Bezpečnostní technologie založené na reputacích od společnosti Symantec Kódové jméno: “Quorum” Martin Meduna Presales consultant

Problém Nikdy nekončící hra na kočku a na myš 2 Pokud zlepšujeme naše technologie, tvůrci škodlivého kódu se přizpůsobují Samozřejmě dále investujeme do stávajících bezpečnostních technologií a reagujeme stále rychleji Nakonec, ale budou potřeba nové technologie...

Problém podívejme se na nárůst tradičních signatur Traditional Signatures V roce Signatur za den V roce Signatur za den V roce ,431 Signatur za den V roce ,431 Signatur za den V roce 2009 >15,000 Signatur za den V roce 2009 >15,000 Signatur za den

Problém Fakta o hrozbách Před deseti lety Symantec vydával průměrně pět nových singatur denně. Dnes, přestože každá signatura dovede detekovat více různých hrozeb, výrobci bezpečnostních technologií vydávají tisíce i více signatur denně. Symantec vytvořil více než 1,6 miliónu signatur v roce To odpovídá více než 60ti procentům z celkového počtu signatur, které Symantec kdy vytvořil. V roce 2008 Symantec objevil 10 miliónů nových unikátních škodlivých binarních souborů měsíčně. Tyto signatury pomohly společnosti Symantec blokovat během roku 2008 průměrně více než 245 miliónů pokusů o útok škodlivým kódem měsíčně. Security Technology and Response (STAR)4

Problém Proč je třeba tolik signatur? Varianty se staly reálným problémem –Techniky známé jako “packing” a “obfuscation” se podílejí na znásobení množství variant od jedné hrozby Security Technology and Response (STAR)5 x “Packing” x “Obfuscation” =

Představme si, že víme: –o každém souboru na světě –a kolik kopií každého z nich –a který soubor je špatný a který dobrý Nyní si je uspořádejme dle četnosti –Špatné nalevo –Dobré napravo Existují desítky miliónů souborů (dobrých i špatných) Než budeme pokračovat… Podívejme se na problém detailněji...

Žádná z tradičních technik nepracuje dobře pro desítky miliónů souborů s nízkým rozšířením. Žádná z tradičních technik nepracuje dobře pro desítky miliónů souborů s nízkým rozšířením. Výsledkem je graf, který bude vypadat takto: Špatné soubory Dobré soubory Četnost výskytu Zde whitelist funguje dobře. V této části je třeba nových technologií. Zde blacklist funguje dobře. Než budeme pokračovat… Podívejme se na problém detailněji...

Možná řešení Blacklist, Whitelist a “The Cloud” - Oblak Tradiční Blacklist Whitelisting není svatým grálem antiviru –Raději než hledat špatné, hledat ty dobré –Povolit pouze vybrané (povolené) programy –Whitelist má jen omezený úspěch

Koncept Reputace 9 Využití “Moudrosti davu” “Zeptejte se” velkého množství lidí… Využití “Moudrosti davu” “Zeptejte se” velkého množství lidí…

Koncept „reputace“ Využití jedné z našich největších výhod Symantec má > 130M aktivních uživatelů (Consumer & Enterprise) Tato unikátní základna příspívá automaticky „reputačními“ daty k ochraně uživatelů. Přispívat lze dobrovolně a anonymně. Získaná data nám pomohou dozvědět se: –Na kolika strojích se soubor vyskytuje. –Kdy byl poprvé zaznamenán. –A další data o souboru. To nám umožňuje spočítat “reputační” skóre pro daný soubor, automaticky bez skenování souboru jako takového. A to nejdůležitější: bez zásahu uživatele. 10

Koncept „reputace“ Co to znamená pro bezpečnost? 11 Revoluční vrstva bezpečnosti Posouvá nás od modelu, který poukazuje na ‘škodlivé’ soubory k modelu který posktytuje informace o všech souborech Reputace predikuje, zda-li soubor je špatný nebo dobrý Dostáváme klíčová data o všech soubory

