Bezpečnostní technologie založené na reputacích od společnosti SymantecKódové jméno: “Quorum”
Martin MedunaPresales consultant
ProblémNikdy nekončící hra na kočku a na myš
2
• Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují
• Samozřejmě dále investujeme do stávajících bezpečnostních technologií a reagujeme stále rychleji
• Nakonec, ale budou potřeba nové technologie...
Problémpodívejme se na nárůst tradičních signatur
V roce 2000
5Signatur za den
V roce 2000
5Signatur za den
V roce 2007
1,431 Signatur za den
V roce 2007
1,431 Signatur za den
V roce 2009
>15,000 Signatur za den
V roce 2009
>15,000 Signatur za den
ProblémFakta o hrozbách
• Před deseti lety Symantec vydával průměrně pět nových singatur denně. Dnes, přestože každá signatura dovede detekovat více různých hrozeb, výrobci bezpečnostních technologií vydávají tisíce i více signatur denně.
• Symantec vytvořil více než 1,6 miliónu signatur v roce 2008. To odpovídá více než 60ti procentům z celkového počtu signatur, které Symantec kdy vytvořil.
• V roce 2008 Symantec objevil 10 miliónů nových unikátních škodlivých binarních souborů měsíčně.
• Tyto signatury pomohly společnosti Symantec blokovat během roku 2008 průměrně více než 245 miliónů pokusů o útok škodlivým kódem měsíčně.
Security Technology and Response (STAR) 4
ProblémProč je třeba tolik signatur?
• Varianty se staly reálným problémem
– Techniky známé jako “packing” a “obfuscation” se podílejí na znásobení množství variant od jedné hrozby
Security Technology and Response (STAR) 5
x “Packing” x “Obfuscation” =
• Představme si, že víme:
– o každém souboru na světě
– a kolik kopií každého z nich
– a který soubor je špatný a který dobrý
• Nyní si je uspořádejme dle četnosti
– Špatné nalevo
– Dobré napravo
Existují desítky miliónů souborů (dobrých i špatných)
Než budeme pokračovat…Podívejme se na problém detailněji...
Žádná z tradičních technik nepracuje dobře pro desítky
miliónů souborůs nízkým rozšířením.
Žádná z tradičních technik nepracuje dobře pro desítky
miliónů souborůs nízkým rozšířením.
Výsledkem je graf, který bude vypadat takto:
Špatné soubory Dobré soubory
Če
tno
st v
ýsky
tu
Zde whitelist funguje dobře.Zde whitelist
funguje dobře.V této části je třeba nových technologií. V této části je třeba nových technologií.
Zde blacklist funguje dobře.Zde blacklist
funguje dobře.
Než budeme pokračovat…Podívejme se na problém detailněji...
Možná řešeníBlacklist, Whitelist a “The Cloud” - Oblak
• Tradiční Blacklist
• Whitelisting není svatým grálem antiviru
– Raději než hledat špatné, hledat ty dobré
– Povolit pouze vybrané (povolené) programy
– Whitelist má jen omezený úspěch
Koncept Reputace
9
Využití “Moudrosti davu”
“Zeptejte se” velkého množství lidí…
Využití “Moudrosti davu”
“Zeptejte se” velkého množství lidí…
Koncept „reputace“Využití jedné z našich největších výhod
• Symantec má > 130M aktivních uživatelů (Consumer & Enterprise)
• Tato unikátní základna příspívá automaticky „reputačními“ daty k ochraně uživatelů.
• Přispívat lze dobrovolně a anonymně. Získaná data nám pomohou dozvědět se:
– Na kolika strojích se soubor vyskytuje.
– Kdy byl poprvé zaznamenán.
– A další data o souboru.
• To nám umožňuje spočítat “reputační” skóre pro daný soubor, automaticky bez skenování souboru jako takového.
• A to nejdůležitější: bez zásahu uživatele.
10
Koncept „reputace“ Co to znamená pro bezpečnost?
