1 Automated malware audit service Automatischer Malware Audit.
-
Upload
adala-gehr -
Category
Documents
-
view
136 -
download
0
Transcript of 1 Automated malware audit service Automatischer Malware Audit.
1
Automated malware audit serviceAutomatischer Malware Audit
2
Sicherheitsmarkt – Situation weltweit
Ein neues Sicherheits Paradigma
Malware Radar
Malware Radar Geschäftsmodell
3
Latest News
4
Marktsituation
Kluft zwischen der Wahrnehmung und Realität.
• Es gibt weniger Bedrohungen• Sie sind unter Kontrolle.
• Alle Antiviren erkennen die gleichen Gefahren.• Wenn ich irgendein Antiviren- Produkt habe bin ich geschützt
• in diesem Jahr mehr Malware erhalten als in den letzten 15 Jahren zusammen.• Antiviren-Herstellter sind überfordert.
• Wir entdecken mehr Malware (und wir können es beweisen).
Wahrnehmung Benutzer Realität
5
Malware Dynamik
Hacker wollen $$$
Sie erschaffenmehr stille
Malware
Erstellen vielmehr Malware
AV Laboratorienmeistern es nicht
Keine Warnungen, keine Epidemien
Benutzer
sind nicht richtig geschützt
Benutzer
wissen nichtdass sie nicht richtig
geschützt sind
Hacker erreichen Ihre Ziele
Hacker erreichen Ihre Ziele
6
#1 $Motivation: Bekanntheit Motivation: Geld
Vorher (bis 2004) Heute• Grosse EpidemienGrosse Epidemien• Rasche, weltweite
Verbreitung• Grosse Bericht-
erstattung in den Medien
Stille EpidemienStille Epidemien• Malware ist raffiniert und schwierig
zu Bekämpfen• Gleichzeitig gibt es viel mehr Malware
als früher
Malware Dynamik
7
Malware Dynamik
Neue entdeckte Malware Malware mit Tarnkappen-Technik (Heimlichkeit)
8
Malware Dynamik
Cyber-Kriminalität steigt alarmierend
Neu entdeckte Bots Varianten
9
Malware Geschäftsmodelle
:: $350.00/Woche - $1,000/Monat (USD)
:: Typ der Dienstleistung : Exklusiv
:: Immer Online: 5,000 - 6,000
:: Update alle: 10 Minuten
Herder
Traders
Affiliates
Web mafia
Botnets
Botnets DDoS Phishing Spyware MalwareLaunchpad
Victims
1) Botnets
Spam
10
2) Gezielte Attacken
Malware Geschäftsmodelle
2. Private Mittelsmänner wurden angestellt
3. Diese stellten wiederum einen Hacker an, der Trojaner programmierte.
1.Diese Gruppe von Firmenwollte Informationen über
Konkurrenten erhalten
4. Die Hacker dachten aus, wie
ein Trojaner auf den PCs der Direktoren dieser Firmeninstalliert werden sollte, derwährend Wochen / Monaten
versteckt blieb und alle Arten von gemeihen Dokumenten stahl.
Ein Beispiel: Ein Fall, der in Israel auftrat (im Jahr 2005)
11Die Spitze des Eisbergs?
Malware Geschäftsmodelle
2) Gezielte Attacken
Voraussage GartnerBis Ende 2007 werden 75% der Firmen durch unerkannte, finanziell motivierte, gezielte Malware infiziert sein, welche den traditionnellen Sicherheitsbereich und die Abwehrmassnahmen umgehen. http://www.gartner.com/it/page.jsp?id=499323
12
Was können wir tun?
Und die Benutzer wissen es nicht...
Hackers sind professioneller
Geschäftsmodelle,die sie finanzieren Malware wird immer
raffinierter und schwieriger zum Bekämpfen.
Sie benutzt Tarnkappentechnik um unerkannt zu
bleiben.Hackers erstellen
viel mehr Malware
Laboratorien sind überlastet.Sie können alle Malware, die sie erhalten nicht bearbeiten.
