1 / 19

Probl é m Nikdy nekon čící hra na kočku a na myš

Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno : “Quorum” Martin Meduna Presales consultant. Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují

cianna
Télécharger la présentation

Probl é m Nikdy nekon čící hra na kočku a na myš

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnostní technologie založené na reputacích od společnosti SymantecKódové jméno: “Quorum”Martin MedunaPresales consultant

  2. Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují Samozřejmě dále investujeme do stávajících bezpečnostních technologií a reagujeme stále rychleji Nakonec, ale budou potřeba nové technologie... ProblémNikdy nekončící hra na kočku a na myš

  3. Problémpodívejme se na nárůst tradičních signatur Vroce 2009 >15,000Signatur za den Traditional Signatures Vroce 2007 1,431Signatur za den Vroce 2000 5 Signatur za den

  4. ProblémFakta o hrozbách • Před deseti lety Symantec vydával průměrně pět nových singatur denně. Dnes, přestože každá signatura dovede detekovat více různých hrozeb, výrobci bezpečnostních technologií vydávají tisíce i více signatur denně. • Symantec vytvořil více než 1,6 miliónu signaturv roce 2008. To odpovídá více než 60tiprocentům z celkového počtu signatur, které Symantec kdy vytvořil. • V roce 2008 Symantec objevil 10 miliónů nových unikátních škodlivých binarních souborů měsíčně. • Tyto signatury pomohly společnosti Symantec blokovat během roku 2008 průměrně více než 245 miliónů pokusů o útok škodlivým kódem měsíčně. Security Technology and Response (STAR)

  5. ProblémProč je třeba tolik signatur? • Varianty se staly reálným problémem • Techniky známé jako “packing” a “obfuscation” se podílejí na znásobení množství variant od jedné hrozby x “Packing” x “Obfuscation” = Security Technology and Response (STAR)

  6. Představme si, že víme: o každém souboru na světě a kolik kopií každého z nich a který soubor je špatný a který dobrý Nyní si je uspořádejme dle četnosti Špatné nalevo Dobré napravo Než budeme pokračovat… Podívejme se na problém detailněji... Existují desítky miliónů souborů (dobrých išpatných)

  7. Než budeme pokračovat… Podívejme se na problém detailněji... Výsledkem je graf, který bude vypadat takto: Dobré soubory Špatné soubory Žádná z tradičních technik nepracuje dobře pro desítky miliónů souborů s nízkým rozšířením. Četnost výskytu V této části je třeba nových technologií. Zde whitelistfunguje dobře. Zde blacklist funguje dobře.

  8. Možná řešeníBlacklist, Whitelista “The Cloud” - Oblak • Tradiční Blacklist • Whitelisting není svatým grálem antiviru • Raději než hledat špatné, hledat ty dobré • Povolit pouze vybrané (povolené) programy • Whitelist má jen omezený úspěch

  9. Koncept Reputace Využití “Moudrosti davu” “Zeptejte se” velkého množství lidí…

  10. Koncept „reputace“Využití jedné z našich největších výhod • Symantec má > 130M aktivních uživatelů (Consumer & Enterprise) • Tato unikátní základna příspívá automaticky „reputačními“ daty k ochraně uživatelů. • Přispívat lze dobrovolně a anonymně. Získaná data nám pomohou dozvědět se: • Na kolika strojích se soubor vyskytuje. • Kdy byl poprvé zaznamenán. • A další data o souboru. • To nám umožňuje spočítat “reputační” skóre pro daný soubor, automatickybez skenování souboru jako takového. • A to nejdůležitější:bez zásahu uživatele.

  11. Revoluční vrstva bezpečnosti Posouvá nás od modelu, který poukazuje na ‘škodlivé’ soubory k modelu který posktytuje informace o všech souborech Reputace predikuje, zda-li soubor je špatný nebo dobrý Dostávámeklíčová data ovšechsoubory Koncept „reputace“ Co to znamená pro bezpečnost? Tento soubor je dobrý Tento soubor je špatný

  12. Jak Quorum pracuje?1. Sbírá VELKÉ množství dat o souborech 1 Sběr dat Sběrné servery • Využití dat z různých zdrojů včetně: • Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch” • Data poskytovaná softwarovými výrobci • Anonymní data přispívaná enterprise zákazníky

  13. Jak Quorum pracuje? 2. Spočítá reputační skóre • Toto je naše ‘tajná esence’ • Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné • Máme: • Velký počet atributů • Velké množství souborů • Velké množství přispívajících uživatelů Kalkulace reputačního skóre 2 Sběrné servery Reputačníservery

  14. Jak Quorum pracuje? 3. Reputační skóre je používáno pro ochranu • Použítí je možné různými způsoby: • Během downloadu zastaví nebezpečný kód na vstupu do počítače • Spojení s mnohem agresivnější heuristickou analýzou • Zmírnění možných False Positives Reputatčníservery 3 Doručení Reputačního skóre

  15. Nejdná se o cloud! Je to informace o Reputaci, kterou cloud přínáší Quorum je matematické a prediktivní Quorum používá obrovské množství známých data na základě matematických modelů předpovídá pravděpodobnost, zda-li je nový dosud zcela neznámý soubordobrý nebo špatný, a to jednoduchou analýzou atributů souborů. Quorum nepotřebuje přístup k celému původnímu vzorku škodlivého softwaru Vzhledem k tomu, že Quorum je prediktivní technologií (narozdíl od algoritmu Google PageRank ™), je schopen provést svou analýzu, aniž by bylo nutné mít přístup k původnímu vzorku souboru. Konkurenční řešení stále potřebují přístup k původnímu souboru. Quorum průběžně aktualizuje všechny reputace souboru Na rozdíl od konkurenčních řešení, která frontují soubory pro analýzy v cloudu, Quorum neustále zlepšuje všechny reputace průběžně - bez frontování. To vše vytváří mnohem robustnější a dlouhodobější řešení... Jak Quorum pracuje?V čem je rozdíl?

  16. Síla Quorum • Poskytuje informace o všech souborech • Raději než se zaměřovat na škodlivé soubory, Quorum drží Reputaci o všech spustitelných souborech, použitých každým přispívajícím uživatelem produktů společnosti Symantec na celém světě. • Snižuje závislost na tradičních signaturách • Quorum znemožňuje schopnost útočníků měnit jejich kódy, které unikají tradičním signaturovým definicím.Čím více útočník modifikuje svůj kód, tím více je s použitím technologie Quorum zřejmé, že se jedná o podezřelý soubor. • Posiluje tradiční bezpečnostní technologie • Quorum přidává další vrstvu bezpečnosti a umožňuje používat tradiční technologie Symantecu jako je heuristická analýza nebo detekce chování v mnohem agresivnějsích módech, což přinaší vyšší úroveň bezpečnosti. Security Technology and Response (STAR)

  17. Reputace: Nový přístup k ochraně koncových bodů Posiluje současné bezpečnostní technologie Posouvá nás vpřed proti tvůrcům malware Závěrem

  18. Kde je možné vidět Quorum v akci? Produkty Norton 2010

  19. Děkuji

More Related