Jak Quorum pracuje? 1. Sbírá VELKÉ množství dat o souborech 12 Sběrné servery 1 1 Sběr dat Využití dat z různých zdrojů včetně:  Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”  Data poskytovaná softwarovými výrobci  Anonymní data přispívaná enterprise zákazníky Využití dat z různých zdrojů včetně:  Anonymních dat příspívaných desitkami miliónů členů “Norton Community Watch”  Data poskytovaná softwarovými výrobci  Anonymní data přispívaná enterprise zákazníky

Jak Quorum pracuje? 2. Spočítá reputační skóre 13 Sběrné servery Reputační servery Hash souboru Dobrý/špatný Důvěryhodnost Rozšířenost Datum prvního objevení 2 2 Kalkulace reputačního skóre Toto je naše ‘tajná esence’  Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné  Máme: –Velký počet atributů –Velké množství souborů –Velké množství přispívajících uživatelů Toto je naše ‘tajná esence’  Obdobně jako Google ‘PageRank™’ rozhodujeme, co je závažné  Máme: –Velký počet atributů –Velké množství souborů –Velké množství přispívajících uživatelů

Jak Quorum pracuje? 3. Reputační skóre je používáno pro ochranu 14 Reputatční servery 3 3 Doručení Reputačního skóre Použítí je možné různými způsoby:  Během downloadu zastaví nebezpečný kód na vstupu do počítače  Spojení s mnohem agresivnější heuristickou analýzou  Zmírnění možných False Positives Použítí je možné různými způsoby:  Během downloadu zastaví nebezpečný kód na vstupu do počítače  Spojení s mnohem agresivnější heuristickou analýzou  Zmírnění možných False Positives

Jak Quorum pracuje? V čem je rozdíl? 15 Nejdná se o cloud! Je to informace o Reputaci, kterou cloud přínáší Quorum je matematické a prediktivní –Quorum používá obrovské množství známých dat a na základě matematických modelů předpovídá pravděpodobnost, zda-li je nový dosud zcela neznámý soubor dobrý nebo špatný, a to jednoduchou analýzou atributů souborů. Quorum nepotřebuje přístup k celému původnímu vzorku škodlivého softwaru –Vzhledem k tomu, že Quorum je prediktivní technologií (narozdíl od algoritmu Google PageRank ™), je schopen provést svou analýzu, aniž by bylo nutné mít přístup k původnímu vzorku souboru. Konkurenční řešení stále potřebují přístup k původnímu souboru. Quorum průběžně aktualizuje všechny reputace souboru –Na rozdíl od konkurenčních řešení, která frontují soubory pro analýzy v cloudu, Quorum neustále zlepšuje všechny reputace průběžně - bez frontování. To vše vytváří mnohem robustnější a dlouhodobější řešení...

Síla Quorum Poskytuje informace o všech souborech –Raději než se zaměřovat na škodlivé soubory, Quorum drží Reputaci o všech spustitelných souborech, použitých každým přispívajícím uživatelem produktů společnosti Symantec na celém světě. Snižuje závislost na tradičních signaturách –Quorum znemožňuje schopnost útočníků měnit jejich kódy, které unikají tradičním signaturovým definicím. Čím více útočník modifikuje svůj kód, tím více je s použitím technologie Quorum zřejmé, že se jedná o podezřelý soubor. Posiluje tradiční bezpečnostní technologie –Quorum přidává další vrstvu bezpečnosti a umožňuje používat tradiční technologie Symantecu jako je heuristická analýza nebo detekce chování v mnohem agresivnějsích módech, což přinaší vyšší úroveň bezpečnosti. Security Technology and Response (STAR)16

Závěrem Reputace: Nový přístup k ochraně koncových bodů Posiluje současné bezpečnostní technologie Posouvá nás vpřed proti tvůrcům malware

Produkty Norton 2010 Kde je možné vidět Quorum v akci?

SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLY Copyright © 2008 Symantec Corporation. All rights reserved. Thank You! SYMANTEC PROPRIETARY/CONFIDENTIAL – INTERNAL USE ONLY Copyright © 2008 Symantec Corporation. All rights reserved. Thank You! Děkuji