29
г. Нижний Новгород 24 НОЯБРЯ 2016 #CODEIB Антивирусная защита почтовых серверов и шлюзовых решений Вячеслав Медведев Доктор Веб ООО "Доктор Веб" +7(495)789-4587 +7(495)796-8992

Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

Embed Size (px)

Citation preview

Page 1: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

г. Нижний Новгород24 НОЯБРЯ 2016

#CODEIB

Антивирусная защита почтовых серверов и

шлюзовых решений

Вячеслав МедведевДоктор Веб

ООО "Доктор Веб"+7(495)789-4587+7(495)796-8992

Page 2: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Прежде чем мы начнем диалог – зададимся парой вопросов

1. Какие события в области ИБ за последнее время вам запомнились?

2. Производители средств защиты не стоят на месте. Как вы думаете – в итоге ситуация в области ИБ

ухудшается или улучшается?

г. Нижний Новгород24 НОЯБРЯ 2016

Page 3: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Зачем нужен антивирус на шлюзе и/или на почтовом сервере?

Зачем (например) проверять трафик на шлюзе?

Общее мнение. Этот трафик все равно попадет на рабочие станции и сервера – где уже стоят антивирусы – там его и проверим! Антивирусное ядро же, проверяющее почту и файлы и на антивирусе для рабочей станции и на антивирусе для шлюза или почтового сервера – одно и тоже

г. Нижний Новгород24 НОЯБРЯ 2016

Page 4: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Рассмотрим реальные проблемы защиты компании.

Предположим, что в ней используется MS Exchange

г. Нижний Новгород24 НОЯБРЯ 2016

Page 5: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Проверка всей входящей и исходящей электронной корреспонденции, поступающей для обработки на почтовый сервер, как от вредоносных программ, так и от спама.

Обработка писем в зависимости от правил для групп клиентов

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

г. Нижний Новгород24 НОЯБРЯ 2016

Page 6: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

Антивирус должен проверить все объекты до того, как они передаются клиенту для обработки – в том числе

в поиске пока неизвестных вредоносных файлов

Возможность обнаружения неизвестных вирусов Возможность обнаружения и удаления вирусов, скрытых

под неизвестными упаковщиками

Эти возможности традиционно присутствуют есть – но достаточно ли их наличия?

г. Нижний Новгород24 НОЯБРЯ 2016

Page 7: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

В случае интеграции с почтовым сервером Microsoft Exchange с помощью интерфейса Microsoft Virus Scanning Application Interface (VSAPI) антивирусу доступны:

возможность проверки документов, хранящихся в базе данных, а также проверки при доступе к письму.

проверку всех почтовых ящиков, включая служебные почтовые ящики SystemMailbox, System Attendant;

фильтрацию и блокировку сообщений в зависимости от вероятности принадлежности их к спаму – по категориям спам, вероятно, спам и маловероятно спам;

Запуск задания на фоновую проверку в целях обнаружения ранее неизвестных вредоносных программ…

Dr.Web Mail Security Suite Защита почтовых серверов MS Exchange

г. Нижний Новгород24 НОЯБРЯ 2016

Page 8: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

8#CODEIB

Отличный функционал, обеспечивающий актуальную защиту почты в любой

момент времени

Вот только производитель, начиная с MS Exchange 2013 убрал эту возможность защиты

г. Нижний Новгород24 НОЯБРЯ 2016

Page 9: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Прежде, чем продолжить о проблемах и решениях защиты почты –

вспомним о BYOD

г. Нижний Новгород24 НОЯБРЯ 2016

Page 10: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

Только факты

Android.Triada внедряется в системный процесс Zygote - отвечающий за запуск всех приложений. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений. Представители семейства Android.Triada обладают функцией самозащиты.

http://news.drweb.com/show/?c=5&i=9899&lng=ru

Android.Loki.3 реализует на инфицированном устройстве две функции: внедряет библиотеку liblokih.so в процесс системной службы system_server и позволяет выполнять команды от имени суперпользователя (root). Поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусной программы нет доступа… оптимальный способ ликвидировать последствия заражения – перепрошивка устройства с использованием оригинального образа ОС

http://news.drweb.com/show/?c=5&i=9822&lng=ru

1010#CODEIB г. Нижний Новгород

24 НОЯБРЯ 2016

Page 11: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Сотрудники, работающие удаленно и почтовые клиенты, не имеющие актуальной защиты – должны иметь гарантию того, что в письме нет известного вируса

г. Нижний Новгород24 НОЯБРЯ 2016

Page 12: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Вернемся к защите почты на уровне сервера серверу

г. Нижний Новгород24 НОЯБРЯ 2016

Page 13: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

На данный момент наилучший вариант проверки трафика - SMTP-шлюз, самостоятельно принимающий и отправляющий почту - не ограниченный в своих возможностях анализа

Все антивирусные программы, проверяющие почту, поступающую на почтовый сервер, интегрируются с ним с помощью API этого сервера - и тем самым ограничиваются в своих возможностях.

