Lloyd Turner Business Manager Central and Eastern Europe
Napirend • A Sophos bemutatása • A kialakuló fenyegetések és a Sophos Megoldások • A ZombieAlert és néhány új szolgáltatás • Kérdések?
A Sophos bemutatása
Sophos – az üzletnek tervezve A cég • • • •
Érett – Több, mint 20 éve az üzleti világban A vállalatokra fókuszálva több, mint 35 millió felhasználóval Szakértők – díjnyertes támogatás és a SophosLabs™ Globális – irodák és kutatólaborok az egész világon
• Globálisan a 4., Európában az 1. számú Anti-vírus forgalmazó
Sophos a világban
Díjak és tanusítványok
A kialakuló üzleti kihívások
Fenyegetések az üzlet folytonosságára
Quantity Quantity -- Mennyiség Mennyiség
Velocity Velocity -- Sebesség Sebesség
Complexity Complexity -- Komplexitás Komplexitás
Fenyegetések Mennyisége és témák • Témák: • Vírusok, férgek, kémprogramok, Trójaiak • Spam • Hackelés • Operációs Rendszer sérülékenységek • Jogi felelősség és egyeztetés • Bizalmas információk ellopása/elvesztése • Felhasználói és hálózati termelékenység veszteség
• Sophos megoldások • • • •
Anti-virus anti-spyware-rel Anti-spam email szűréssel Személyes tűzfal (2006) Anti-adware (2006)
A terjedés Sebessége • Témák • Az internetes férgek percek alatt elterjednek • Ugyanazon vírus több variánsát rövid időn belül kiadják (Bagel, MyDoom) • Az operációs rendszer sérülékenységeit gyorsabban kihasználják
• Sophos megoldások • Manuális email szabályok az átjárón • Manuális személyes tűzfal szabályok (2006-ban érkezik) • Genotype technológia • Gyors definíciós állomány létrehozás
A probléma Komplexitása • Témák • A ‘Mennyiség’ és a ‘Sebesség’ növeli a Komplexitást • A Spam és vírus írók együtt dolgoznak • Összetettebb terjesztési módok • Az új fenyegetéseket üzleti haszonszerzés céljára tervezik
• Sophos megoldások • Végpont és átjáró védelem • SophosLabs – malware & üzenetkezelési szakértők. 24/7 fenyegetés analizáló központok • 24/7 ingyenes támogatás • Az üzleti világnak tervezve
Genotype™ vírus észlelő technológia • • •
•
•
A heurisztikus ellenőrzéstől különbözik Magas észlelési arány nagyon alacsony téves pozitív riasztással Élő organizmusok analógiáját használja az ismert fenyegetések közeli változatainak észleléséhez • Egy „gén” szegmensei azonosak lehetnek a szülőével és örökletes információkat tartalmaznak A számítógépes vírusokkal kapcsolatban kiterjeszti a vírus családok észlelését és eltávolítását – jóval a specifikus szignatúra-alapú észlelés megjelenése előtt Megtalálható a Sophos Anti-Virus, PureMessage és SAV Interface összes verziójában
Genotype™ vírus észlelés
Sophos megoldások Internet
Firewall Proxy HTTP/FTP
SMTP Gateway
Email servers
Computers/servers
Remote or mobile computers
Downloaded viruses Internet worms Malicious spyware
Sophos PureMessage for Unix ‘ Az email szabályzatok egyértelmű királya!’ Network world
- Integrált fenyegetés menedzsment megoldás anti-virus, antispam és szabályzat menedzsmenttel - Rugalmas szabályzat keretrendszer - Korszerű anti-spam megoldás kombinálása 98% észlelési aránnyal - Könnyen átlátható webes felületű adminisztráció és szükség esetén delegálható a végfelhasználó számára
Puremessage for UNIX-Linux 5.1 • A Sophos Puremessage anti-spam csapata a világméretű SophosLabs spamcsapdáit használja a következő szolgáltatásokhoz: • ZombieAlert™ • PhishAlert™
• A két legjobb nem-appliance alapú anti-spam megoldás között szerepel • Bevezetett és bizonyított (5.1-es verzió) • Kiváló magyar referenciák (biztosítási cégek, pénzügyi szervezetek, nagy egyetemek, vállalatok)
Sophos ZombieAlertTM Szolgáltatás Fertőzés elleni Tanácsadói Szolgáltatás
Napirend • • • • • •
Mi a Zombi? – a vírus fenyegetés fejlődése A hagyományos védekezés korlátai A zombik bevonása a szervezetekbe A megoldások követelményei Sophos Anti-Virus védelem A ZombieAlertTM bemutatása
Mi a Zombi?
