Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant.

ZveřejnilMatěj Mašek

Podobné prezentace

Prezentace na téma: "Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant."— Transkript prezentace:

1 Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant

2 Problém Nikdy nekončící hra na kočku a na myš 2 Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují Samozřejmě dále investujeme do stávajících bezpečnostních technologií a reagujeme stále rychleji Nakonec, ale budou potřeba nové technologie...

3 Problém podívejme se na nárůst tradičních signatur Traditional Signatures V roce 2000 5 Signatur za den V roce 2000 5 Signatur za den V roce 2007 1,431 Signatur za den V roce 2007 1,431 Signatur za den V roce 2009 >15,000 Signatur za den V roce 2009 >15,000 Signatur za den

4 Problém Fakta o hrozbách Před deseti lety Symantec vydával průměrně pět nových singatur denně. Dnes, přestože každá signatura dovede detekovat více různých hrozeb, výrobci bezpečnostních technologií vydávají tisíce i více signatur denně. Symantec vytvořil více než 1,6 miliónu signatur v roce 2008. To odpovídá více než 60ti procentům z celkového počtu signatur, které Symantec kdy vytvořil. V roce 2008 Symantec objevil 10 miliónů nových unikátních škodlivých binarních souborů měsíčně. Tyto signatury pomohly společnosti Symantec blokovat během roku 2008 průměrně více než 245 miliónů pokusů o útok škodlivým kódem měsíčně. Security Technology and Response (STAR)4

5 Problém Proč je třeba tolik signatur? Varianty se staly reálným problémem –Techniky známé jako “packing” a “obfuscation” se podílejí na znásobení množství variant od jedné hrozby Security Technology and Response (STAR)5 x “Packing” x “Obfuscation” =

6 Představme si, že víme: –o každém souboru na světě –a kolik kopií každého z nich –a který soubor je špatný a který dobrý Nyní si je uspořádejme dle četnosti –Špatné nalevo –Dobré napravo Existují desítky miliónů souborů (dobrých i špatných) Než budeme pokračovat… Podívejme se na problém detailněji...

7 Žádná z tradičních technik nepracuje dobře pro desítky miliónů souborů s nízkým rozšířením. Žádná z tradičních technik nepracuje dobře pro desítky miliónů souborů s nízkým rozšířením. Výsledkem je graf, který bude vypadat takto: Špatné soubory Dobré soubory Četnost výskytu Zde whitelist funguje dobře. V této části je třeba nových technologií. Zde blacklist funguje dobře. Než budeme pokračovat… Podívejme se na problém detailněji...

8 Možná řešení Blacklist, Whitelist a “The Cloud” - Oblak Tradiční Blacklist Whitelisting není svatým grálem antiviru –Raději než hledat špatné, hledat ty dobré –Povolit pouze vybrané (povolené) programy –Whitelist má jen omezený úspěch

9 Koncept Reputace 9 Využití “Moudrosti davu” “Zeptejte se” velkého množství lidí… Využití “Moudrosti davu” “Zeptejte se” velkého množství lidí…

10 Koncept „reputace“ Využití jedné z našich největších výhod Symantec má > 130M aktivních uživatelů (Consumer & Enterprise) Tato unikátní základna příspívá automaticky „reputačními“ daty k ochraně uživatelů. Přispívat lze dobrovolně a anonymně. Získaná data nám pomohou dozvědět se: –Na kolika strojích se soubor vyskytuje. –Kdy byl poprvé zaznamenán. –A další data o souboru. To nám umožňuje spočítat “reputační” skóre pro daný soubor, automaticky bez skenování souboru jako takového. A to nejdůležitější: bez zásahu uživatele. 10

11 Koncept „reputace“ Co to znamená pro bezpečnost? 11 Revoluční vrstva bezpečnosti Posouvá nás od modelu, který poukazuje na ‘škodlivé’ soubory k modelu který posktytuje informace o všech souborech Reputace predikuje, zda-li soubor je špatný nebo dobrý Dostáváme klíčová data o všech soubory

12 Jak Quorum pracuje? 1. Sbírá VELKÉ množství dat o souborech 12 Sběrné servery 1 1 Sběr dat Využití dat z různých zdrojů včetně:  Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”  Data poskytovaná softwarovými výrobci  Anonymní data přispívaná enterprise zákazníky Využití dat z různých zdrojů včetně:  Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”  Data poskytovaná softwarovými výrobci  Anonymní data přispívaná enterprise zákazníky

13 Jak Quorum pracuje? 2. Spočítá reputační skóre 13 Sběrné servery Reputační servery Hash souboru Dobrý/špatný Důvěryhodnost Rozšířenost Datum prvního objevení 2 2 Kalkulace reputačního skóre Toto je naše ‘tajná esence’  Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné  Máme: –Velký počet atributů –Velké množství souborů –Velké množství přispívajících uživatelů Toto je naše ‘tajná esence’  Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné  Máme: –Velký počet atributů –Velké množství souborů –Velké množství přispívajících uživatelů

14 Jak Quorum pracuje? 3. Reputační skóre je používáno pro ochranu 14 Reputatční servery 3 3 Doručení Reputačního skóre Použítí je možné různými způsoby:  Během downloadu zastaví nebezpečný kód na vstupu do počítače  Spojení s mnohem agresivnější heuristickou analýzou  Zmírnění možných False Positives Použítí je možné různými způsoby:  Během downloadu zastaví nebezpečný kód na vstupu do počítače  Spojení s mnohem agresivnější heuristickou analýzou  Zmírnění možných False Positives

