Lloyd Turner Business Manager Central and Eastern Europe
Napirend A Sophos bemutatása A kialakuló fenyegetések és a Sophos Megoldások A ZombieAlert és néhány új szolgáltatás Kérdések?
A Sophos bemutatása
Sophos az üzletnek tervezve A cég Érett Több, mint 20 éve az üzleti világban A vállalatokra fókuszálva több, mint 35 millió felhasználóval Szakértők díjnyertes támogatás és a SophosLabs Globális irodák és kutatólaborok az egész világon Globálisan a 4., Európában az 1. számú Anti-vírus forgalmazó
Sophos a világban
Díjak és tanusítványok
A kialakuló üzleti kihívások
Fenyegetések az üzlet folytonosságára Quantity- Mennyiség Velocity- Sebesség Complexity- Komplexitás
Fenyegetések Mennyisége és témák Témák: Vírusok, férgek, kémprogramok, Trójaiak Spam Hackelés Operációs Rendszer sérülékenységek Jogi felelősség és egyeztetés Bizalmas információk ellopása/elvesztése Felhasználói és hálózati termelékenység veszteség Sophos megoldások Anti-virus anti-spyware-rel Anti-spam email szűréssel Személyes tűzfal (2006) Anti-adware (2006)
A terjedés Sebessége Témák Az internetes férgek percek alatt elterjednek Ugyanazon vírus több variánsát rövid időn belül kiadják (Bagel, MyDoom) Az operációs rendszer sérülékenységeit gyorsabban kihasználják Sophos megoldások Manuális email szabályok az átjárón Manuális személyes tűzfal szabályok (2006-ban érkezik) Genotype technológia Gyors definíciós állomány létrehozás
A probléma Komplexitása Témák A Mennyiség és a Sebesség növeli a Komplexitást A Spam és vírus írók együtt dolgoznak Összetettebb terjesztési módok Az új fenyegetéseket üzleti haszonszerzés céljára tervezik Sophos megoldások Végpont és átjáró védelem SophosLabs malware & üzenetkezelési szakértők. 24/7 fenyegetés analizáló központok 24/7 ingyenes támogatás Az üzleti világnak tervezve
Genotype vírus észlelő technológia A heurisztikus ellenőrzéstől különbözik Magas észlelési arány nagyon alacsony téves pozitív riasztással Élő organizmusok analógiáját használja az ismert fenyegetések közeli változatainak észleléséhez Egy gén szegmensei azonosak lehetnek a szülőével és örökletes információkat tartalmaznak A számítógépes vírusokkal kapcsolatban kiterjeszti a vírus családok észlelését és eltávolítását jóval a specifikus szignatúra-alapú észlelés megjelenése előtt Megtalálható a Sophos Anti-Virus, PureMessage és SAV Interface összes verziójában Genotype vírus észlelés
Sophos megoldások Internet Firewall Proxy HTTP/FTP Downloaded viruses Internet worms Malicious spyware SMTP Gateway Email servers Computers/servers Remote or mobile computers
Sophos PureMessage for Unix Az email szabályzatok egyértelmű királya! Network world - Integrált fenyegetés menedzsment megoldás anti-virus, antispam és szabályzat menedzsmenttel - Rugalmas szabályzat keretrendszer - Korszerű anti-spam megoldás kombinálása 98% észlelési aránnyal - Könnyen átlátható webes felületű adminisztráció és szükség esetén delegálható a végfelhasználó számára
Puremessage for UNIX-Linux 5.1 A Sophos Puremessage anti-spam csapata a világméretű SophosLabs spamcsapdáit használja a következő szolgáltatásokhoz: ZombieAlert PhishAlert A két legjobb nem-appliance alapú anti-spam megoldás között szerepel Bevezetett és bizonyított (5.1-es verzió) Kiváló magyar referenciák (biztosítási cégek, pénzügyi szervezetek, nagy egyetemek, vállalatok)
Sophos ZombieAlert TM Szolgáltatás Fertőzés elleni Tanácsadói Szolgáltatás
Napirend Mi a Zombi? a vírus fenyegetés fejlődése A hagyományos védekezés korlátai A zombik bevonása a szervezetekbe A megoldások követelményei Sophos Anti-Virus védelem A ZombieAlert TM bemutatása
Mi a Zombi? Oxford Dictionary: A zombie is a corpse supposedly revived and controlled by witchcraft / evil (a zombi a boszorkányság vagy a gonosz által feltámasztott és ellenőrzött hulla) IT Security: A zombie is a machine that has been hijacked and is subsequently used for the distribution of spam. (a zombi olyan számítógép, amely ellenőrzése már más kezekbe kerül, azután pedig a kéretlen levelek terjesztésére használnak)
A vírusok tegnap
A vírusok ma Irányított zombik hálózata Megpróbál még több zombit megfertőzni/to borozni Vírus írók Bevétel a spammerektől Keylogger azonosság/tőke lopás Tolvaj tárcsázó bevételek
A rendszerek folyamatos támadás alatt állnak
A fertőzés perceken belül megtörténik
Egyre több vírust írnak 7944 új vírus a 2005. januári júniusi időszakban Az előző év azonos időszakában csak 4677 vírus volt 59% növekedés 1600 1400 1200 1000 800 600 2004 2005 400 200 0 January February March April May June