• •
• •
Oxford Dictionary: A ‘zombie’ is a corpse supposedly revived and controlled by witchcraft / evil (a zombi a boszorkányság vagy a gonosz által feltámasztott és ellenőrzött hulla) IT Security: A ‘zombie’ is a machine that has been hijacked and is subsequently used for the distribution of spam. (a zombi olyan számítógép, amely ellenőrzése már más kezekbe kerül, azután pedig a kéretlen levelek terjesztésére használnak)
A vírusok tegnap
A vírusok ma Irányított zombik hálózata Megpróbál még több zombit megfertőzni/to borozni
Vírus írók
Bevétel a spammerektől Keylogger azonosság/tőke lopás Tolvaj tárcsázó bevételek
A rendszerek folyamatos támadás alatt állnak
A fertőzés perceken belül megtörténik
Egyre több vírust írnak • 7944 új vírus a 2005. januári – júniusi időszakban • Az előző év azonos időszakában csak 4677 vírus volt – 59% növekedés 1600 1400 1200 1000
2004 2005
800 600 400 200 0
January
February
March
April
May
June
SophosLabs zombi statisztikák • A vírusokat zombik létrehozására írják • A 301 legutóbbi vírus közül 101 (33%) tartalmazott hátsó ajtó/proxy tulajdonságokat • Napi 2-3 új féreg jelenik meg ‘zombie’ funkcionalitással
• A spamek több, mint 50%-a zombi számítógépekről jön • 9,991,397 üzenetminta alapján: • 854,343 egyedi IP cím forrásból érkezett (11.69 üzenet/IP) • Naponta új IP címek ezrei jelennek meg
A hagyományos védekezés korlátai • Az asztali és átjáró spam és vírus védelem létfontosságú • Ennek ellenére a zombik mégis előfordulhatnak, mert: • Az antivírus védelem frissítése kikapcsolható vagy rendszertelenül időzíthető • Különböző rendszerek csatlakoznak a hálózathoz (laptopok, otthoni rendszerek VPN-en (virtuális magánhálózat) keresztül. • A frissítések kiadásának késése (forgalmazónként változik)
• Az észlelés nehéz lehet – a zombikat okosan tervezik meg, hogy észrevétlenek maradjanak
A Zombik a törvényes szervezetekre vannak hatással • Gyakran gondolják azt, hogy csak a felhasználók széleesávú rendszereit támadják. • A bizonyítékok mást sejtetnek... • Egy PC World riporter nemrégiben spameket nyomozott vissza: • egy New York-i pénzügyi tervező cégnél • egy Kansas-i gyógyászati szolgáltatónál • A Pekingi Pénzügyi és Gazdasági Egyetemén • egy nevelő otthonnál Ontarioban, Kanadában
A zombik kihatásai A zombikkal fertőzött cégek a következőkkel néznek szembe: • Hírnév csorbulása • Spammelőnek látszanak vagy olyannak, akik elősegítik azt • Nem látszanak ‘jó internetes polgároknak’
• Keresztbe fertőzések és további támadások a szervezet hálózata/rendszerei ellen • A kimenő levelek kézbesíthetetlensége a DNSBL lista miatt • Felhasználói tanácstalanság a lassú rendszerek/kapcsolatok vagy az instabilitás miatt
A ZombieAlertTM bemutatása • A hagyományos védelem továbbra is szükséges. • A SophosLabs és a kiterjedt spamcsapdák hálózatainak láthatóságán alapul (4 millió üzenet / nap) • A felhasználók számára gyors értesítést biztosít, amikor a Sophos spam vagy vírus üzeneteket kap 30 percen belül a hálózatáról • Cselekvést segítő információkat tartalmaz, ezáltal azonosíthatja, eltávolíthatja és megvédheti rendszereit a jövőbeni támadásoktól
A ZombieAlert jellemzői • A hálózatából származó spam-ről gyors értesítés • Cselekvésösztönző figyelmeztetések – IP forrás információ, üzenetminták • Az IP címek információi a kivűlálló DNSBL listákon jelennek meg • Felhasználói infrastruktúra nem szükséges – email-es értesítés