11
• Revoluční vrstva bezpečnosti
• Posouvá nás od modelu, který poukazuje na ‘škodlivé’ soubory k modelu který posktytuje informace o všech souborech
• Reputace predikuje, zda-li soubor je špatný nebo dobrý
• Dostáváme klíčová data o všech soubory
Tento soubor je špatný
Tento soubor je dobrý
Jak Quorum pracuje?1. Sbírá VELKÉ množství dat o souborech
12
Sběrné servery
11
Sběrdat
Využití dat z různých zdrojů včetně: Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”Data poskytovaná softwarovými výrobciAnonymní data přispívaná enterprise zákazníky
Využití dat z různých zdrojů včetně: Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”Data poskytovaná softwarovými výrobciAnonymní data přispívaná enterprise zákazníky
Jak Quorum pracuje? 2. Spočítá reputační skóre
13
Sběrné servery
Reputačníservery
Hash souboru
Dobrý/špatný
Důvěryhodnost
Rozšířenost
Datum prvního objevení
22Kalkulace
reputačního skóre
Toto je naše ‘tajná esence’
Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné
Máme:
– Velký počet atributů
– Velké množství souborů
– Velké množství přispívajících uživatelů
Toto je naše ‘tajná esence’
Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné
Máme:
– Velký počet atributů
– Velké množství souborů
– Velké množství přispívajících uživatelů
Jak Quorum pracuje? 3. Reputační skóre je používáno pro ochranu
14
Reputatčníservery
33
Doručení Reputačního
skóre
Použítí je možné různými způsoby: Během downloadu zastaví nebezpečný kód na vstupu do počítačeSpojení s mnohem agresivnější heuristickou analýzouZmírnění možných False Positives
Použítí je možné různými způsoby: Během downloadu zastaví nebezpečný kód na vstupu do počítačeSpojení s mnohem agresivnější heuristickou analýzouZmírnění možných False Positives
Jak Quorum pracuje?V čem je rozdíl?
15
Nejdná se o cloud! Je to informace o Reputaci, kterou cloud přínáší
• Quorum je matematické a prediktivní
– Quorum používá obrovské množství známých dat a na základě matematických modelů předpovídá pravděpodobnost, zda-li je nový dosud zcela neznámý soubor dobrý nebo špatný, a to jednoduchou analýzou atributů souborů.
• Quorum nepotřebuje přístup k celému původnímu vzorku škodlivého softwaru
– Vzhledem k tomu, že Quorum je prediktivní technologií (narozdíl od algoritmu Google PageRank ™), je schopen provést svou analýzu, aniž by bylo nutné mít přístup k původnímu vzorku souboru. Konkurenční řešení stále potřebují přístup k původnímu souboru.
• Quorum průběžně aktualizuje všechny reputace souboru
– Na rozdíl od konkurenčních řešení, která frontují soubory pro analýzy v cloudu, Quorum neustále zlepšuje všechny reputace průběžně - bez frontování. To vše vytváří mnohem robustnější a dlouhodobější řešení...
Síla Quorum
• Poskytuje informace o všech souborech
– Raději než se zaměřovat na škodlivé soubory, Quorum drží Reputaci o všech spustitelných souborech, použitých každým přispívajícím uživatelem produktů společnosti Symantec na celém světě.
• Snižuje závislost na tradičních signaturách
– Quorum znemožňuje schopnost útočníků měnit jejich kódy, které unikají tradičním signaturovým definicím. Čím více útočník modifikuje svůj kód, tím více je s použitím technologie Quorum zřejmé, že se jedná o podezřelý soubor.
• Posiluje tradiční bezpečnostní technologie
– Quorum přidává další vrstvu bezpečnosti a umožňuje používat tradiční technologie Symantecu jako je heuristická analýza nebo detekce chování v mnohem agresivnějsích módech, což přinaší vyšší úroveň bezpečnosti.
Security Technology and Response (STAR) 16
Závěrem
Reputace:
• Nový přístup k ochraně koncových bodů
• Posiluje současné bezpečnostní technologie
• Posouvá nás vpřed proti tvůrcům malware
Produkty Norton 2010
Kde je možné vidět Quorum v akci?
SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLYCopyright © 2008 Symantec Corporation. All rights reserved.
Thank You!
SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLYCopyright © 2008 Symantec Corporation. All rights reserved.
Thank You!Děkuji