г. Нижний Новгород24 НОЯБРЯ 2016

Page 14: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Dr.Web Mail Security Suite

г. Нижний Новгород24 НОЯБРЯ 2016

Page 15: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

И о шлюзах

г. Нижний Новгород24 НОЯБРЯ 2016

Page 16: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Шлюз – защита от вредоносных файлов тех компьютеров и устройств (от сетевого оборудования до мобильных устройств), где антивирус поставить нельзя – из-за отсутствия ресурсов, неподдерживаемой операционной системы или специфических задач.

г. Нижний Новгород24 НОЯБРЯ 2016

Page 17: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Если у вас используются облачные системы, имеются филиалы или сотрудники используют внешние сервисы – трафик компании покидает защищенный периметр, по дороге на вашу машину специально сформированный файл вполне может внедриться в интересующее хакера место

г. Нижний Новгород24 НОЯБРЯ 2016

Page 18: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

Антивирусная защита, соответствующая требованиям закона о персональных данных, должна включать защиту всех узлов локальной сети:

рабочих станций;

файловых и терминальных серверов;

шлюзов сети Интернет;

почтовых серверов.

Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты.

Вирусы

Шлюз сети Интернет

Межсетевой экран

SMTP-шлюз

Интернет

Dr.Web Enterprise Security Suite

Page 19: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

И не забываем про и домашние машины – там тоже читают письма! А вирусы таскают на работу

19#CODEIB г. Нижний Новгород

24 НОЯБРЯ 2016

Page 20: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

Проверяется ли ваш трафик на уровне драйверов?Контролирует ли ваш поведенческий анализатор процесс, если эксплойт не обращается ни к чему за пределами процесса?

20#CODEIB

Любой документ до его использования или попадания в клиентскую программу должен быть проверен

Dr.Web ShellGuard – следующее поколение Dr.Web Process Heuristic не просто не позволяет вредоносным объектам внедриться в процессы других программ, а контролирует процессы изнутри

г. Нижний Новгород24 НОЯБРЯ 2016

Page 21: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Немного бонуса

г. Нижний Новгород24 НОЯБРЯ 2016

Page 22: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Dr.Web Enterprise Security Suite Полная комплексная защита

Централизованное управление защитой всех узлов корпоративной сети

Рабочие станции

Файловые серверы и серверы приложений

Почта

Шлюзы

Мобильные устройства

Мы сертифицируем всю линейку наших продуктов

г. Нижний Новгород24 НОЯБРЯ 2016

Page 23: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

2323#CODEIB

Огромный поток вредоносных файлов и огромное количество мошеннических

ресурсов приводит к тому, что базы антивируса буквально “пухнут”. Только в

базы нерекомендуемых адресов еженедельно добавляется более 50000 новых ресурсов!

г. Нижний Новгород24 НОЯБРЯ 2016

Page 24: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

2424#CODEIB

Компания «Доктор Веб» переработала базу Офисного/Родительского контроля. Количество

записей в ней удалось уменьшить более чем в два раза!

Размер базы нерекомендуемых ресурсов снизился с 330Мб до 165! Что естественно привело к росту

скорости работы

г. Нижний Новгород24 НОЯБРЯ 2016

Page 25: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

2525#CODEIB

Переработка антивирусных баз позволила удалить 2 миллиона записей, что позволило

уменьшить размер антивирусных баз на треть!

Группировка записей по типам файлов позволила резко поднять скорость обработки non-PE файлов

г. Нижний Новгород24 НОЯБРЯ 2016

Page 26: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

2626#CODEIB

• Создана система защиты от угроз нулевого дня• Переработан модуль сканирования трафика• Новый драйвер перехвата Dr.Web HyperVisor• Снижение количества перезагрузок

И это далеко не все!

г. Нижний Новгород24 НОЯБРЯ 2016

Page 27: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

2727#CODEIB

И последнее. Напоминаем что…

г. Нижний Новгород24 НОЯБРЯ 2016

Page 28: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

#CODEIB

Пользователям продуктов «Доктор Веб»:

• Бесплатная расшифровка специалистами

«Доктор Веб» в случае заражения

троянцами-вымогателями.

66,23% от общего числа запросов в техническую поддержку – запросы от пользователей иных вендоров на расшифровку

г. Нижний Новгород24 НОЯБРЯ 2016

Page 29: Доктор Веб. Кирилл Тезиков. "Антивирусная защита почтовых серверов и шлюзовых решений"

Вопросы? Благодарим за внимание!

Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки

8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!

8-800-33-DRWEB

#CODEIB г. Нижний Новгород24 НОЯБРЯ 2016