед антивирусной индустрией в последнее время

Как сделать процессы защиты автоматическими, чтобы противодействовать лавинообразному потоку угроз?

Как минимизировать размеры антивирусных баз, сохраняя при этом уровень защиты на высоком уровне?

Как значительно увеличить скорость реакции на появляющиеся угрозы?

42

Общение пользователей с серверами обновлений (было)

43

Общение пользователя с «облаком» (стало)

44

Основные принципы работы Kaspersky Security Network

Географически распределенный мониторинг актуальных угроз на компьютерах пользователей

Мгновенная доставка собранных данных на серверы «Лаборатории Касперского»

Анализ полученной информацииРазработка и применение мер по

защите от новых угроз.

45

Ключевое отличие «облаков» Если технологии предыдущего

поколения (например, те же сигнатуры) работали с файловыми объектами, то антивирусные «облака» работают с метаданными.

Допустим, есть файл — это объект. Метаданные — это данные об этом файле: уникальный идентификатор файла (хэш-функция), информация о том, каким образом он появился в системе, как себя вел и т.д.

46

Ключевое отличие «облаков» Выявление новых угроз в «облаках»

осуществляется по метаданным, сами файлы при первичном анализе в «облако» не передаются.

Такой подход позволяет практически в реальном времени собирать информацию от десятков миллионов добровольных участников распределенной антивирусной сети с целью выявления недетектируемых вредоносных программ.

После обработки метаданных информация о только что появившемся вредоносном контенте транслируется всем участникам информационной сети.

47

Как это работает В Kaspersky Security Network автоматически

поступает информация о попытках заражения, которая затем передается экспертам «Лаборатории Касперского». Также собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника их получения (веб-сайты, почтовые вложения, одноранговые сети и т.д.).

Для отправки информации в KSN требуется согласие пользователя.

Конфиденциальная информация – пароли и другие личные данные – в KSN не передается.

48

Если по завершении проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз.

Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы, которые, как правило, обновляются раз в несколько часов.

49

Пример Юзер запускает ранее неизвестный

файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск.

Оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё.

50

Пример Сигнал поступает в KSN, где система

автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются.

Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

51

Пример 2 Сразу несколько пользователей скачали файл по

одной и той же ссылке. Но каждый раз у файла разный хэш.

KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы. И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.

Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!

52

Пример 2 Другая система

выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику.

Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.

53

Программа, запускаемая пользователем, проверяется по белым спискам и базе UDS. В зависимости от результатов этой проверки программа получает права доступа к ресурсам компьютера или блокируется.

54

Схема работы Kaspersky Security Network Информация о запускаемых или

загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN с компьютеров, на которых установлены последние версии продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей.

Файлы и URL проверяются и, в случае признания их вредоносными, добавляются в базу Urgent Detection System. Легитимные файлы вносятся в белые списки (Whitelisting).

55

Схема работы Kaspersky Security Network Эксперты «Лаборатории Касперского»

анализируют подозрительные файлы, определяют степень их опасности и добавляют описание в базу сигнатур.

Спустя считанные минуты информация о вновь обнаруженных вредоносных и легитимных файлах и URL становится доступна всем пользователям продуктов «Лаборатории Касперского» (не только пользователям Kaspersky Security Network).

По завершении анализа новой вредоносной программы создается ее сигнатура, которая включается в антивирусные базы, регулярно обновляемые на компьютерах пользователей.

56

Технологии, используемые в KSN В KSN также используется технология Wisdom of the

Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

Данные Глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.

В Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных сервисов (WoC и GSR).

57

Расширенная облачная защита для корпоративных клиентов Облачные технологии (данные из Kaspersky

Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое ПО и т.д.).

Используя категории, системный администратор может быстро настроить и применить правила для определенных типов программ в соответствии с корпоративной политикой

При формировании белых списков приложений используются данные, предоставляемые более чем 200 ведущими производителями ПО.

58

Расширенная облачная защита для корпоративных клиентов Инструмент для централизованного управления

Kaspersky Security Center дает возможность тонкой настройки взимодействия с Kaspersky Security Network для защиты узлов корпоративной сети.

Администратор может активировать или отключить облачную защиту в различных модулях Kaspersky Endpoint Security 8 для Windows. Также есть возможность отключить передачу данных в Kaspersky Security Network, если этого требует корпоративная политика безопасности.

59

ПреимуществаСкорость реакции.Скрытая логика принятия решений.Выявление не только новых

недетектируемых угроз, но и источников их распространения.

60

ПреимуществаПолнота выявляемых угроз.Минимизация ложных

срабатываний. ак показывает практика, уровень ложных срабатываний при детектировании с помощью «облаков», как минимум в 100 раз ниже обычного сигнатурного детектирования

61

ПреимуществаПростота автоматизации процессов

детектированияИспользование «облачной» защиты

позволяет минимизировать размеры скачиваемых пользователем AV-баз.

62

Недостатки Детектирование только по хэш-функции

объекта В первых версиях реализации

«облачной» инфраструктуры используется детектирование только по хэш-функциям. Однако в настоящее время, понимая, что этого недостаточно, компании внедряют и другие подходы, которые позволяют по одной «облачной» сигнатуре выявлять целые семейства угроз (в том числе полиморфные).

63

НедостаткиПроблема с трафиком на «узких»

каналах (DialUp/GPRS/etc.)Работа только с исполняемыми

файламиНенадежность сети (есть/нет)Отсутствие аутентификации и

проверки корректности отправляемых источниками данных.

