Защита от вредоносного кода бесплатно

Защищаемся от вредоносного кода бесплатноАндрей Бешков

Руководитель программы информационной безопасности

abeshkov@microsoft.com

О чем будем говорить?

• Понять что происходит в мире ИБ• Как создать жизнеспособную

систему ИБ• Защита без огромных затрат

Что происходит в мире?

Сегодня штормит… как и вчера…..

Как и год назад!

Что происходит в мире?

• 39% компьютеров в мире заражены

вредоносным кодом

• Каждый 14-й файл скачиваемый из

интернет содержит вредоносный код

• Более  1 млн. компьютеров

взламывается каждый день. Каждые

14 секунд один компьютер

Что происходит в мире?

• Участники Anonymous, Lulzsec и прочих групп

регулярно взламывают крупнейшие компании в мире

и международные организации не прилагая

никакого труда

• В этом году 90% процентов крупнейших компаний в

мире имели инциденты ИБ в своей инфраструктуре

• Убытки от киберпреступности 114 миллиардов долларов

в год

Источник: 16 security problems bigger than Flame

Любой присоединенный к Интернет:

•Всеобъемлющей сети без границ

•Хактивистам

•Криминальным организациям крадущим данные

•Государственным организациям специализирующимся на шпионаже

•Прекрасным интернет сервисам

Имеет мгновенный доступ к …

Полковник Кольт сделал людей равными

Интернет великий уравнитель

• Руткит Linux – 500$, Windows 292$

• Готовый набор Winlocker – 20$

• Полиморфный шифровальщик – 100$

• Аренда набора эксплоитов - 400$ в месяц

• Абузоустойчивый хостинг – 20$

• DDoS Low Orbit Ion Cannon - бесплатно

Trend Micro report “Russian Underground 101”

Быть преступником сложно?

Могучая кучка зловредов?

1 6 11 16 21 260

100,000

200,000

300,000

400,000

500,000

600,000

700,000

800,000

Ранг зловредов

27 семейств

Компьютеры очищенные MSRT

Microsoft Security Intelligence Report выпуск 11

Методы распространения зловредного кода

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%44.8%

26.0%

17.2%

4.4% 3.2% 2.4% 1.7% 0.3% 0.0%

% заражений по каждому методу

Microsoft Security Intelligence Report выпуск 11

Уязвимости! Каждый месяц!

Zero day уязвимости - фетиш ИБ индустрии?

Zero-Day эксплоиты

0.12%

Не Zero-Day эксплоиты

99.88%

Распределение эксплоитов используемых в зловредном ПО за 1 половину 2012

Microsoft Security Intelligence Report выпуск 11

Отношение к обновлениям

Как дела с обновлениями в мире?

Статус обновления безопасности

Microsoft Windows

Microsoft Word Adobe Reader Oracle Java Adobe Flash Player

Нет последнего обновления

34% 39% 60% 94% 70%

Нет последних трех обновлений

16% 35% 46% 51% 44%

Статистика по состоянию на октябрь 2011. Последнее обновление ядра Windows выпущено за 9 месяцев до даты сбора статистики, обновление для Word выпущено за год до этого.

Microsoft Security Intelligence Report выпуск 13

Что сейчас выгодно атаковать?

Kaspersky IT Threat Evolution Q3 2012

• Oracle Java • Adobe Flash Player • Apple QuickTime• Apple iTunes• Winamp• Adobe Shockwave Player

5 продуктов с множественными уязвимостями не обновленных на пользовательских ПК и наиболее часто атакуемых злоумышленниками

23% пользователей посещают интернет с устаревших браузеров. 14.5% используют предыдущую версию, 8.5% отстают на несколько версий .

Обновитесь! И оставайтесь в безопасности!

MS Office 2010, MS Office 2013

XML форматы файловЗащищённый просмотр

Windows 7 и Windows 8Стандартные привилегии

Java 6Прекращает установку версий side by side

Internet Explorer 9Фильтр SmartScreenProtected Mode

Adobe Acrobat Reader XApplied Microsoft SDLProtected Mode

Adobe Flash Player 11Поддержка SSL

Adobe SPLC:

Как ускорить установку обновлений Microsoft?Вступить в бесплатную программу Security Update Validation Program

Доступ к обновлениям от Microsoft за неделю до их публичного выпуска.

Дает возможность протестировать их в своей инфраструктуре и защищать свои системы быстрее.

Атаки Drive-By Download

источник: http://secunia.com

2. IFrame секретно загружает

другую страницу

3. Страница перенаправляет

на другую страницу с эксплоитом

4. Если эксплоит сработал,

скачивается зловред и

заражает жертву

Пользователь Взломанный или злонамереный сайт

Перенаправление Сервер с эксплоитом Сервер с вредоносом

1. Пользователь с уязвимой системой посещает

страницу с невидимым IFrame

Как защищаться? Любить UAC!

Исследование BeyondTrust за 2010 г. утверждает что работа в системе с правами обычного пользователя предотвращает использование:

75% критических уязвимостей Windows 7100% уязвимостей Microsoft Office опубликованных в 2010 г.100% уязвимостей Internet Explorer опубликованных в 2010 г.64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.

http://www.net-security.org/secworld.php?id=10886

Защита от эксплоитов - EMET

Не требуется перекомпилировать приложения

Защищает от основных механизмов срабатывания эксплоитов

Рекомендуется дляПриложений обрабатывающих ввод из Интернет или других не доверенных источников

EMET блокирует 89% эксплоитов

Windows XP SP3 Windows XP SP3 + EMET Windows 7 RTM0

20

40

60

80

100

120

140

160

180

200

181

2110

• Для тестирования EMET использовались 184 наиболее популярных эксплоита

Демонстрация EMET

Социальные атаки

Эффективность Smart Screen

Internet Explorer

Chrome Firefox Safari0%

10%20%30%40%50%60%70%80%90%

100%

99.1%

70.4%

4.3% 4.2%

Malware Block Rate by Browser

Source: NSS Labs, October, 2012

Демонстрация MS Office Protected View

Групповые политики IE 10

Malware Block Rate by Browser

Подробнее Group Policy Settings in Internet Explorer 10

~1500Групповых политик для

всех версий IE

28Новых политик для Internet Explorer 10

Браузер по умолчанию

Уведомляем пользователей если это не такAdobe Flash

Можно выключить Adobe Flash и запретить приложениям использовать

его

Групповые политики наше всё!

Malware Block Rate by Browser

MSDN Search Tool for Group Policies: http://gpsearch.azurewebsites.net/

Демонстрация SCM

Microsoft! Всё включено!

Вы находитесь здесь!

Пора заняться защитой всерьез!