Lloyd Turner Business Manager Central and Eastern Europe

Átírás

1 Lloyd Turner Business Manager Central and Eastern Europe

2 Napirend A Sophos bemutatása A kialakuló fenyegetések és a Sophos Megoldások A ZombieAlert és néhány új szolgáltatás Kérdések?

3 A Sophos bemutatása

4 Sophos az üzletnek tervezve A cég Érett Több, mint 20 éve az üzleti világban A vállalatokra fókuszálva több, mint 35 millió felhasználóval Szakértők díjnyertes támogatás és a SophosLabs Globális irodák és kutatólaborok az egész világon Globálisan a 4., Európában az 1. számú Anti-vírus forgalmazó

5 Sophos a világban

6 Díjak és tanusítványok

7 A kialakuló üzleti kihívások

8 Fenyegetések az üzlet folytonosságára Quantity- Mennyiség Velocity- Sebesség Complexity- Komplexitás

9 Fenyegetések Mennyisége és témák Témák: Vírusok, férgek, kémprogramok, Trójaiak Spam Hackelés Operációs Rendszer sérülékenységek Jogi felelősség és egyeztetés Bizalmas információk ellopása/elvesztése Felhasználói és hálózati termelékenység veszteség Sophos megoldások Anti-virus anti-spyware-rel Anti-spam szűréssel Személyes tűzfal (2006) Anti-adware (2006)

10 A terjedés Sebessége Témák Az internetes férgek percek alatt elterjednek Ugyanazon vírus több variánsát rövid időn belül kiadják (Bagel, MyDoom) Az operációs rendszer sérülékenységeit gyorsabban kihasználják Sophos megoldások Manuális szabályok az átjárón Manuális személyes tűzfal szabályok (2006-ban érkezik) Genotype technológia Gyors definíciós állomány létrehozás

11 A probléma Komplexitása Témák A Mennyiség és a Sebesség növeli a Komplexitást A Spam és vírus írók együtt dolgoznak Összetettebb terjesztési módok Az új fenyegetéseket üzleti haszonszerzés céljára tervezik Sophos megoldások Végpont és átjáró védelem SophosLabs malware & üzenetkezelési szakértők. 24/7 fenyegetés analizáló központok 24/7 ingyenes támogatás Az üzleti világnak tervezve

12 Genotype vírus észlelő technológia A heurisztikus ellenőrzéstől különbözik Magas észlelési arány nagyon alacsony téves pozitív riasztással Élő organizmusok analógiáját használja az ismert fenyegetések közeli változatainak észleléséhez Egy gén szegmensei azonosak lehetnek a szülőével és örökletes információkat tartalmaznak A számítógépes vírusokkal kapcsolatban kiterjeszti a vírus családok észlelését és eltávolítását jóval a specifikus szignatúra-alapú észlelés megjelenése előtt Megtalálható a Sophos Anti-Virus, PureMessage és SAV Interface összes verziójában Genotype vírus észlelés

13 Sophos megoldások Internet Firewall Proxy HTTP/FTP Downloaded viruses Internet worms Malicious spyware SMTP Gateway servers Computers/servers Remote or mobile computers

14 Sophos PureMessage for Unix Az szabályzatok egyértelmű királya! Network world - Integrált fenyegetés menedzsment megoldás anti-virus, antispam és szabályzat menedzsmenttel - Rugalmas szabályzat keretrendszer - Korszerű anti-spam megoldás kombinálása 98% észlelési aránnyal - Könnyen átlátható webes felületű adminisztráció és szükség esetén delegálható a végfelhasználó számára

15 Puremessage for UNIX-Linux 5.1 A Sophos Puremessage anti-spam csapata a világméretű SophosLabs spamcsapdáit használja a következő szolgáltatásokhoz: ZombieAlert PhishAlert A két legjobb nem-appliance alapú anti-spam megoldás között szerepel Bevezetett és bizonyított (5.1-es verzió) Kiváló magyar referenciák (biztosítási cégek, pénzügyi szervezetek, nagy egyetemek, vállalatok)

16 Sophos ZombieAlert TM Szolgáltatás Fertőzés elleni Tanácsadói Szolgáltatás

17 Napirend Mi a Zombi? a vírus fenyegetés fejlődése A hagyományos védekezés korlátai A zombik bevonása a szervezetekbe A megoldások követelményei Sophos Anti-Virus védelem A ZombieAlert TM bemutatása

18 Mi a Zombi? Oxford Dictionary: A zombie is a corpse supposedly revived and controlled by witchcraft / evil (a zombi a boszorkányság vagy a gonosz által feltámasztott és ellenőrzött hulla) IT Security: A zombie is a machine that has been hijacked and is subsequently used for the distribution of spam. (a zombi olyan számítógép, amely ellenőrzése már más kezekbe kerül, azután pedig a kéretlen levelek terjesztésére használnak)

19 A vírusok tegnap

20 A vírusok ma Irányított zombik hálózata Megpróbál még több zombit megfertőzni/to borozni Vírus írók Bevétel a spammerektől Keylogger azonosság/tőke lopás Tolvaj tárcsázó bevételek