Összefoglalva, miért használjam a ZombieAlert-et? • A vírus fenyegetés azért bontakozott ki, hogy hatalmas zombiszámítógép hálózatok jöjjenek létre és más rendszereket támadjanak, valamint pénzt hozzanak a vírusíróknak • A spamek 50%-a eltérített számítógépekről származik • Zombik előfordulnak törvényes szervezeteknél is a hagyományos védelmek ellenére • A zombikkal fertőzött szervezetek kockáztatják a hírnevüket, biztonságukat, kimenő levélforgalmukat és felhasználóik elégedetlenségét • Iparágvezető AV termék használata alapvető szükséglet • A ZombieAlert további szükséges védelmi szintet biztosít 24/7 telefonos, email és online támogatással
Mi szükséges a ZombieAlert-hez? • Egy emailcím a figyelmeztetésekhez • Ehhez az emailcímhez egy publikus GPG/PGP az email titkosításához • A vállalatnál használt IP-cím tartomány • Megerősítés az értesítésről, text vagy HTML alapú legyen • Megerősítés a kapott értesítésről, tartalmazzon-e üzenetmintát csatolva (mi mindig javasoljuk, hogy bármilyen mintát csak felügyelt rendszerben nyissanak meg, ne pedig éles munkakörnyezetben) (GPG (GNU Privacy Guard by FSF) egy legalább 768 byte hosszúságú kulcson alapuló eszköz a biztonságos kommunikációért)
SophosLabs Public IP 10.112.32.1 Gateway
ADMIN Local IP 192.168.0.1
Zombie Alert
Spam Traps Email Alert to admin
Clients on network IP Range 192.168.1.2 -6
Zombie Alert
Sophos PhishAlert™ Szolgáltatás Terméknévvel visszaélés elleni Tanácsadói Szolgáltatás
Napirend • • • • • •
Mi a phishing? Az adathalász fenyegetés fejlődése Kihívások észleléssel Az adathalászat célpontokra kifejtett hatása A megoldás követelményei A PhishAlert™ bemutatása
Mi a Phishing?
• A Phisherek olyanok, mint a halászok, kivetik a csalit új szerencsétlen áldozatok kifogásának reményében • A gyanútlan internet felhasználók valósnak tűnő email-lel és logóval hamis weboldalakra történő irányitásával céljuk jelszavak, pénzügyi vagy személyes adatok lopása vagy vírustámadás indítása; az ál weboldalak létrehozásával pedig a gyanútlan internet felhasználókat személyes vagy pénzügyi információk vagy jelszavak továbbítására használják.
Probléma
Felhívás A bemutatott megoldás
A Phishing támadások folyamatosan növekednek • Több támadás történik – 3,326 aktív phishing oldal 2005. májusában, ez 16%-os havi növekedés 2004. októbere óta (Anti-Phishing Working Group) • Növekvő márkakínálat – 107 egyedi márkanevet halásztak el májusban, a januári 64-ről (Anti-Phishing Working Group)
A phishing támadások sikeresek • Javelin Strategy and Research: • 9.3 millió azonosságlopási áldozat évente az USA-ban • 1.7%-uk phishing próbálkozások részese
• Gartner: • 1.98 millió ember jelentett számla ellenőrzési kísérletet az elmúlt évben (a phishing volt az egyik ok). • 3% sikerességi arány a phishing támadásokra
A hagyományos észlelés korlátai • A phishing oldalak átlagos élettartama: 5.8 nap (Anti-Phishing Working Group) • Minél tovább él az oldal, annál több ember esik a támadások áldozatává • Az észlelés hagyományos módszerei lassúak • Tüske a csalás/azonosság lopási panaszokban • Néhány esetben a felhasználó jelenti a phishing támadást
A célvállalatokra kifejtett hatás •
• •
Pénzügyi veszteségek •
Javelin: incidensenkénti átlagos veszteség $2,320 – $367 millió phishing miatti veszteség évente az USA-ban.
