ОБЗОР УГРОЗ 2014

Павел АлександровИнженер предпродажной поддержки в ПФОPavel.Alexandrov@Kaspersky.com

ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

29

1994Один новый вирус каждый час

ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

30

2006Один новый вирус каждую минуту

ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

31

2011Один новый вирус каждую секунду

Или 70 000 образцов в день

EVOLUTION OF MALWARE

32

Что насчёт

2014 ?

EVOLUTION OF MALWARE

33

«Лаборатория Касперского»сейчас обрабатывает

315 000уникальных образцов

вредоносных программкаждый день

Основные цифры и статистика

IT-БЕЗОПАСНОСТЬ В 2013

2013 В ЧИСЛАХ - ОБЗОР

35

Согласно данным облачной инфраструктуры Kaspersky Security Network, продукты компании нейтрализовали 5 188 740 554 кибератак на пользовательских компьютерах и мобильных устройствах.

Решения «Лаборатории Касперского» предотвратили 1700 870 654 атак, инициированных множеством вредоносных онлайн-ресурсов, расположенных по всему миру.

Продукты компании перехватили почти 3 миллиарда попыток локального заражения пользовательских компьютеров. При этом этого было обнаружено 1.8 миллиона вредоносных и подозрительных программ.

45% всех веб-атак, заблокированных решениями «Лаборатории Касперского», были инициированы вредоносными онлайн-ресурсами, находящимися в США и России

Боремся с киберзлоумышленниками по всему миру

ПРИЛОЖЕНИЯ, ЧЬИ УЯЗВИМОСТИ ИСПОЛЬЗУЮТСЯ ЗЛОУМЫШЛЕННИКАМИ

36

Представленная статистика по содержащим уязвимости приложениям основана на данных о попытках использования злоумышленниками соответствующих эксплойтов. Учтены как заблокированные веб-атаки, так и предотвращённые локальные заражения, в том числе и на мобильных устройствах.

ОПЕРАЦИОННЫЕ СИСТЕМЫ НАШИХ ПОЛЬЗОВАТЕЛЕЙ

37

61,5% пользователей «Лаборатории Касперского», согласившихся участвовать в Kaspersky Security Network, используют различные версии Windows 7

Однако 26,58% по-прежнему пользуются системами поколения Windows XP

Microsoft прекращает поддержку Windows XP в апреле 2014!

ОНЛАЙН УГРОЗЫ

38

Число атак, которые были инициированы расположенными по всему миру веб-ресурсами, увеличилось с  1 595 587 670 в 2012 до 1 700 870 654.

Это означает, что продукты «Лаборатории Касперского» защищали своих пользователей в сети в среднем 4 659 920 раз в день.

Распределение онлайн-ресурсов с вредоносным ПО по странами

РИСК ОНЛАЙН-ЗАРАЖЕНИЯ

39

В среднем глобальный риск заражения в Интернете вырос на 6,9 пунктов: в 2013 году 41,6% пользователей как минимум раз сталкивались с атакой из Сети

Интернет по-прежнему является основным источником вредоносных программ для пользователей в большинстве стран мира

Статистика

МОБИЛЬНЫЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ

ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

41

1 160 образцов

20116 193 образцов2004 – 2010

Декабрь2 137

образцов

2011 был годом мобильных вредоносов

А что насчёт 2012?

В2012

мы обнаружи

ли39,807

образцов

ЭВОЛЮЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ

1,160 samples

2004 – 20102011

6,193 samples

December2,137

samples

What about 2012?

2013:Всего было

обнаружено 143 211 образцов

ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНЫХ ЗА 2013 ГОД

43

Платформа Android по-прежнему является основной целью атак, подтверждая одновременно как её популярность, так и уязвимость

В 2013 общее число новых найденных образцов вредоносного кода составило 143 211

Так как один и тот же вредоносный код внедряется в разные приложения, всего таких программ для Android за 2013 год было найдено 3 905 502

За 2012 и 2013 в сумме было найдено примерно 10 миллионов вредоносных программ для Android

Мобильные платформы под прицелом

ОТЧЁТ О МОБИЛЬНЫХ ВРЕДОНОСНАХ ЗА 2013 ГОД

44

Большинство вредоносных программ нацелено на кражу денег

В течение года число модификаций мобильных зловредов, нацеленных на фишинг, кражу данных кредитных карт и денежных средств, увеличилось почти в 20 раз

В 2013 году решения для мобильных платформ «Лаборатории Касперского» предотвратили 2 500 заражений банковскими троянцами.