21 A rendszerek folyamatos támadás alatt állnak

22 A fertőzés perceken belül megtörténik

23 Egyre több vírust írnak 7944 új vírus a januári júniusi időszakban Az előző év azonos időszakában csak 4677 vírus volt 59% növekedés January February March April May June

24 SophosLabs zombi statisztikák A vírusokat zombik létrehozására írják A 301 legutóbbi vírus közül 101 (33%) tartalmazott hátsó ajtó/proxy tulajdonságokat Napi 2-3 új féreg jelenik meg zombie funkcionalitással A spamek több, mint 50%-a zombi számítógépekről jön 9,991,397 üzenetminta alapján: 854,343 egyedi IP cím forrásból érkezett (11.69 üzenet/ip) Naponta új IP címek ezrei jelennek meg

25 A hagyományos védekezés korlátai Az asztali és átjáró spam és vírus védelem létfontosságú Ennek ellenére a zombik mégis előfordulhatnak, mert: Az antivírus védelem frissítése kikapcsolható vagy rendszertelenül időzíthető Különböző rendszerek csatlakoznak a hálózathoz (laptopok, otthoni rendszerek VPN-en (virtuális magánhálózat) keresztül. A frissítések kiadásának késése (forgalmazónként változik) Az észlelés nehéz lehet a zombikat okosan tervezik meg, hogy észrevétlenek maradjanak

26 A Zombik a törvényes szervezetekre vannak hatással Gyakran gondolják azt, hogy csak a felhasználók széleesávú rendszereit támadják. A bizonyítékok mást sejtetnek... Egy PC World riporter nemrégiben spameket nyomozott vissza: egy New York-i pénzügyi tervező cégnél egy Kansas-i gyógyászati szolgáltatónál A Pekingi Pénzügyi és Gazdasági Egyetemén egy nevelő otthonnál Ontarioban, Kanadában

27 A zombik kihatásai A zombikkal fertőzött cégek a következőkkel néznek szembe: Hírnév csorbulása Spammelőnek látszanak vagy olyannak, akik elősegítik azt Nem látszanak jó internetes polgároknak Keresztbe fertőzések és további támadások a szervezet hálózata/rendszerei ellen A kimenő levelek kézbesíthetetlensége a DNSBL lista miatt Felhasználói tanácstalanság a lassú rendszerek/kapcsolatok vagy az instabilitás miatt

28 A ZombieAlert TM bemutatása A hagyományos védelem továbbra is szükséges. A SophosLabs és a kiterjedt spamcsapdák hálózatainak láthatóságán alapul (4 millió üzenet / nap) A felhasználók számára gyors értesítést biztosít, amikor a Sophos spam vagy vírus üzeneteket kap 30 percen belül a hálózatáról Cselekvést segítő információkat tartalmaz, ezáltal azonosíthatja, eltávolíthatja és megvédheti rendszereit a jövőbeni támadásoktól

29 A ZombieAlert jellemzői A hálózatából származó spam-ről gyors értesítés Cselekvésösztönző figyelmeztetések IP forrás információ, üzenetminták Az IP címek információi a kivűlálló DNSBL listákon jelennek meg Felhasználói infrastruktúra nem szükséges -es értesítés

30 Összefoglalva, miért használjam a ZombieAlert-et? A vírus fenyegetés azért bontakozott ki, hogy hatalmas zombiszámítógép hálózatok jöjjenek létre és más rendszereket támadjanak, valamint pénzt hozzanak a vírusíróknak A spamek 50%-a eltérített számítógépekről származik Zombik előfordulnak törvényes szervezeteknél is a hagyományos védelmek ellenére A zombikkal fertőzött szervezetek kockáztatják a hírnevüket, biztonságukat, kimenő levélforgalmukat és felhasználóik elégedetlenségét Iparágvezető AV termék használata alapvető szükséglet A ZombieAlert további szükséges védelmi szintet biztosít 24/7 telefonos, és online támogatással

31 Mi szükséges a ZombieAlert-hez? Egy cím a figyelmeztetésekhez Ehhez az címhez egy publikus GPG/PGP az titkosításához A vállalatnál használt IP-cím tartomány Megerősítés az értesítésről, text vagy HTML alapú legyen Megerősítés a kapott értesítésről, tartalmazzon-e üzenetmintát csatolva (mi mindig javasoljuk, hogy bármilyen mintát csak felügyelt rendszerben nyissanak meg, ne pedig éles munkakörnyezetben) (GPG (GNU Privacy Guard by FSF) egy legalább 768 byte hosszúságú kulcson alapuló eszköz a biztonságos kommunikációért)

32 SophosLabs Public IP Gateway ADMIN Local IP Zombie Alert Alert to admin Spam Traps Clients on network IP Range Zombie Alert

33 Sophos PhishAlert Szolgáltatás Terméknévvel visszaélés elleni Tanácsadói Szolgáltatás

34 Napirend Mi a phishing? Az adathalász fenyegetés fejlődése Kihívások észleléssel Az adathalászat célpontokra kifejtett hatása A megoldás követelményei A PhishAlert bemutatása

35 Mi a Phishing? A Phisherek olyanok, mint a halászok, kivetik a csalit új szerencsétlen áldozatok kifogásának reményében A gyanútlan internet felhasználók valósnak tűnő -lel és logóval hamis weboldalakra történő irányitásával céljuk jelszavak, pénzügyi vagy személyes adatok lopása vagy vírustámadás indítása; az ál weboldalak létrehozásával pedig a gyanútlan internet felhasználókat személyes vagy pénzügyi információk vagy jelszavak továbbítására használják.