SophosLabs zombi statisztikák A vírusokat zombik létrehozására írják A 301 legutóbbi vírus közül 101 (33%) tartalmazott hátsó ajtó/proxy tulajdonságokat Napi 2-3 új féreg jelenik meg zombie funkcionalitással A spamek több, mint 50%-a zombi számítógépekről jön 9,991,397 üzenetminta alapján: 854,343 egyedi IP cím forrásból érkezett (11.69 üzenet/ip) Naponta új IP címek ezrei jelennek meg
A hagyományos védekezés korlátai Az asztali és átjáró spam és vírus védelem létfontosságú Ennek ellenére a zombik mégis előfordulhatnak, mert: Az antivírus védelem frissítése kikapcsolható vagy rendszertelenül időzíthető Különböző rendszerek csatlakoznak a hálózathoz (laptopok, otthoni rendszerek VPN-en (virtuális magánhálózat) keresztül. A frissítések kiadásának késése (forgalmazónként változik) Az észlelés nehéz lehet a zombikat okosan tervezik meg, hogy észrevétlenek maradjanak
A Zombik a törvényes szervezetekre vannak hatással Gyakran gondolják azt, hogy csak a felhasználók széleesávú rendszereit támadják. A bizonyítékok mást sejtetnek... Egy PC World riporter nemrégiben spameket nyomozott vissza: egy New York-i pénzügyi tervező cégnél egy Kansas-i gyógyászati szolgáltatónál A Pekingi Pénzügyi és Gazdasági Egyetemén egy nevelő otthonnál Ontarioban, Kanadában
A zombik kihatásai A zombikkal fertőzött cégek a következőkkel néznek szembe: Hírnév csorbulása Spammelőnek látszanak vagy olyannak, akik elősegítik azt Nem látszanak jó internetes polgároknak Keresztbe fertőzések és további támadások a szervezet hálózata/rendszerei ellen A kimenő levelek kézbesíthetetlensége a DNSBL lista miatt Felhasználói tanácstalanság a lassú rendszerek/kapcsolatok vagy az instabilitás miatt
A ZombieAlert TM bemutatása A hagyományos védelem továbbra is szükséges. A SophosLabs és a kiterjedt spamcsapdák hálózatainak láthatóságán alapul (4 millió üzenet / nap) A felhasználók számára gyors értesítést biztosít, amikor a Sophos spam vagy vírus üzeneteket kap 30 percen belül a hálózatáról Cselekvést segítő információkat tartalmaz, ezáltal azonosíthatja, eltávolíthatja és megvédheti rendszereit a jövőbeni támadásoktól
A ZombieAlert jellemzői A hálózatából származó spam-ről gyors értesítés Cselekvésösztönző figyelmeztetések IP forrás információ, üzenetminták Az IP címek információi a kivűlálló DNSBL listákon jelennek meg Felhasználói infrastruktúra nem szükséges email-es értesítés
Összefoglalva, miért használjam a ZombieAlert-et? A vírus fenyegetés azért bontakozott ki, hogy hatalmas zombiszámítógép hálózatok jöjjenek létre és más rendszereket támadjanak, valamint pénzt hozzanak a vírusíróknak A spamek 50%-a eltérített számítógépekről származik Zombik előfordulnak törvényes szervezeteknél is a hagyományos védelmek ellenére A zombikkal fertőzött szervezetek kockáztatják a hírnevüket, biztonságukat, kimenő levélforgalmukat és felhasználóik elégedetlenségét Iparágvezető AV termék használata alapvető szükséglet A ZombieAlert további szükséges védelmi szintet biztosít 24/7 telefonos, email és online támogatással
Mi szükséges a ZombieAlert-hez? Egy emailcím a figyelmeztetésekhez Ehhez az emailcímhez egy publikus GPG/PGP az email titkosításához A vállalatnál használt IP-cím tartomány Megerősítés az értesítésről, text vagy HTML alapú legyen Megerősítés a kapott értesítésről, tartalmazzon-e üzenetmintát csatolva (mi mindig javasoljuk, hogy bármilyen mintát csak felügyelt rendszerben nyissanak meg, ne pedig éles munkakörnyezetben) (GPG (GNU Privacy Guard by FSF) egy legalább 768 byte hosszúságú kulcson alapuló eszköz a biztonságos kommunikációért)
SophosLabs Public IP 10.112.32.1 Gateway ADMIN Local IP 192.168.0.1 Zombie Alert Email Alert to admin Spam Traps Clients on network IP Range 192.168.1.2-6 Zombie Alert
Sophos PhishAlert Szolgáltatás Terméknévvel visszaélés elleni Tanácsadói Szolgáltatás
Napirend Mi a phishing? Az adathalász fenyegetés fejlődése Kihívások észleléssel Az adathalászat célpontokra kifejtett hatása A megoldás követelményei A PhishAlert bemutatása
Mi a Phishing? A Phisherek olyanok, mint a halászok, kivetik a csalit új szerencsétlen áldozatok kifogásának reményében A gyanútlan internet felhasználók valósnak tűnő email-lel és logóval hamis weboldalakra történő irányitásával céljuk jelszavak, pénzügyi vagy személyes adatok lopása vagy vírustámadás indítása; az ál weboldalak létrehozásával pedig a gyanútlan internet felhasználókat személyes vagy pénzügyi információk vagy jelszavak továbbítására használják.