13
Ein neues Sicherheits Paradigma
Malware Radar
Malware Radar Geschäftsmodell
14
Evolution
80er Frühe 90er Späte 90er 2000 - 2003 2004 - heute
•Boot Viren•MS DOS Viren•Infizierte Dokumente•Erste Ausbeutungen
•Macro Viren•Ausbeutungen•Würmer
•“Zero-day” Angriffe•Spyware•Adware•Würmer•Trojaner
•Tarnkappen-Techniken•Bots•Trojaner•Rootkits•ZU VIEL MALWARE
Neu
e E
inse
ndun
gen,
wel
che
tägl
ich
in d
en L
abor
ator
ien
eint
reffe
n
__ 300
__ 10
__ 100
__ 1.500
?
Massive Epidemien
Massive Epidemien
Massive
Epidemien
15
Die heutigen Sicherheitslösungen (PIPS)
sind wichtig, reichen aber nicht:
• Sie bieten nur begrenzten Schutz– Sie entdecken nicht alle Malware im Umlauf
• Laboratorien sind überlastet
• Viel Malware erreicht nicht einmal ein Labor
– Sie können ausgeschaltet sein, nicht aktualisiert, usw.
Traditionelle Lösungen reichen nicht
16
Vorher: traditionell
1. Laboratorien erhalten Dateien
von Kunden und anderen Quellen
2. Analysen erfolgen manuell. Die Analyse-Kapazität ist limitiert.
3. Die dem Kunden gelieferte Signatur-Datei ist begrenzt. Sie sind nicht geschützt!
Vorher: traditionell
• 3000 Malware samples pro Tag
• 3 Stunden für manuelle Bearbeitung pro sample
• 9000 Arbeitsstunden pro Tag
• 1125 Techniker
18
jetzt: Collective Intelligence
1) Verdächtige Dateien kommen von verschiedenen Quellen.
2) Automatische Bearbeitung der
Dateien. Das System analisiert und klassiert automatisch tausende von täglich neu eingesandten Dateien. Um das zu erreichen, korreliert ein Experten-System die erhaltenen Dateien mit der umfangreichen Malware Wissensdatenbank von
PandaLab’s.
3) Das erhaltene Wissen wird den Benutzern zur Verfügung gestellt.
Collective Intelligence
95% von neuen Malware-samples werden automatisch analysiert und klassifiziert, in Sekunden!
20
Wo wird “Collective Intelligence” angewendet?
Collective Intelligence
21
Collective Intelligence
Periodisch Malware Audit ausführen,Ergänzung zur heutigen Sicherheitslösung (PIPS).
Weitere Vorteile von MalwareRadar:• Mehr sensitive Heuristik, entdeckt mehr unbekannte Malware• Kontrolliert ob der Desktopschutz aktiv und aktualisiert ist• Er entdeckt Malware, die andere Desktop-Sicherheitslösungen
nicht erkennen (z.B. Rootkits)
22
Collective Intelligence
“Collective Intelligence” wird so bald wie möglich in alle Panda Produkte integriert.
23
Ein neues Paradigma
DIENSTLEISTUNG, periodische Audits des gesamten Netzwerks
Neuer Ansatz: Collective Intelligence
Scanning und Elimination on-demand
Keine Entscheide in Echtzeit notwendig
benutzt die sensitivste Heuristik, erkennt versteckte Malware,
Online Dienstleistung: benötigt keine Installation
Software immer aktuell
Erkennt Malware, die PIPS nicht entdeckt (wie versteckte Malware, höchst kritische Malware, gezielte Malware)
Erkennung von Sicherheitslücken
Wir bieten ein neues Sicherheitsmodell:
+
PIPS in jedem PCTraditioneller Erkennungsansatz
Permanenter Schutz
Entscheide in Echtzeit
Lokal: benötigt Installation von
Software Updates
Erkennung von bekannter und unbekannter Malware
Mögliche operative Probleme in Updates, Installationen, etc.
24
Das neue Paradigma
80er Frühe 90er Späte 90er 2000 - 2003 2004 - heute
•Boot Viren•MS DOS Viren•Infizierte Dokumente•Erste Ausbeutungen
•Macro Viren•Ausbeutungen•Würmer
•Zero-day Angriffe•Spyware•Adware•Würmer•Trojaner
•Tarnkappen-Techniken•Bots•Trojaner•Rootkits•ZU VIEL MALWARE
Neu
e E
inse
ndun
gen,
wel
che
tägl
ich
in d
en L
abor
ator
ien
eint
reffe
n
__ 300
__ 10
__ 100
__ 1,500
?
