'

Лови момент, или, как не попасть в ловушку

Понравилась презентация – покажи это...





Слайд 0

Лови момент, или, как не попасть в ловушку Игорь Кошмал Лаборатория Касперского Представительство в СЗФО Риланс, С.-Петербург, 27.04.2012 Igor.koshmal@kaspersky.com


Слайд 1

Не надо назойливой рекламы! Страница 2


Слайд 2

14 лет на рынке Международная компания Лидер российского рынка Защита более 300 миллионов рабочих мест Почти 10 миллионов активаций продуктов в месяц Более 200 патентов по всему миру Более 2300 сотрудников, из них 800 в R&D Более 130 технологических партнеров «Лаборатория Касперского»


Слайд 3

Больше чем безопасность Страница 4 Kaspersky LAB – на переднем краю борьбы с киберкриминалом Аналитические отчеты Информация в блогах и вирусных энциклопедиях Обучающие семинары, бизнес-завтраки, конференции Образовательные программы Работа с органами власти


Слайд 4

Важные цифры. 2010 год Страница 5 31 декабря 2010 г. –1 900 000 000* зафиксированных инцидентов 1,9 МИЛЛИАРДА! *3700 инцидентов в секунду


Слайд 5

Важные цифры. 2010 год Страница 6 Основные тенденции на том же уровне В ряде технологий - переход на новый уровень Увеличение сложности вредоносных программ Большинство атак осуществляется через браузер Стабилизация количества программ = стабилизация количества атак. одна и та же вредоносная программа = десятки различных уязвимостей = рост количества атак.


Слайд 6

Динамика развития информационных угроз 2011 год. Цифры. Страница 7


Слайд 7

Динамика развития информационных угроз Страница 8 - 946 393 696 атаки через браузер (2 592 859 раз в день) - сервера атак – 4 073 646 доменов в 198 странах мира Рост по сравнению с 2010 г. – в 1,6 раза Место Страна Количество атак % от всех атак 1 США 240 022 553 25,4% 2 Россия 138 554 755 14,6% 3 Нидерланды 92 652 499 9,8% 4 Германия 82 544 498 8,7% 5 Украина 47 886 774 5,1%


Слайд 8

Динамика развития информационных угроз 1 место – сайты с видеоконтентом (на пятом месте в 2010 году) 2 место – поисковые системы 3 место – социальные сети Страница 9 Где размещаются вредоносные ссылки


Слайд 9

Динамика развития информационных угроз 1 место – продукты ADOBE 2 место – JAVA 3 место – Microsoft Патчи и легальные обновления! Страница 10 Уязвимые продукты


Слайд 10

Динамика развития информационных угроз Уязвимые ОС Страница 11 Массовые заражения – известные уязвимости Zero day – для целевых атак


Слайд 11

Динамика развития информационных угроз Локальные инциденты В 2011 году зафиксировано 2,3 миллиарда локальных инцидентов! Страница 12


Слайд 12

Динамика развития информационных угроз Картина мира Страница 13 Веб-угрозы Место Страна % уникальных пользователей* 1 Россия 55,9 2 Оман 54,8 3 США 50,1 4 Армения 49,6 5 Белоруссия 48,7 6 Азербайджан 47,5 7 Казахстан 47 8 Ирак 45,4 9 Украина 45,1 10 Гвинея-Бисау 45,1 11 Малайзия 44,4 12 Шри-Ланка 44,2 13 Саудовская Аравия 43,9 14 Индия 43,8 15 Судан 43,5 16 Великобритания 43,2 17 Таджикистан 43,1 18 Катар 42,4 19 Кувейт 42,3 20 Канада 42,1


Слайд 13

Динамика развития информационных угроз Картина мира Страница 14 Локальные угрозы Место Страна % 1 Судан 94,6% 2 Бангладеш 92,6% 3 Ирак 81,0% 4 Танзания 80,8% 5 Ангола 79,4% 6 Руанда 78,5% 7 Индия 77,5% 8 Непал 77,1% 9 Уганда 75,5% 10 Шри-Ланка 74,6% 11 Оман 74,3% 12 Малави 73,9% 13 Индонезия 73,6% 14 Афганистан 73,6% 15 Монголия 72,9% 16 Нигерия 71,9% 17 Мавритания 71,8% 18 Мальдивы 71,7% 19 Иран 71,5% 20 Эфиопия 70,7%