Probléma Felhívás A bemutatott megoldás
A Phishing támadások folyamatosan növekednek Több támadás történik 3,326 aktív phishing oldal 2005. májusában, ez 16%-os havi növekedés 2004. októbere óta (Anti-Phishing Working Group) Növekvő márkakínálat 107 egyedi márkanevet halásztak el májusban, a januári 64-ről (Anti-Phishing Working Group)
A phishing támadások sikeresek Javelin Strategy and Research: 9.3 millió azonosságlopási áldozat évente az USA-ban 1.7%-uk phishing próbálkozások részese Gartner: 1.98 millió ember jelentett számla ellenőrzési kísérletet az elmúlt évben (a phishing volt az egyik ok). 3% sikerességi arány a phishing támadásokra
A hagyományos észlelés korlátai A phishing oldalak átlagos élettartama: 5.8 nap (Anti-Phishing Working Group) Minél tovább él az oldal, annál több ember esik a támadások áldozatává Az észlelés hagyományos módszerei lassúak Tüske a csalás/azonosság lopási panaszokban Néhány esetben a felhasználó jelenti a phishing támadást
A célvállalatokra kifejtett hatás Pénzügyi veszteségek Javelin: incidensenkénti átlagos veszteség $2,320 $367 millió phishing miatti veszteség évente az USA-ban. Gartner: számlaellenőrzési csalásoknál átlagosan $1200 áldozatonként $2.4 milliárd az elmúlt 12 hónapban a behatolási kisérletek miatt. Hírnév/márkanév sérülés Vásárlói elégedetlenség A megbízói felmérés szerint az online vásárlók 22%-a bankot váltana, ha a másik bank jobb védelmet kínált. Az e-banking/commerce kevesebb használata (több pénzbe kerül az üzlet) egy nemrégen megjelent Gartner kérdőív alapján A vásárlók 28%-a szerint az online támadások befolyásolják az online banki tevékenységeiket. Ezen csoport 14%-a már nem fizet számlákat online és 4%-uk egyáltalán nem használja már az online banki tranzakciókat.
A megoldás követelményei Gyors tájékozottság az új támadásokra, így az átejtő oldalakat gyorsabban be lehet záratni Az információ hasznos az oldal bezáratásában tárhely információ, üzenetminták
A PhishAlert bemutatása A SophosLabs láthatóságán alapul Több, mint 4 millió üzenetet analizál minden nap a phishing támadások észleléséhez Gyors értesítést biztosít, amikor a Sophos márka/vásárló elleni phishing támadásokat észlel A támadást követő 30 percen belül Cselekvést segítő információkat tartalmaz, így gyors lépéseket tehet a csaló weboldal bezáratására
A PhishAlert jellemzői Majdnem valósidejű figyelmeztetések egy vállalatot megcélzó támadásról A figyelmeztetések segítenek cselekedni a csaló weboldal részletei, üzenetminták Időszakos jelentések az tendencia analízishez Nem szükséges felhasználói infrastruktúra email továbbítás
Összefoglalás A phishing támadások száma növekszik, és sikeresek A hagyományos észlelési módszerek korlátozottak A phishing támadásoknak jelentős hatásai vannak a célszervezetekre (pénzügyi veszteségek, vásárlói elégedetlenség, márkanév/hírnév sérülése, az online banki tevékenységek csökkenése) A szervezeteknek szüksége van egy olyan szolgáltatásra, mint a PhishAlert, amely segít nekik minimalizálni a phishing támadások okozta károkat. Bármilyen online is jelenlévő szervezet hasznát láthatja ennek a szolgáltatásnak Ezt a szolgáltatást sok felhasználónknak nyújtjuk Észak- Amerikában és Ausztráliában, és a piacunk többi része számára is fogjuk nyújtani a közeljövőben.
További Sophos események Magyarországon A Sophos termékekkel, szolgáltatásokkal és szakértőkkel találkozhat: 2005. november 2. Antidotum 2005 Az IT Biztonság aktív részvételű napja az IBM Oktatási Központban Spamcsapdák és a Puremessage Anti-Spam megoldás 2005. november 3. Kriminalexpo IT Sec 2005 Fehérgalléros számítógépes bűnözés Crimeware: zombik, phishing, pharming. Igen! Van pro-aktív védelem
További információk Termékeinkről, árainkról és közelgő eseményeinkről az összes információt megtalálhatja: www.sophos.com vagy www.tmsi.hu Magyarországi Elsődleges Partnerünk Weboldalán Tőzsér and Máriás Software Office Ltd. vagy küldjön egy emailt: info@tmsi.hu
Köszönjük