•
Gartner: számlaellenőrzési csalásoknál átlagosan $1200 áldozatonként – $2.4 milliárd az elmúlt 12 hónapban a behatolási kisérletek miatt.
Hírnév/márkanév sérülés Vásárlói elégedetlenség •
•
A megbízói felmérés szerint az online vásárlók 22%-a bankot váltana, ha a másik bank jobb védelmet kínált.
Az e-banking/commerce kevesebb használata (több pénzbe kerül az üzlet) – egy nemrégen megjelent Gartner kérdőív alapján • A vásárlók 28%-a szerint az online támadások befolyásolják az online banki tevékenységeiket. • Ezen csoport 14%-a már nem fizet számlákat online és 4%-uk egyáltalán nem használja már az online banki tranzakciókat.
A megoldás követelményei • Gyors tájékozottság az új támadásokra, így az átejtő oldalakat gyorsabban be lehet záratni • Az információ hasznos az oldal bezáratásában – tárhely információ, üzenetminták
A PhishAlert bemutatása • A SophosLabs™ láthatóságán alapul • Több, mint 4 millió üzenetet analizál minden nap a phishing támadások észleléséhez
• Gyors értesítést biztosít, amikor a Sophos márka/vásárló elleni phishing támadásokat észlel • A támadást követő 30 percen belül
• Cselekvést segítő információkat tartalmaz, így gyors lépéseket tehet a csaló weboldal bezáratására
A PhishAlert jellemzői • Majdnem valósidejű figyelmeztetések egy vállalatot megcélzó támadásról • A figyelmeztetések segítenek cselekedni – a csaló weboldal részletei, üzenetminták • Időszakos jelentések az tendencia analízishez • Nem szükséges felhasználói infrastruktúra – email továbbítás
Összefoglalás • A phishing támadások száma növekszik, és sikeresek • A hagyományos észlelési módszerek korlátozottak • A phishing támadásoknak jelentős hatásai vannak a célszervezetekre (pénzügyi veszteségek, vásárlói elégedetlenség, márkanév/hírnév sérülése, az online banki tevékenységek csökkenése) • A szervezeteknek szüksége van egy olyan szolgáltatásra, mint a PhishAlert, amely segít nekik minimalizálni a phishing támadások okozta károkat. • Bármilyen online is jelenlévő szervezet hasznát láthatja ennek a szolgáltatásnak • Ezt a szolgáltatást sok felhasználónknak nyújtjuk ÉszakAmerikában és Ausztráliában, és a piacunk többi része számára is fogjuk nyújtani a közeljövőben.
További Sophos események Magyarországon • A Sophos termékekkel, szolgáltatásokkal és szakértőkkel találkozhat: 2005. november 2. Antidotum 2005 – Az IT Biztonság aktív részvételű napja az IBM Oktatási Központban “Spamcsapdák és a Puremessage Anti-Spam megoldás” 2005. november 3. Kriminalexpo IT Sec 2005 – Fehérgalléros számítógépes bűnözés “Crimeware: zombik, phishing, pharming. Igen! Van pro-aktív védelem”
További információk • Termékeinkről, árainkról és közelgő eseményeinkről az összes információt megtalálhatja: • www.sophos.com vagy www.tmsi.hu Magyarországi Elsődleges Partnerünk Weboldalán Tőzsér and Máriás Software Office Ltd. vagy küldjön egy emailt:
[email protected]
Köszönjük
