Embed Size (px)
Citation preview
Защищаемся от вредоносного кода бесплатноАндрей Бешков
Руководитель программы информационной безопасности
О чем будем говорить?
• Понять что происходит в мире ИБ• Как создать жизнеспособную
систему ИБ• Защита без огромных затрат
Что происходит в мире?
Сегодня штормит… как и вчера…..
Как и год назад!
Что происходит в мире?
• 39% компьютеров в мире заражены
вредоносным кодом
• Каждый 14-й файл скачиваемый из
интернет содержит вредоносный код
• Более 1 млн. компьютеров
взламывается каждый день. Каждые
14 секунд один компьютер
Что происходит в мире?
• Участники Anonymous, Lulzsec и прочих групп
регулярно взламывают крупнейшие компании в мире
и международные организации не прилагая
никакого труда
• В этом году 90% процентов крупнейших компаний в
мире имели инциденты ИБ в своей инфраструктуре
• Убытки от киберпреступности 114 миллиардов долларов
в год
Источник: 16 security problems bigger than Flame
Любой присоединенный к Интернет:
•Всеобъемлющей сети без границ
•Хактивистам
•Криминальным организациям крадущим данные
•Государственным организациям специализирующимся на шпионаже
•Прекрасным интернет сервисам
Имеет мгновенный доступ к …
Полковник Кольт сделал людей равными
Интернет великий уравнитель
• Руткит Linux – 500$, Windows 292$
• Готовый набор Winlocker – 20$
• Полиморфный шифровальщик – 100$
• Аренда набора эксплоитов - 400$ в месяц
• Абузоустойчивый хостинг – 20$
• DDoS Low Orbit Ion Cannon - бесплатно
Trend Micro report “Russian Underground 101”
Быть преступником сложно?
Могучая кучка зловредов?
1 6 11 16 21 260
100,000
200,000
300,000
400,000
500,000
600,000
700,000
800,000
Ранг зловредов
27 семейств
Компьютеры очищенные MSRT
Microsoft Security Intelligence Report выпуск 11
Методы распространения зловредного кода
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%44.8%
26.0%
17.2%
4.4% 3.2% 2.4% 1.7% 0.3% 0.0%
% заражений по каждому методу
Microsoft Security Intelligence Report выпуск 11
Уязвимости! Каждый месяц!
Zero day уязвимости - фетиш ИБ индустрии?
Zero-Day эксплоиты
0.12%
Не Zero-Day эксплоиты
99.88%
Распределение эксплоитов используемых в зловредном ПО за 1 половину 2012
Microsoft Security Intelligence Report выпуск 11
Отношение к обновлениям
Как дела с обновлениями в мире?
Статус обновления безопасности
Microsoft Windows
Microsoft Word Adobe Reader Oracle Java Adobe Flash Player
Нет последнего обновления
34% 39% 60% 94% 70%
Нет последних трех обновлений
16% 35% 46% 51% 44%
Статистика по состоянию на октябрь 2011. Последнее обновление ядра Windows выпущено за 9 месяцев до даты сбора статистики, обновление для Word выпущено за год до этого.
Microsoft Security Intelligence Report выпуск 13
Что сейчас выгодно атаковать?
Kaspersky IT Threat Evolution Q3 2012
• Oracle Java • Adobe Flash Player • Apple QuickTime• Apple iTunes• Winamp• Adobe Shockwave Player
5 продуктов с множественными уязвимостями не обновленных на пользовательских ПК и наиболее часто атакуемых злоумышленниками
23% пользователей посещают интернет с устаревших браузеров. 14.5% используют предыдущую версию, 8.5% отстают на несколько версий .
Обновитесь! И оставайтесь в безопасности!
MS Office 2010, MS Office 2013
XML форматы файловЗащищённый просмотр
Windows 7 и Windows 8Стандартные привилегии
Java 6Прекращает установку версий side by side
Internet Explorer 9Фильтр SmartScreenProtected Mode
Adobe Acrobat Reader XApplied Microsoft SDLProtected Mode
Adobe Flash Player 11Поддержка SSL
Adobe SPLC:
Как ускорить установку обновлений Microsoft?Вступить в бесплатную программу Security Update Validation Program
Доступ к обновлениям от Microsoft за неделю до их публичного выпуска.
Дает возможность протестировать их в своей инфраструктуре и защищать свои системы быстрее.
Атаки Drive-By Download
источник: http://secunia.com
2. IFrame секретно загружает
другую страницу
3. Страница перенаправляет
на другую страницу с эксплоитом
4. Если эксплоит сработал,
скачивается зловред и
заражает жертву
Пользователь Взломанный или злонамереный сайт
Перенаправление Сервер с эксплоитом Сервер с вредоносом
1. Пользователь с уязвимой системой посещает
страницу с невидимым IFrame
Как защищаться? Любить UAC!
Исследование BeyondTrust за 2010 г. утверждает что работа в системе с правами обычного пользователя предотвращает использование:
75% критических уязвимостей Windows 7100% уязвимостей Microsoft Office опубликованных в 2010 г.100% уязвимостей Internet Explorer опубликованных в 2010 г.64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.
http://www.net-security.org/secworld.php?id=10886
Защита от эксплоитов - EMET
Не требуется перекомпилировать приложения
Защищает от основных механизмов срабатывания эксплоитов
Рекомендуется дляПриложений обрабатывающих ввод из Интернет или других не доверенных источников
EMET блокирует 89% эксплоитов
Windows XP SP3 Windows XP SP3 + EMET Windows 7 RTM0
20
40
60
80
100
120
140
160
180
200
181
2110
• Для тестирования EMET использовались 184 наиболее популярных эксплоита
Демонстрация EMET
Социальные атаки
Эффективность Smart Screen
Internet Explorer
Chrome Firefox Safari0%
10%20%30%40%50%60%70%80%90%
100%
99.1%
70.4%
4.3% 4.2%
Malware Block Rate by Browser
Source: NSS Labs, October, 2012
Демонстрация MS Office Protected View
Групповые политики IE 10
Malware Block Rate by Browser
Подробнее Group Policy Settings in Internet Explorer 10
~1500Групповых политик для
всех версий IE
28Новых политик для Internet Explorer 10
Браузер по умолчанию
Уведомляем пользователей если это не такAdobe Flash
Можно выключить Adobe Flash и запретить приложениям использовать
его
Групповые политики наше всё!
Malware Block Rate by Browser
MSDN Search Tool for Group Policies: http://gpsearch.azurewebsites.net/
Демонстрация SCM
Microsoft! Всё включено!
Вы находитесь здесь!
Пора заняться защитой всерьез!
