+ All Categories
Home > Documents > Probl é m Nikdy nekon čící hra na kočku a na myš

Probl é m Nikdy nekon čící hra na kočku a na myš

Date post: 19-Jan-2016
Category:
Upload: cianna
View: 24 times
Download: 3 times
Share this document with a friend
Description:
Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno : “Quorum” Martin Meduna Presales consultant. Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují - PowerPoint PPT Presentation
19
Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant
Transcript
Page 1: Probl é m Nikdy nekon čící hra na kočku a na myš

Bezpečnostní technologie založené na reputacích od společnosti SymantecKódové jméno: “Quorum”

Martin MedunaPresales consultant

Page 2: Probl é m Nikdy nekon čící hra na kočku a na myš

ProblémNikdy nekončící hra na kočku a na myš

2

• Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují

• Samozřejmě dále investujeme do stávajících bezpečnostních technologií a reagujeme stále rychleji

• Nakonec, ale budou potřeba nové technologie...

Page 3: Probl é m Nikdy nekon čící hra na kočku a na myš

Problémpodívejme se na nárůst tradičních signatur

V roce 2000

5Signatur za den

V roce 2000

5Signatur za den

V roce 2007

1,431 Signatur za den

V roce 2007

1,431 Signatur za den

V roce 2009

>15,000 Signatur za den

V roce 2009

>15,000 Signatur za den

Page 4: Probl é m Nikdy nekon čící hra na kočku a na myš

ProblémFakta o hrozbách

• Před deseti lety Symantec vydával průměrně pět nových singatur denně. Dnes, přestože každá signatura dovede detekovat více různých hrozeb, výrobci bezpečnostních technologií vydávají tisíce i více signatur denně.

• Symantec vytvořil více než 1,6 miliónu signatur v roce 2008. To odpovídá více než 60ti procentům z celkového počtu signatur, které Symantec kdy vytvořil.

• V roce 2008 Symantec objevil 10 miliónů nových unikátních škodlivých binarních souborů měsíčně.

• Tyto signatury pomohly společnosti Symantec blokovat během roku 2008 průměrně více než 245 miliónů pokusů o útok škodlivým kódem měsíčně.

Security Technology and Response (STAR) 4

Page 5: Probl é m Nikdy nekon čící hra na kočku a na myš

ProblémProč je třeba tolik signatur?

• Varianty se staly reálným problémem

– Techniky známé jako “packing” a “obfuscation” se podílejí na znásobení množství variant od jedné hrozby

Security Technology and Response (STAR) 5

x “Packing” x “Obfuscation” =

Page 6: Probl é m Nikdy nekon čící hra na kočku a na myš

• Představme si, že víme:

– o každém souboru na světě

– a kolik kopií každého z nich

– a který soubor je špatný a který dobrý

• Nyní si je uspořádejme dle četnosti

– Špatné nalevo

– Dobré napravo

Existují desítky miliónů souborů (dobrých i špatných)

Než budeme pokračovat…Podívejme se na problém detailněji...

Page 7: Probl é m Nikdy nekon čící hra na kočku a na myš

Žádná z tradičních technik nepracuje dobře pro desítky

miliónů souborůs nízkým rozšířením.

Žádná z tradičních technik nepracuje dobře pro desítky

miliónů souborůs nízkým rozšířením.

Výsledkem je graf, který bude vypadat takto:

Špatné soubory Dobré soubory

Če

tno

st v

ýsky

tu

Zde whitelist funguje dobře.Zde whitelist

funguje dobře.V této části je třeba nových technologií. V této části je třeba nových technologií.

Zde blacklist funguje dobře.Zde blacklist

funguje dobře.

Než budeme pokračovat…Podívejme se na problém detailněji...

Page 8: Probl é m Nikdy nekon čící hra na kočku a na myš

Možná řešeníBlacklist, Whitelist a “The Cloud” - Oblak

• Tradiční Blacklist

• Whitelisting není svatým grálem antiviru

– Raději než hledat špatné, hledat ty dobré

– Povolit pouze vybrané (povolené) programy

– Whitelist má jen omezený úspěch

Page 9: Probl é m Nikdy nekon čící hra na kočku a na myš

Koncept Reputace

9

Využití “Moudrosti davu”

“Zeptejte se” velkého množství lidí…

Využití “Moudrosti davu”

“Zeptejte se” velkého množství lidí…

Page 10: Probl é m Nikdy nekon čící hra na kočku a na myš

Koncept „reputace“Využití jedné z našich největších výhod

• Symantec má > 130M aktivních uživatelů (Consumer & Enterprise)

• Tato unikátní základna příspívá automaticky „reputačními“ daty k ochraně uživatelů.

• Přispívat lze dobrovolně a anonymně. Získaná data nám pomohou dozvědět se:

– Na kolika strojích se soubor vyskytuje.

– Kdy byl poprvé zaznamenán.

– A další data o souboru.

• To nám umožňuje spočítat “reputační” skóre pro daný soubor, automaticky bez skenování souboru jako takového.

• A to nejdůležitější: bez zásahu uživatele.