64

СЕРВИСЫ РЕПУТАЦИИ В TREND MICRO

65

Trend Micro SPNКлючевой идеей этой системы была

концепция “репутации”, то есть вынесения вердикта для ресурса (файла, сайта, сообщения электронной почты) только на основе накопленных ранее данных.

То есть, без необходимости анализировать сам ресурс непосредственно в момент обращения к нему пользователя.

66

Методы отслеживания репутации в SPN Формирование базы ресурсов, например

сайтов, и отслеживание происходящих изменений.

Если, например, сайт слишком часто меняет свой IP-адрес, то это типичный признак вредоносного сайта. При этом в чем собственно заключается его вредоносность не известно.

При попытке посетить этот сайт, антивирус Trend Micro в реальном времени сверяется с SPN и блокируется доступ.

67

SPN хранит базу репутации источников сообщений электронной почты, а также базу репутации отдельных файлов.

Наличие всех трех баз, дает второй и самый изощренный способ выявления угроз.

Разработчики Trend Micro называют этот метод корреляцией. Суть метода в том, что используя по информацию в одних базах наполняются другие.

68

Технология Web Reputation Отслеживает надежность веб-сайтов и веб-страниц,

используя сведения о репутации доменов, содержащиеся в одной из крупнейших в мире баз данных.

Оценивает репутацию веб-доменов и отдельных страниц, а также ссылок на веб-сайтах (поскольку законные сайты периодически частично взламываются).

Блокирует доступ пользователей к сомнительным или зараженным сайтам.

69

Технология Email Reputation Проверяет IP-адреса по базе данных, содержащей

сведения об их репутации. Оценивает репутацию отправителей почтовых сообщений

в режиме реального времени. Постоянно анализирует IP-адреса, переоценивая

репутацию. Блокирует вредоносные почтовые сообщения и угрозы

(например, «зомби») в «облачной» среде до их проникновения в систему.

70

Технология File Reputation Проверяет репутацию всех файлов по «облачной» базе

данных, прежде чем предоставить пользователям доступ к ним.

Минимизирует время задержки при проверке благодаря использованию высокопроизводительных сетей для доставки содержимого и локальных серверов кэширования.

Использует архитектуру «облако — клиент», чтобы уменьшить размер файла локальной антивирусной базы данных и таким образом свести к минимуму угрозу увеличения объемов (большое количество создаваемых за день угроз).

71

Технология сравнения и анализа поведенияСравнивает сочетания действий и

компоненты угрозы и определяет, являются ли они вредоносными.

Постоянно обновляет множество баз данных угроз, обеспечивая реагирование на угрозы в режиме реального времени.

72

Программа Smart Feedback Улучшенная комплексная защита пользователей

обеспечивается благодаря круглосуточному взаимодействию продуктов Trend Micro, исследовательских центров и технологий.

Информация обо всех новых угрозах, обнаруженных на клиентских компьютерах в ходе плановых проверок, автоматически заносится в вирусные базы данных Trend Micro.

73

Пример Рассмотрим сообщение электронной почты, которое

приходит в ловушку для спама в TrendLabs с известного источника спама.

Если к сообщению прикреплен исполняемый файл, то с него снимается контрольная сумма и она пополняет базу репутации файлов. Одновременно этот файл автоматически запускается в контролируемом окружении и выявляется, например, что он загружает из Интернета еще два каких-то исполняемых файла.

Отметим, что именно такое поведение характерно для популярных последнее время троянов семейства Trojan.Downloader. Хеш-суммы загруженных файлов также помещаются в базу репутации файлов, а адреса, с которых производилась загрузка пополняют базу репутации сайтов. Адреса, с которых загружаются дополнительные компоненты также помещаются в базу репутации сайтов.

74

Пример 2Если с серверов определенного

провайдера рассылается подозрительно много спама, то и все сайты, которые размещены у данного провайдера получают низкую репутацию. Разумеется, что это не означает, что доступ к ним однозначно блокируется, но им оказывается более пристальное внимание.

75

Пример 3 Третьим способом определения репутации ресурсов в

базах SPN является система обратной связи. Фактически SPN учитывает обращение клиентов Trned Micro к ней для ее собственного пополнения.

При выявлении спам-письма, IP-адрес отправителя помещается в базу на относительно короткий срок (в пределах нескольких часов).

Если же в течение этих нескольких часов большое количество клиентов Trend Micro обратиться к базе репутации электронной почты, чтобы свериться относительно репутации данного адреса, то это явный признак того, что адрес попал с базу не случайно.

Разумеется, что если все таки произошла ошибка, у любого пользователя всегда есть возможность удалить свой адрес из базы.

76

«ОБЛАЧНЫЙ» ПОДХОД: УНИВЕРСАЛЬНАЯ ТАБЛЕТКА ИЛИ МОДНЫЙ ПИАР?

77

Не стоит рассматривать антивирусные «облака» в качестве обособленной технологии защиты пользователя.

Максимальная эффективность защиты достигается при одновременном использовании уже имеющихся наработанных технологий защиты вместе с «облачной» антивирусной системой.

При таком объединении мы получаем лучшее от обоих подходов: «облачную» скорость реакции на неизвестные угрозы, высокий уровень детектирования, проактивность, низкий уровень ошибок и полноту выявляемых угроз.

Спасибо за внимание! Вопросы?Безмалый В.Ф.

MVP Consumer SecurityMicrosoft Security Trusted Advisor

vladb@wondowslive.comhttp://bezmaly.wordpress.com