Massive Epidemien
Massive EpidemienMassive
Epidemien
25
Malware Radar
Malware Radar Geschäftsmodell
26
Was ist Malware Radar?
Automatischer Security Auditfür Netzwerke
• On Demand• Local oder remote• Keine lokale Installation• Kompatibel mit allen Antiviren-Software!
27
Was ist Malware Radar?
Sucht, findet und eliminiert:
1. Alle Malware • Malware, die von traditionellen Schutzlösungen nicht erkannt wird (höchst
kristische und gezielte Malware) aktive oder latente, bekannte oder unbekannte
2. Sicherheitslücken• Schutz: Prüft den Status des Schutzes
• Kritische Schadenanfälligkeiten: Prüft kritische Schadenanfälligkeiten, welche durch Malware genutzt wird (Sicherheitslücken)
3. on-demand Desinfektion erlaubt entdeckte Malware zu eliminieren
28
Software als Dienstleistung
• Keine spezielle HardwareKeine Software Installation, nur ein Web-Browser
• Sofortige Aktualisierungen– Aktuellste Technologien – aktuellste Signatur-Dateien– Neueste Produktversion, keine Sorgen betreffend Upgrades
• Die Intelligenz und die Applikation sind bei Panda– Minimale Kosten für den Kunden
29
Alle diese Firmen dachten
sie wären geschützt
Wie funktionierts?
Real-time monitoring
Scan your network
Online summary Detailed reports and disinfection
Registration
Sends suspicious files to PandaLabs
31
1. Distribution eines Exe Clients
– Über login scripts, SMS, Tivoli usw. oder jede standardisierte Distributionsmethode
– MalwareRadar eigene Distributionsfunktion
– Zentralisierte Online Kontrolle des Prozesses
– Exe Client entfernt sich automatisch
– Transparent für Benutzer• Der Benutzer merkt nicht, dass der PC überprüft wird
Wie funktionierts?
32
2. Quick Scan des Netzwerkes (Workstations / File Server)
Dauer: 5 – 10 MinScan:Kritische System-Elemente Memory, Hauptverzeichnisse und Registry
Ziel:Erkennung von aktiver Malware
Wie funktionierts?
33
2. Full Scan Netzwerkes (Workstations / File Server)
Dauer: ca. 2hScan: Alle Hard-DisksZiel: Erkennung von aktiver oder latenter Malware
Wie funktionierts?
34
Direktions- Rapport
• Netzwerksituation und Risikoniveau der Firma• Statistiken
• Am meisten befallene PCs
• Empfehlungen
Technischer Rapport
Jeder Computer im Detail:
• Entdeckte Malware, Beschreibung, Auswirkung, Weg
• Sicherheitsniveau: – Status des Schutzes– Vorhandene Schadenanfälligkeiten
Reinigungs- Rapport
Neutralisierte Malware, Ort und Resultat der Reinigung
3. Lieferung / Resultate für den Endkunden:• Online Rapporte
• Rapporte im PDF Format, exportierbar zu XML
Wie funktioniert Malware Radar?
Executive report
Technical report
35
Erkennt und eliminiert Malware, welche durch Ihre aktuelle AV-Lösung nicht erkannt wurde
Entdeckt Gefahren, welche durch installierten Schutz nicht erkannt werden Option zu Eliminierung der entdeckten Malware Ermöglicht Reaktion im Falle von Epidemien
Findet präzis heraus,welche Malware vorhanden ist,wieviel und wo
Findet präzis heraus, welche Malware vorhanden ist und wo sie versteckt ist Aufdeckung von kritischen Schadenanfälligkeiten betreffend Malware
Weniger Zeit undAufwand nötig für
Kontrolle und Gefahren in Ihrem
Netzwerk
Keine Installation – Nicht resident Der aktuelle Schutz muss im Netzwerk nicht de-installiert werden Schnelle und einfache Evaluation des Netzwerkstatus Quick scan aller Workstations und File Servers Zentralisierte Administration Spart Zeit und Arbeit für Administratoren
Neuen Gefahreneinen Schritt voraus
Kann für neu ausgerichtete Schutzstrategien genutzt werden, im Einklang mit den Rapportresultaten
Analyse des Schutzstatus Überwacht die Effektivität des installierten Schutzes
Vorteile
36
Unterschiede MR zu anderen Produkte
Online Scanners AV Produkte für Netzwerke
Panda Malware Radar
Für Netzwerke Nur für ein PCProduktart Für Netzwerke
Erkennungs- Technologie
Collective Intelligence,heuristische Analysen
Traditionelle Erkennung, heuristische Analysen?