15 Jak Quorum pracuje? V čem je rozdíl? 15 Nejdná se o cloud! Je to informace o Reputaci, kterou cloud přínáší Quorum je matematické a prediktivní –Quorum používá obrovské množství známých dat a na základě matematických modelů předpovídá pravděpodobnost, zda-li je nový dosud zcela neznámý soubor dobrý nebo špatný, a to jednoduchou analýzou atributů souborů. Quorum nepotřebuje přístup k celému původnímu vzorku škodlivého softwaru –Vzhledem k tomu, že Quorum je prediktivní technologií (narozdíl od algoritmu Google PageRank ™), je schopen provést svou analýzu, aniž by bylo nutné mít přístup k původnímu vzorku souboru. Konkurenční řešení stále potřebují přístup k původnímu souboru. Quorum průběžně aktualizuje všechny reputace souboru –Na rozdíl od konkurenčních řešení, která frontují soubory pro analýzy v cloudu, Quorum neustále zlepšuje všechny reputace průběžně - bez frontování. To vše vytváří mnohem robustnější a dlouhodobější řešení...

16 Síla Quorum Poskytuje informace o všech souborech –Raději než se zaměřovat na škodlivé soubory, Quorum drží Reputaci o všech spustitelných souborech, použitých každým přispívajícím uživatelem produktů společnosti Symantec na celém světě. Snižuje závislost na tradičních signaturách –Quorum znemožňuje schopnost útočníků měnit jejich kódy, které unikají tradičním signaturovým definicím. Čím více útočník modifikuje svůj kód, tím více je s použitím technologie Quorum zřejmé, že se jedná o podezřelý soubor. Posiluje tradiční bezpečnostní technologie –Quorum přidává další vrstvu bezpečnosti a umožňuje používat tradiční technologie Symantecu jako je heuristická analýza nebo detekce chování v mnohem agresivnějsích módech, což přinaší vyšší úroveň bezpečnosti. Security Technology and Response (STAR)16

17 Závěrem Reputace: Nový přístup k ochraně koncových bodů Posiluje současné bezpečnostní technologie Posouvá nás vpřed proti tvůrcům malware

18 Produkty Norton 2010 Kde je možné vidět Quorum v akci?

19 SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLY Copyright © 2008 Symantec Corporation. All rights reserved. Thank You! SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLY Copyright © 2008 Symantec Corporation. All rights reserved. Thank You! Děkuji

Stáhnout ppt "Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant."

Podobné prezentace

Využití cloudových služeb ve školství

Využití cloudových služeb ve školství
J. Pokorný 1 DOTAZOVACÍ JAZYKY slajdy přednášce DBI006 J. Pokorný MFF UK 060322.

J. Pokorný 1 DOTAZOVACÍ JAZYKY slajdy přednášce DBI006 J. Pokorný MFF UK
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.

Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Vladimír Přikryl, generální ředitel CompuGroup Medical ČR a SR

Vladimír Přikryl, generální ředitel CompuGroup Medical ČR a SR
Co s trhem SBS aneb trh SBS je trh jako každý jiný

Co s trhem SBS aneb trh SBS je trh jako každý jiný
Brána firewall a její využití

Brána firewall a její využití
Nový přístup k aplikacím Vema

Nový přístup k aplikacím Vema
III/2 8.ABC XVII. 3. 25. 04. 2012. Informatika prevence, bezpečnost, zabezpečení, ochrana, údržba, aktualizace, update, brána firewall, antivir, malware,

III/2 8.ABC XVII Informatika prevence, bezpečnost, zabezpečení, ochrana, údržba, aktualizace, update, brána firewall, antivir, malware,
Printforum 2011 Přednáška Technologická přeměna – a důsledky pro tiskárny Prof. Dr. Thomas Helbig Poradce podniků v polygrafickém průmyslu www.beratungdruck.de.

Printforum 2011 Přednáška Technologická přeměna – a důsledky pro tiskárny Prof. Dr. Thomas Helbig Poradce podniků v polygrafickém průmyslu
Jak na web První krůčky Lukáš Reindl. Co je potřeba Budeme potřebovat počítač, na kterém běží alespoň nějaký jednoduchý textový editor (ve Windows Notepad.

Jak na web První krůčky Lukáš Reindl. Co je potřeba Budeme potřebovat počítač, na kterém běží alespoň nějaký jednoduchý textový editor (ve Windows Notepad.
1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.

1 Small Business Windows XP Professional Platforma pro zpracování zpráv (Messaging Platform) 6 září, 2001.
Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.

Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.

ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Přínosy virtualizace a privátního cloudu

Přínosy virtualizace a privátního cloudu
11 Procesy a procesní řízení 22 Další charakteristiky procesu má svého vlastníka (osoba odpovídající za zlepšování procesu) má svého zákazníka (interního.

11 Procesy a procesní řízení 22 Další charakteristiky procesu má svého vlastníka (osoba odpovídající za zlepšování procesu) má svého zákazníka (interního.
Regresní analýza a korelační analýza

Regresní analýza a korelační analýza
Základní číselné množiny

Základní číselné množiny
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Statistika Vypracoval: Mgr. Lukáš Bičík

Statistika Vypracoval: Mgr. Lukáš Bičík

Podobné prezentace

Reklamy Google