36 Probléma Felhívás A bemutatott megoldás

37 A Phishing támadások folyamatosan növekednek Több támadás történik 3,326 aktív phishing oldal májusában, ez 16%-os havi növekedés októbere óta (Anti-Phishing Working Group) Növekvő márkakínálat 107 egyedi márkanevet halásztak el májusban, a januári 64-ről (Anti-Phishing Working Group)

38 A phishing támadások sikeresek Javelin Strategy and Research: 9.3 millió azonosságlopási áldozat évente az USA-ban 1.7%-uk phishing próbálkozások részese Gartner: 1.98 millió ember jelentett számla ellenőrzési kísérletet az elmúlt évben (a phishing volt az egyik ok). 3% sikerességi arány a phishing támadásokra

39 A hagyományos észlelés korlátai A phishing oldalak átlagos élettartama: 5.8 nap (Anti-Phishing Working Group) Minél tovább él az oldal, annál több ember esik a támadások áldozatává Az észlelés hagyományos módszerei lassúak Tüske a csalás/azonosság lopási panaszokban Néhány esetben a felhasználó jelenti a phishing támadást

40 A célvállalatokra kifejtett hatás Pénzügyi veszteségek Javelin: incidensenkénti átlagos veszteség $2,320 $367 millió phishing miatti veszteség évente az USA-ban. Gartner: számlaellenőrzési csalásoknál átlagosan $1200 áldozatonként $2.4 milliárd az elmúlt 12 hónapban a behatolási kisérletek miatt. Hírnév/márkanév sérülés Vásárlói elégedetlenség A megbízói felmérés szerint az online vásárlók 22%-a bankot váltana, ha a másik bank jobb védelmet kínált. Az e-banking/commerce kevesebb használata (több pénzbe kerül az üzlet) egy nemrégen megjelent Gartner kérdőív alapján A vásárlók 28%-a szerint az online támadások befolyásolják az online banki tevékenységeiket. Ezen csoport 14%-a már nem fizet számlákat online és 4%-uk egyáltalán nem használja már az online banki tranzakciókat.

41 A megoldás követelményei Gyors tájékozottság az új támadásokra, így az átejtő oldalakat gyorsabban be lehet záratni Az információ hasznos az oldal bezáratásában tárhely információ, üzenetminták

42 A PhishAlert bemutatása A SophosLabs láthatóságán alapul Több, mint 4 millió üzenetet analizál minden nap a phishing támadások észleléséhez Gyors értesítést biztosít, amikor a Sophos márka/vásárló elleni phishing támadásokat észlel A támadást követő 30 percen belül Cselekvést segítő információkat tartalmaz, így gyors lépéseket tehet a csaló weboldal bezáratására

43 A PhishAlert jellemzői Majdnem valósidejű figyelmeztetések egy vállalatot megcélzó támadásról A figyelmeztetések segítenek cselekedni a csaló weboldal részletei, üzenetminták Időszakos jelentések az tendencia analízishez Nem szükséges felhasználói infrastruktúra továbbítás

44 Összefoglalás A phishing támadások száma növekszik, és sikeresek A hagyományos észlelési módszerek korlátozottak A phishing támadásoknak jelentős hatásai vannak a célszervezetekre (pénzügyi veszteségek, vásárlói elégedetlenség, márkanév/hírnév sérülése, az online banki tevékenységek csökkenése) A szervezeteknek szüksége van egy olyan szolgáltatásra, mint a PhishAlert, amely segít nekik minimalizálni a phishing támadások okozta károkat. Bármilyen online is jelenlévő szervezet hasznát láthatja ennek a szolgáltatásnak Ezt a szolgáltatást sok felhasználónknak nyújtjuk Észak- Amerikában és Ausztráliában, és a piacunk többi része számára is fogjuk nyújtani a közeljövőben.

45 További Sophos események Magyarországon A Sophos termékekkel, szolgáltatásokkal és szakértőkkel találkozhat: november 2. Antidotum 2005 Az IT Biztonság aktív részvételű napja az IBM Oktatási Központban Spamcsapdák és a Puremessage Anti-Spam megoldás november 3. Kriminalexpo IT Sec 2005 Fehérgalléros számítógépes bűnözés Crimeware: zombik, phishing, pharming. Igen! Van pro-aktív védelem

46 További információk Termékeinkről, árainkról és közelgő eseményeinkről az összes információt megtalálhatja: vagy Magyarországi Elsődleges Partnerünk Weboldalán Tőzsér and Máriás Software Office Ltd. vagy küldjön egy t:

47 Köszönjük