Traditionelle ErkennungHeuristische Analysen?
Art des Schutzes
Bei Bedarf Bei Bedarf Bei Bedarf & bei Eintritt
ErkannteGefahren
Malware, Sicherheits-lücken, Anfälligkeiten
Malware Malware
Lieferung/Resultate
Online Zusammen-fassung, Rapporte
für Direktion, Technikund Reinigung
Online Zusammen-fassung
Offline Zusammen-fassung
Auswirkung im Netzwerk
Keine Installation,keine Auswirkung für Benutzer
Keine Installation, nichtkonzipiert für Netzwerke
Installation notwendig, Auswirkung Scan für Benutzer
37
Malware Radar Geschäftsmodell
Uebersicht
Mögliche Verkaufsmodelle:
Dienstleistung - Verkauf
Security Audit als Dienstleistung (einmalig/periodisch) Zusätzliche Sicherheit, kombiniert mit anderen
Dienstleistungen im Portfolio Wiederverkauf von MalwareRadar Lizenzen
Mögliche Verkaufsmodelle:
Werkzeug für “Vorverkauf”
Neue Kunden anziehen Netzwerk Ueberprüfung zum Entdecken von Problemen Präsentation von Rapporten zu potentiellen Kunden Angebot von kundenspezifischen Dienstleistungen um
entdeckte Probleme zu lösen
Mögliche Verkaufsmodelle:
Interne Evaluation für Outsourcing von Dienstleistungen
Endkunde hat die Möglichkeit zur internen Qualitätskontrolle der outgesourcten Dienstleistungen
One-Run Audit Version
ONE-RUN AUDIT
Ohne Reinigung Mit Reinigung
Direktions- und techn. Rapporte Reinigung Malware Radar einsetzen um eine Dienstleistung anzubieten Audit einer Firmat durchführen, gemäss der Anzahl
gekauften Lizenzen für einmaligen Gebrauch
AdministrationEine Konsole (Administration für mehrere Kunden)
Subscription Version
ABONNEMENT
Direktions- und techn. Rapporte Reinigung
Malware Radar einsetzen um eine Dienstleistung
anzubieten
Unlimitierte Anzahl Audits einer Firma durchführen, für 1, 2 oder 3 Jahre, gemäss der Anzahl gekauften Lizenzen
Administration1 Abonnement pro Endkunde
Jeder Endkunde muss registriert sein (Web Service)
45
Malware Radar in 5 Minuten…
– Online Scan für Netzwerke mit Administrationskonsole,– On Demand – zweite Meinung – keine lokale Installation,
– kompatibel mit jeder installierten Antiviruslösung,– detaillierte Rapporte und Reinigungswerkzeuge
46
Malware Radar in 5 Minuten…
– Entdeckt über 1 Mio Malware, dank Collective Intelligence
– Collective Intelligence = ein automatisierter Prozess von Pandalabs
– One-run Audit oder Jahresabonnement
Marketing
47
Sensibilisierungskampagne in Zusammenarbeit mit Computerworld
10’000.- falls wir bei Ihnenkeine Malware finden
Marketing
48
10’000.- falls wir bei Ihnen keine Malware finden
– Dauer : 15. Mai bis 15. Juli 2007
– Presseartikel Print & Online, Werbeanzeigen Print & Online, Malware Index auf Internet Site, Orbit
– Teilnehmer können Demoversion testen (inkl. Rapport und Cleanup)
– Nachfassung bei interessierten Kunden durch Panda Schweiz, Weiterleitung Leads an Fachhandel bei Kaufabsicht
– Werbematerial für Fachhandel (Kundenschutz für Ihre Endkunden, die teilnehmen)
49
Automated malware audit serviceBesten Dank!!