10

Page 11: Probl é m Nikdy nekon čící hra na kočku a na myš

Koncept „reputace“ Co to znamená pro bezpečnost?

11

• Revoluční vrstva bezpečnosti

• Posouvá nás od modelu, který poukazuje na ‘škodlivé’ soubory k modelu který posktytuje informace o všech souborech

• Reputace predikuje, zda-li soubor je špatný nebo dobrý

• Dostáváme klíčová data o všech soubory

Tento soubor je špatný

Tento soubor je dobrý

Page 12: Probl é m Nikdy nekon čící hra na kočku a na myš

Jak Quorum pracuje?1. Sbírá VELKÉ množství dat o souborech

12

Sběrné servery

11

Sběrdat

Využití dat z různých zdrojů včetně: Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”Data poskytovaná softwarovými výrobciAnonymní data přispívaná enterprise zákazníky

Využití dat z různých zdrojů včetně: Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”Data poskytovaná softwarovými výrobciAnonymní data přispívaná enterprise zákazníky

Page 13: Probl é m Nikdy nekon čící hra na kočku a na myš

Jak Quorum pracuje? 2. Spočítá reputační skóre

13

Sběrné servery

Reputačníservery

Hash souboru

Dobrý/špatný

Důvěryhodnost

Rozšířenost

Datum prvního objevení

22Kalkulace

reputačního skóre

Toto je naše ‘tajná esence’

Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné

Máme:

– Velký počet atributů

– Velké množství souborů

– Velké množství přispívajících uživatelů

Toto je naše ‘tajná esence’

Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné

Máme:

– Velký počet atributů

– Velké množství souborů

– Velké množství přispívajících uživatelů

Page 14: Probl é m Nikdy nekon čící hra na kočku a na myš

Jak Quorum pracuje? 3. Reputační skóre je používáno pro ochranu

14

Reputatčníservery

33

Doručení Reputačního

skóre

Použítí je možné různými způsoby: Během downloadu zastaví nebezpečný kód na vstupu do počítačeSpojení s mnohem agresivnější heuristickou analýzouZmírnění možných False Positives

Použítí je možné různými způsoby: Během downloadu zastaví nebezpečný kód na vstupu do počítačeSpojení s mnohem agresivnější heuristickou analýzouZmírnění možných False Positives

Page 15: Probl é m Nikdy nekon čící hra na kočku a na myš

Jak Quorum pracuje?V čem je rozdíl?

15

Nejdná se o cloud! Je to informace o Reputaci, kterou cloud přínáší

• Quorum je matematické a prediktivní

– Quorum používá obrovské množství známých dat a na základě matematických modelů předpovídá pravděpodobnost, zda-li je nový dosud zcela neznámý soubor dobrý nebo špatný, a to jednoduchou analýzou atributů souborů.

• Quorum nepotřebuje přístup k celému původnímu vzorku škodlivého softwaru

– Vzhledem k tomu, že Quorum je prediktivní technologií (narozdíl od algoritmu Google PageRank ™), je schopen provést svou analýzu, aniž by bylo nutné mít přístup k původnímu vzorku souboru. Konkurenční řešení stále potřebují přístup k původnímu souboru.

• Quorum průběžně aktualizuje všechny reputace souboru

– Na rozdíl od konkurenčních řešení, která frontují soubory pro analýzy v cloudu, Quorum neustále zlepšuje všechny reputace průběžně - bez frontování. To vše vytváří mnohem robustnější a dlouhodobější řešení...

Page 16: Probl é m Nikdy nekon čící hra na kočku a na myš

Síla Quorum

• Poskytuje informace o všech souborech

– Raději než se zaměřovat na škodlivé soubory, Quorum drží Reputaci o všech spustitelných souborech, použitých každým přispívajícím uživatelem produktů společnosti Symantec na celém světě.

• Snižuje závislost na tradičních signaturách

– Quorum znemožňuje schopnost útočníků měnit jejich kódy, které unikají tradičním signaturovým definicím. Čím více útočník modifikuje svůj kód, tím více je s použitím technologie Quorum zřejmé, že se jedná o podezřelý soubor.

• Posiluje tradiční bezpečnostní technologie

– Quorum přidává další vrstvu bezpečnosti a umožňuje používat tradiční technologie Symantecu jako je heuristická analýza nebo detekce chování v mnohem agresivnějsích módech, což přinaší vyšší úroveň bezpečnosti.

Security Technology and Response (STAR) 16

Page 17: Probl é m Nikdy nekon čící hra na kočku a na myš

Závěrem

Reputace:

• Nový přístup k ochraně koncových bodů

• Posiluje současné bezpečnostní technologie

• Posouvá nás vpřed proti tvůrcům malware

Page 18: Probl é m Nikdy nekon čící hra na kočku a na myš

Produkty Norton 2010

Kde je možné vidět Quorum v akci?

Page 19: Probl é m Nikdy nekon čící hra na kočku a na myš

SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLYCopyright © 2008 Symantec Corporation. All rights reserved.

Thank You!

SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLYCopyright © 2008 Symantec Corporation. All rights reserved.

Thank You!Děkuji


Recommended