Слайд 14

Динамика развития информационных угроз Картина мира Страница 15 Самые безопасные страны Место Страна* % 1 Дания 20,6 2 Япония 21,1 3 Германия 25,3 4 Финляндия 26,3 5 Чехия 27 6 Швейцария 27,6 7 Люксембург 27,9 8 Австрия 28,4 9 Швеция 28,8 10 Норвегия 29,5 11 Нидерланды 29,7 12 Бельгия 32,3 13 Словения 32,7 14 Новая Зеландия 34,7


Слайд 15

Динамика развития информационных угроз Сетевые атаки В 2011 году мы отразили 2 656 409 660 сетевых атак (в прошлом году их было в 2 раза меньше) Лидер рейтинга атак – червь Slammer Страница 16


Слайд 16

Динамика развития информационных угроз 2011 год. Тенденции Страница 17


Слайд 17

Тенденции Страница 18 Увеличение атак с целью похищения ПД на крупные корпорации Репутация под угрозой: Значительное количество инцидентов взломов БД Sony, Honda, Fox News, Citibank Наболее крупная утечка: взлом Sony: PlayStation, Qriocity, Sony Online Entertainment Данные до 77 миллионов (!) пользователей сервисов PSN и Qriocity. Прямой вред репутации сервисы Sony были недоступны по всему миру в течение 2-3 недель количество возвратов и обменов приставок Sony возросло в разы «Хактивисты» «хактивизм» — взлом или вывод из строя систем государства в знак протеста новая группировка LulzSec: за 50 дней: взлом множества систем и ПД десятков тысяч пользователей - Sony, EA, AOL, сенат США, ЦРУ Cистемным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них.


Слайд 18

Тенденции Страница 19 Атака на корпорацию Mitsubishi - началась в середине сентября, готовилась в мюле-августе - было заражено около 80 компьютеров и серверов заводов Mitsubishi - получение и открытие PDF-файла - эксплойт уязвимости в Adobe Reader - установка вредоносного модуля, открывающего полный удаленный доступ к системе. - cбор и рассылка наружу интересующей информации


Слайд 19

Тенденции Страница 20


Слайд 20

Тенденции Страница 21


Слайд 21

Тенденции Страница 22


Слайд 22

Важные цифры и факты. 2011 год Страница 23 Южная Корея кража хакерами данных 35 миллионов пользователей социальной сети CyWorld. взлом серверов SK Telecom, владеющей поисковой системой Nibu и социальной сетью CyWorld. Всего в Республике Корея - 49 миллионов человек в руках злоумышленников - данные (имена, фамилии, почтовые адреса, телефоны) 3/4 населения Изменение политики анонимности в Интернет


Слайд 23

Тенденции.Падение BIOS Страница 24 Rootkit.Win32.Mybios.a – злобный концепт по следам Win.CIH Основные детали - рассчитан на заражение BIOS производства компании Award - имеет, скорее всего, китайское происхождение - код недоделан и содержит отладочную информацию - стартует из BIOS после включения компьютера и может контролировать инициализацию АО и ОС - Код, внедряемый в BIOS, восстанавливает заражение MBR - зараженная загрузочная запись - в самом модуле ISA ROM - компьютер останется зараженным даже в случае излечения MBR. Трудности: - неунифицированный формат BIOS - алгоритм прошивки в ROM. Еще в 1998 году вирус CIH мог портить BIOS, в результате чего становилась невозможной загрузка компьютера, но контролировать систему и передавать себе управление он не умел.


Слайд 24

Тенденции. Проблемы с сертификатами Страница 25 15 марта 2011 года - взломаны учетные записи Comodo (защитные программные продукты и SSL-сертификаты) Результат - создание девяти поддельных цифровых сертификатов для веб-сайтов (mail.google.com, login.yahoo.com, addons.mozilla.com и login.skype.com) 17 июня 2011 года – взломаны компьютеры сертификационного центра DigiNotar Результат - сгенерированы более 300 поддельных сертификатов. Потеря доверия к сертификатам и цифровым подписям


Слайд 25

Тенденции. Кибервойны Страница 26 В июне 2010 г. - обнаружен любопытный образец вредоносного ПО Его драйверы были подписаны ворованными сертификатами Созданный теми же людьми, что и Stuxnet, Duqu был классифицирован в августе 2011 года венгерской исследовательской лабораторией CrySyS. - проникает на компьютер с помощью вредоносных документов Microsoft Word - ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. - инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. - возможность загружать на компьютер-жертву новые модули и исполнять их «на лету» Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.