Виды мобильных зловредов

ТЕНДЕНЦИЯ – БАНКОВСКИЕ ТРОЯНЦЫ

45

В 2013 было отмечено резкое увеличения числа банковских троянцев, нацеленных на Android

Кибериндустрия мобильных вредоносов становится более сфокусированной на получении прямой прибыли с помощью фишинга, кражи данных кредитных карт, осуществления финансовых транзакций со счёта жертвы на счета мобильных телефонов и оттуда на электронные кошельки злоумышленников.

Число мобильных банковских троянцев в коллекции «Лаборатории Касперского»

МОБИЛЬНЫЕ ЗЛОВРЕДЫ – ГЕОГРАФИЯ УГРОЗ

46

Мобильные угрозы зависят от региона – злоумышленники пользуются различными категориями вредоносного ПО в разных регионах и странах

Странадоля всех

атакованных пользователей

1 Россия 40.34%

2 Индия 7.90%

3 Вьетнам 3.96%

4 Украина 3.84%

5Соединённое Королевство

3.42%

Текущие угрозы

ИНЦИДЕНТЫ

МАСКА

48

Маска – глобальная сеть кибершпионажа, которая функционирует как минимум с 2007 года

Ее выделяет сложность арсенала атакующих, который включает в себя ряд крайне изощренных вредоносных программ, разработанных для различных платформ, включая Mac OS X, Linux и, возможно, iOS.

Название происходит от испанского разговорного слова "Careto" («Маска»), которое авторы использовали в названии некоторых модулей.

МАСКА

49

С помощью алгоритмов идентификации мы насчитали более 380 уникальных жертв среди более чем 1 000 IP-адресов

В числе основных жертв:

Государственные учреждения

Дипломатические посольства и миссии

Нефтегазовые компании

Исследовательские институты

Частные инвестиционные компании

Активисты

KASPERSKY SECURITY ДЛЯ ВИРТУАЛЬНЫХ СРЕДПРЕДСТАВЛЯЕМ «ЛЕГКИЙ АГЕНТ»

КАК ИЗМЕНИЛИСЬ РИСКИ БЕЗОПАСНОСТИС ПРИХОДОМ ВИРТУАЛЬНЫХ СРЕД?

51

► Данные пользователей отделены от среды вычислений

► Срок жизни ВМ уменьшился

► Срок развертывания новой ВМ из шаблона минимален

► Усилилась взаимозависимость. Нестабильность одной ВМ может оказывать влияние на всю инфраструктуру.

► Сохранились традиционные риски ИБ– утечка данных, потеря данных

► Сохранился риск нарушения непрерывности бизнеса

ВРЕДОНОСНОЕ ПО В ВИРТУАЛЬНЫХ СРЕДАХ

52

► РАБОТАЮТ ЛИ ВИРУСЫ В ВИРТУАЛЬНЫХ СРЕДАХ??► УЯЗВИМЫ ГОСТЕВЫЕ ОС. БОЛЬШИНСТВО

ТРАДИЦИОННЫХ ВИРУСОВ НЕЗАВИСИМЫ ОТ СРЕД ВИРТУАЛИЗАЦИИ

ДА

► ИСПОЛЬУЮТ ЛИ СПЕЦИФИКУ ВИРТУАЛЬНЫХ СРЕД??ДА

► ПЕРВЫЙ ТРОЯН, ЗАРАЖАЮЩИЙ ШАБЛОНЫ ВИРТУАЛЬНЫХ МАШИН VMWARE БЫЛ НАЙДЕН В 2012 (MORCUT)

► МОГУТ ЛИ ВЫЖИВАТЬ В ВИРТУАЛЬНОЙ СРЕДЕ??ДА

► СЕТЕВОЙ ЧЕРВЬ, ПРОШЕДШИЙ ЧЕРЕЗ КОРПОРАТИВНЫЙ ПЕРИМЕТР, МОЖЕТ ЖИТЬ СКОЛЬ УГОДНО ДОЛГО

ВАРИАНТЫ ЗАЩИТЫ ВИРТУАЛЬНОЙ СРЕДЫ

53

Без защитыТрадиционн

ыерешения

Решения для виртуализац

ии

Не

Вариант

?

ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ТРАДИЦИОННЫХ АНТИВИРУСНЫХ РЕШЕНИЙ В ВИРТУАЛЬНЫХ СРЕДАХ

54

1. Совместимость

• Поддерживает ли официально ваш антивирус ESXi? (Xen? Hyper-V?)

• Как поведет себя антивирус под действуем vMotion, XenMotion, и.т.п.?

2. Специфика виртуальных сред:

• Сканирование по расписанию => деградация производительности хоста

• Обновление антивирусных баз => деградация производительности хоста

• Для шаблонов виртуальных машин – устаревание антивирусных сигнатур

3. Отношение защита/производительность

РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ

55

Антивирусная защита на уровне гипервизора посредством VMware vShield Endpoint API

1. Защищаемые виртуальные машины содержат только драйверы VMware

2. Специальная машина защитысодержит антивирусное решение

3. Запросы на проверку отсылаются на машину защиты.

4. Обработка запросов и обновления базсконцентрированы на одной виртуальной машине в пределах хоста

Запрос на проверку

Вердикт Только VMware

РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | «БЕЗАГЕНТСКАЯ» ТЕХНОЛОГИЯ

56

Преимущества

1. Совместимость обеспечивается вендором

2. Решается проблема «штормов»:

• Антивирусные базы на одной машине

3. Снижается нагрузка на ресурсы гипервизора

• Меньше «след» машин в памяти

• Избегаем повторного сканирования (общий кэш вердиктов)

► ТОЛЬКО ДЛЯ VMWARE. КАК БЫТЬ ПОЛЬЗОВАТЕЛЯМ HYPER-V? XEN?

Запрос на проверку

Вердикт Только VMware

РЕШЕНИЯ ДЛЯ ВИРТУАЛИЗАЦИИ | ЛЕГКИЙ АГЕНТ

57

Добавляется небольшое

приложение для

резидентной защиты

Hyper-V, Xen

Антивирусная защита на уровне гипервизора: Легкий агент

1. Отличия в реализации:

• Дополнительное лёгкое приложениена защищаемой ВМ.

• Не использует VMware API

• Содержит дополнительные модули защиты

2. Поддерживает Hyper-V и Citrix (Xen)

3. Наиболее полный набор технологий защиты:

• Система защиты от вторжений и сетевой экран

• Контроль приложений/web/устройств

• Проверка памяти и системных процессов

4. Оптимальное потребление ресурсов при настраиваемом уровне защиты

KSV | ЛЕГКИЙ АГЕНТ ДЛЯ HYPER-V

58

► ЗАЩИТА НА УРОВНЕ ГИПЕРВИЗОРА

► ВОЗМОЖНОСТЬ РАЗВЕРТЫВАНИЯ НА ФУНКЦИОНИРУЮЩИЕ СИСТЕМЫ БЕЗ ПЕРЕЗАГРУЗКИ

► ПОД ДЕЙСТВИЕМ LIVE MIGRATION ЗАЩИЩАЕМЫЕ МАШИНЫ АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ

► СОВМЕСТИМОСТЬ: LIVE BACKUP

Hyper-V 2008 R2, Hyper-V 2012

KSV | ЛЕГКИЙ АГЕНТ ДЛЯ CITRIX XEN

59

► УСТАНОВКА НА ШАБЛОН ВИРТУАЛЬНОЙ МАШИНЫ VDI ПУЛА

► СОЗДАННЫЕ МАШИНЫ ИЗ ШАБЛОНА АВТОМАТИЧЕСКИ НАХОДЯТ БЛИЖАЙШУЮ МАШИНУ ЗАЩИТЫ И НАЧИНАЮТ РАБОТАТЬ

► ПОДДЕРЖИВАЕТ УДАЛЕННОЕ ПОДКЛЮЧЕНИЕ ЧЕРЕЗ CITRIX RECEIVER ПОСРЕДСТВОМ ПРОТОКОЛА MULTI-STREAM ICA

► ПРИ ПЕРЕХОДЕ НА СОСЕДНИЙ ХОСТ ПОД ДЕЙСТВИЕМ XENMOTION АВТОМАТИЧЕСКИ ВЫБИРАЕТСЯ БЛИЖАЙШАЯ МАШИНА ЗАЩИТЫ

► ПОДДЕРЖКА PERSONAL VDISK, VM PROTECTION& RECOVERY

Xen 6.0.2 и Xen 6.1

XenDesktop 5.6

БЛОКИРОВАНИЕ ФИШИНГОВЫХ И ЗАРАЖЕННЫХ САЙТОВ

60

ЗАЩИТА ФАЙЛОВОЙ СИСТЕМЫ, ПРОВЕРКА ПАМЯТИ И ПРОЦЕССОВ

АВТОМАТИЧЕСКАЯ ЗАЩИТА ОТ ЭКСПЛОЙТОВ, ЗАЩИТА ОТ ОТКЛЮЧЕНИЯ (САМОЗАЩИТА)

СЕТЕВАЯ ЗАЩИТА – ПРЕДОТВРАЩЕНИЕ ВТОРЖЕНИЙ, СЕТЕВОЙ ЭКРАН, ЗАЩИТА ОТ АТАК.

KSV | ЛЕГКИЙ АГЕНТТЕХНОЛОГИИ ЗАЩИТЫ

KSV | ЛЕГКИЙ АГЕНТТЕХНОЛОГИИ КОНТРОЛЯ

61

Контроль Web

Контроль приложений

Контроль устройств

62

► Локальный кэш вердиктов Не нужно перепроверять файлы и приложения

► Общий кэш вердиктов

Не нужно проверять одинаковые файлы на разных VM

Существенно увеличивает производительность для сценария VDI (много одинаковых файлов)

► Централизованное обновление баз

► Оптимизация файловых операций как на каждой VM, так и в рамках всего хоста.

KSV | ЛЕГКИЙ АГЕНТВЫСОКАЯ ПРОИЗВОДИТЕЛЬНОСТЬ

63

► Тестовый стенд : IBM System x3550 M3 (Intel Xeon 6 Cores), 128 GB RAM СХД IBM DS3400 (12x450Gb 15K SAS) Гостевая операционная система: Win7 Офисная нагрузка : сеть, outlook, excel, файлы

► Достигнутый уровень консолидации: 100+ машин под защитой на одном хосте (около 15 VM на ядро)

► Дисковые операции:

Выигрыш от 20% до 50% по сравнению с традиционным решением

Сокращение дисковой очереди: в разы

3 14 25 36 47 58 69 80 91 102 1130

100200300400500600700

PhysicalDisk\Disk Writes/sec

BaselineTraditionalKSV LA

3 11 19 27 35 43 51 59 67 75 83 91 99 107 115 1230

10

20

30

40

PhysicalDisk\Avg. Disk Queue Length

KSV | ЛЕГКИЙ АГЕНТРЕАЛЬНАЯ ПРОВЕРКА ПРОИЗВОДИТЕЛЬНОСТИ

64

ПО РЕСУРСАМ (ЯДРО)

ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ ВСЕХ ГИПЕРВИЗОРОВ – HYPER-V, XEN, ESXi

ЕДИНАЯ ЛИЦЕНЗИЯ ДЛЯ БЕЗАГЕНТСКОГО РЕШЕНИЯ И ЛЕГКОГО АГЕНТА

KSVГИБКОЕ ЛИЦЕНЗИРОВАНИЕ

ПО ВИРТУАЛЬНЫМ МАШИНАМ

По серверам

По рабочим станциям

1 2 3PAGE 65 |

Спасибо за внимание, вопросы!

Павел Александров

Инженер предпродажной поддержки в ПФОЕ-mail: Pavel.Alexandrov@kaspersky.com