Слайд 26

Тенденции Страница 27 Увеличение количества вредоносных программ для Android В августе 2010 года - Trojan-SMS.AndroidOS.FakePlayer.a Менее чем через год - вредоносные программы для Android - самые популярные В III квартале 2011 года на долю Android- более 40% всего зарегистрированного вредоносного мобильного ПО. В ноябре 2011 года - за месяц мы обнаружили более 1000 зловредов для Android! - бурный рост спроса на саму ОС - cвободный доступ к документации = облегчение жизни злоумышленников - cлабые процесс проверки на android market Вредоносное ПО для Мас OS MacDefender, MacSecurity, MacProtector или MacGuard - май 2011 года Популярность за счет черной поисковой оптимизации. Загружают программы, затем платят за «полную версию» (40-140$) Троянцы семейства DNSChanger. (впервые – 2007 год) Замена адреса DNS-серверов Заход на поддельные сайты Атаки man-in-the-middle. Вредоносное ПО для Мас OS – это реальность!


Слайд 27

Тенденции Страница 28 Наступление мобильных угроз Атаки с помощью QR-кодов


Слайд 28

Прогнозы Страница 29 Что нас ждет в 2012 году: Кибероружие типа Stuxnet будет использоваться в единичных случаях. Простые средства – «закладки», «логические бомбы» и прочее, — нацеленные на уничтожение данных в нужный момент - каждый день! Таргетированных атак станет больше, спектр компаний и отраслей экономики, которые станут объектами атак, расширится. В 2012 году все усилия злоумышленников – на Goggle Android. Мы ожидаем роста числа атак с использованием уязвимостей, а также появление первых мобильных Drive-by атак. Выростет число загрузок вредоносных программ в официальные магазины приложений, в первую очередь на Android Market. Мобильный шпионаж – кража данных с мобильных телефонов и слежка за объектом при помощи его телефона и геолокационных сервисов – станет широко распространенным явлением. В 2012 году атаки на системы онлайн-банкинга возрастут. Под ударом - Юго-Восточная Азия, Китай и страны Восточной Африки. Множественные атаки на различные государственные и коммерческие структуры по всему миру продолжатся. При этом хактивизм может быть использован и в целях сокрытия других атак.


Слайд 29

Как бороться? Как вычислить слабые места в системе безопасности государства и бизнеса? Что делать на переднем краю борьбы с информационными угрозами? Как наносить превентивные удары? Страница 30


Слайд 30

Стратегия защиты Страница 31 Модель угроз Культура работы с информацией Политики безопасности Физическая защита носителей ПО для защиты информации и носителей Дополнительные сервисы и услуги Обмен информацией между пользователями


Слайд 31

Уровень политик и процедур Физическая защита Защита сети Защита клиентов Модель многоуровневой антивирусной защиты Периметр Внутренняя сеть Узлы Приложения Данные Настройка ОС, аутентификация, система обновления Сетевые экраны, ДМЗ Охрана, замки, устройства слежения Сегментация сети, IPSec, СПВ Настройка приложений, АПО Контроль доступа, шифрование Документы, обучение, политики


Слайд 32

Модель угроз


Слайд 33

За любую бумажку с моего стола бандит полжизни отдаст! Г.Жеглов, оперативный работник МУРа Культура работы с информацией


Слайд 34

Культура работы с информацией


Слайд 35

Политики безопасности =


Слайд 36

Физическая защита носителей


Слайд 37

Как предупредить действия инсайдеров Страница 38 Аудит рисков ИТ-безопасности Для компаний крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Компания должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками: - оценить имеющуюся инфраструктуру - определить критические информационные активы; - установить текущие возможные угрозы и уязвимости - оценить возможные денежные убытки вследствие утечки; - выработать стратегию управления, продумать план немедленного реагирования. Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.


Слайд 38

Как предупредить действия инсайдеров Страница 39 Обучайте ваших сотрудников основам информационной безопасности В компании должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. - что такое политики, процедуры - зачем их надо соблюдать при работе - какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники. Разграничивайте должностные обязанности и привилегии доступа к данным Если все сотрудники компании достаточно хорошо обучены принципам безопасности, то: - ответственность за критические функции распределена между сотрудниками, - эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией - максимальное количество процедур должно быть автоматизировано Тогда: - каждый работает только с теми документами, с которыми должен - вероятность сговора между людьми с целью кражи ценных сведений резко снижается.


Слайд 39

Как предупредить действия инсайдеров Страница 40 Строгие политики управления учетными записями и паролями Если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные Усиление аутентификации и авторизации в сетях Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Деактивация несуществующих пользователей Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам Мониторинг и сбор логов действий сотрудников в режиме реального времени Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей - сильно увеличился внутренний сетевой трафик - возросло количество запросов к корпоративной базе данных - сильно увеличился расход тонера или бумаги.


Слайд 40

Кроме того Страница 41 - Активно защищаться от вредоносного кода хорошими антивирусными продуктами - Использовать защиту от удаленных атак и попыток взлома. - Внедрять резервное копирование и процедуры восстановления данных. - - - Осуществлять контентную фильтрацию исходящего сетевого трафика. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных. - Установить политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). - не забыть и беспроводные сети (IrDA, Bluetooth, WiFi). - Проверять поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии. - Фильтровать запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы. - Шифровать критическую информацию на блочных устройствах и на ноутбуках.


Слайд 41

DDOS-атаки и возможности защиты


Слайд 42

Недостатки типовых методов защиты Межсетевые экраны Не спасают от атаки на исчерпание полосы пропускания канала.   Маршрутизация в «черные дыры» Только помогают хакеру достичь своей цели. Системы IDS|IPS Не спасают от атаки на исчерпание полосы пропускания канала.   бессильны против 99% DDoS атак, которые не используют уязвимости. Оптимизация настроек ресурсов Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса». Многократное резервирование Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту.


Слайд 43

Общая концепция противодействия Информированности о угрозе, включающая Информированность о типичных схемах и целях использования того или иного инструментария информированность специалистов по безопасности о самой возможности что-то противопоставить злоумышленнику; информированности о порядке действий в случае тех или иных инцидентов. Технические средства защиты Правовое противодействие злоумышленникам


Слайд 44

Критерии фильтрации Статистические Основа – вычисленные параметры поведения типового пользователя Статические Черные/белые списки фильтрации Поведенческие Основа – умение работать в соответствии со спецификацией протокола Сигнатурные Индивидуальные особенности Ботнета Список выявленных IP адресов Особенности генерируемых сетевых пакетов


Слайд 45

Техническая идея ё Без атаки Во время атаки


Слайд 46

Архитектура системы


Слайд 47

Построение профилей обнаружения


Слайд 48

Работать надо вместе Невозможно защитить «пустоту» Невозможно защитить «дыру» Microsoft Security Bulletin MS09-048 - Critical Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723) Published: September 08, 2009 | Updated: September 10, 2009 Трудно защитить того, кто не стремится к этому


Слайд 49

VIRUS SLA – криминологический анализ


Слайд 50

Детки в сетке


Слайд 51

Дети в интернете: проблема безопасности Что есть на самом деле Дети не рассказывают родителям о том, какие сайты посещают 33% Дети не обсуждают безопасность в интернете с родителями 40% Родители жалуются, что дети слишком много времени проводят в Интернете 23% Родители не представляют, сколько времени дети тратят на Интернет www.isafe.org 14% Родители не устанавливают никаких правил поведения в Сети 34%


Слайд 52

«Отцы и дети» Участники: Урван Парфентьев Олег Ульянский Дмитрий Устюжанин Андрей Никишин


Слайд 53

www.KasperskyAcademy.com Академия Касперского как решение проблем информационной грамотности


Слайд 54

Цель программы: Cделать доступными знания и технологии компании. Развиваться, учиться и исследовать ВМЕСТЕ.


Слайд 55

www.kasperskyacademy.com


Слайд 56

Дети и Интернет Каждый день система родительского контроля ЛК фиксирует более 4 000 000 срабатываний 80% - эротический контент и нецензурная лексика 20% - наркотики, оружие, насилие 3% - ложное срабатывание


Слайд 57

Какие инструменты не работают Страница 58


Слайд 58

Верное решение – Kaspersky Crystal


Слайд 59

P.S.


Слайд 60

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) МЫ ВСЕ В ОПАСНОСТИ


Слайд 61

ВЫ РИСКУЕТЕ КАЖДЫЙ ДЕНЬ


Слайд 62

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) КОГДА ВЫ ДУМАЕТЕ ПРО IT-БЕЗОПАСНОСТЬ, ПОЛАГАЕТЕ, ОНИ ПОМОГУТ ВАМ?


Слайд 63

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) НЕТ, ВАМ ПОМОГУТ ОНИ!


Слайд 64

Спасибо! http://www.kaspersky.ru http://www.securelist.com/ru


×

HTML:





Ссылка: