1

Automated malware audit serviceAutomatischer Malware Audit

2

Sicherheitsmarkt – Situation weltweit

Ein neues Sicherheits Paradigma

Malware Radar

Malware Radar Geschäftsmodell

3

Latest News

4

Marktsituation

Kluft zwischen der Wahrnehmung und Realität.

• Es gibt weniger Bedrohungen• Sie sind unter Kontrolle.

• Alle Antiviren erkennen die gleichen Gefahren.• Wenn ich irgendein Antiviren- Produkt habe bin ich geschützt

• in diesem Jahr mehr Malware erhalten als in den letzten 15 Jahren zusammen.• Antiviren-Herstellter sind überfordert.

• Wir entdecken mehr Malware (und wir können es beweisen).

Wahrnehmung Benutzer Realität

5

Malware Dynamik

Hacker wollen $$$

Sie erschaffenmehr stille

Malware

Erstellen vielmehr Malware

AV Laboratorienmeistern es nicht

Keine Warnungen, keine Epidemien

Benutzer

sind nicht richtig geschützt

Benutzer

wissen nichtdass sie nicht richtig

geschützt sind

Hacker erreichen Ihre Ziele

Hacker erreichen Ihre Ziele

6

#1 $Motivation: Bekanntheit Motivation: Geld

Vorher (bis 2004) Heute• Grosse EpidemienGrosse Epidemien• Rasche, weltweite

Verbreitung• Grosse Bericht-

erstattung in den Medien

Stille EpidemienStille Epidemien• Malware ist raffiniert und schwierig

zu Bekämpfen• Gleichzeitig gibt es viel mehr Malware

als früher

Malware Dynamik

7

Malware Dynamik

Neue entdeckte Malware Malware mit Tarnkappen-Technik (Heimlichkeit)

8

Malware Dynamik

Cyber-Kriminalität steigt alarmierend

Neu entdeckte Bots Varianten

9

Malware Geschäftsmodelle

:: $350.00/Woche - $1,000/Monat (USD)

:: Typ der Dienstleistung : Exklusiv

:: Immer Online: 5,000 - 6,000

:: Update alle: 10 Minuten

Herder

Traders

Affiliates

Web mafia

Botnets

Botnets DDoS Phishing Spyware MalwareLaunchpad

Victims

1) Botnets

Spam

10

2) Gezielte Attacken

Malware Geschäftsmodelle

2. Private Mittelsmänner wurden angestellt

3. Diese stellten wiederum einen Hacker an, der Trojaner programmierte.

1.Diese Gruppe von Firmenwollte Informationen über

Konkurrenten erhalten

4. Die Hacker dachten aus, wie

ein Trojaner auf den PCs der Direktoren dieser Firmeninstalliert werden sollte, derwährend Wochen / Monaten

versteckt blieb und alle Arten von gemeihen Dokumenten stahl.

Ein Beispiel: Ein Fall, der in Israel auftrat (im Jahr 2005)

11Die Spitze des Eisbergs?

Malware Geschäftsmodelle

2) Gezielte Attacken

Voraussage GartnerBis Ende 2007 werden 75% der Firmen durch unerkannte, finanziell motivierte, gezielte Malware infiziert sein, welche den traditionnellen Sicherheitsbereich und die Abwehrmassnahmen umgehen. http://www.gartner.com/it/page.jsp?id=499323

12

Was können wir tun?

Und die Benutzer wissen es nicht...

Hackers sind professioneller

Geschäftsmodelle,die sie finanzieren Malware wird immer

raffinierter und schwieriger zum Bekämpfen.

Sie benutzt Tarnkappentechnik um unerkannt zu

bleiben.Hackers erstellen

viel mehr Malware

Laboratorien sind überlastet.Sie können alle Malware, die sie erhalten nicht bearbeiten.

13

Ein neues Sicherheits Paradigma

Malware Radar

Malware Radar Geschäftsmodell

14

Evolution

80er Frühe 90er Späte 90er 2000 - 2003 2004 - heute

•Boot Viren•MS DOS Viren•Infizierte Dokumente•Erste Ausbeutungen

•Macro Viren•Ausbeutungen•Würmer

•“Zero-day” Angriffe•Spyware•Adware•Würmer•Trojaner

•Tarnkappen-Techniken•Bots•Trojaner•Rootkits•ZU VIEL MALWARE

Neu

e E

inse

ndun

gen,

wel

che

tägl

ich

in d

en L

abor

ator

ien

eint

reffe

n

__ 300

__ 10

__ 100

__ 1.500

?

Massive Epidemien

Massive Epidemien

Massive

Epidemien

15

Die heutigen Sicherheitslösungen (PIPS)

sind wichtig, reichen aber nicht:

• Sie bieten nur begrenzten Schutz– Sie entdecken nicht alle Malware im Umlauf

• Laboratorien sind überlastet

• Viel Malware erreicht nicht einmal ein Labor

– Sie können ausgeschaltet sein, nicht aktualisiert, usw.

Traditionelle Lösungen reichen nicht

16

Vorher: traditionell

1. Laboratorien erhalten Dateien

von Kunden und anderen Quellen

2. Analysen erfolgen manuell. Die Analyse-Kapazität ist limitiert.

3. Die dem Kunden gelieferte Signatur-Datei ist begrenzt. Sie sind nicht geschützt!

Vorher: traditionell

• 3000 Malware samples pro Tag

• 3 Stunden für manuelle Bearbeitung pro sample

• 9000 Arbeitsstunden pro Tag

• 1125 Techniker

18

jetzt: Collective Intelligence

1) Verdächtige Dateien kommen von verschiedenen Quellen.

2) Automatische Bearbeitung der

Dateien. Das System analisiert und klassiert automatisch tausende von täglich neu eingesandten Dateien. Um das zu erreichen, korreliert ein Experten-System die erhaltenen Dateien mit der umfangreichen Malware Wissensdatenbank von

PandaLab’s.

3) Das erhaltene Wissen wird den Benutzern zur Verfügung gestellt.

Collective Intelligence

95% von neuen Malware-samples werden automatisch analysiert und klassifiziert, in Sekunden!

20

Wo wird “Collective Intelligence” angewendet?

Collective Intelligence

21

Collective Intelligence

Periodisch Malware Audit ausführen,Ergänzung zur heutigen Sicherheitslösung (PIPS).

Weitere Vorteile von MalwareRadar:• Mehr sensitive Heuristik, entdeckt mehr unbekannte Malware• Kontrolliert ob der Desktopschutz aktiv und aktualisiert ist• Er entdeckt Malware, die andere Desktop-Sicherheitslösungen

nicht erkennen (z.B. Rootkits)

22

Collective Intelligence

“Collective Intelligence” wird so bald wie möglich in alle Panda Produkte integriert.

23

Ein neues Paradigma

DIENSTLEISTUNG, periodische Audits des gesamten Netzwerks

Neuer Ansatz: Collective Intelligence

Scanning und Elimination on-demand

Keine Entscheide in Echtzeit notwendig

benutzt die sensitivste Heuristik, erkennt versteckte Malware,

Online Dienstleistung: benötigt keine Installation

Software immer aktuell

Erkennt Malware, die PIPS nicht entdeckt (wie versteckte Malware, höchst kritische Malware, gezielte Malware)

Erkennung von Sicherheitslücken

Wir bieten ein neues Sicherheitsmodell:

+

PIPS in jedem PCTraditioneller Erkennungsansatz

Permanenter Schutz

Entscheide in Echtzeit

Lokal: benötigt Installation von

Software Updates

Erkennung von bekannter und unbekannter Malware

Mögliche operative Probleme in Updates, Installationen, etc.

24

Das neue Paradigma

80er Frühe 90er Späte 90er 2000 - 2003 2004 - heute

•Boot Viren•MS DOS Viren•Infizierte Dokumente•Erste Ausbeutungen

•Macro Viren•Ausbeutungen•Würmer

•Zero-day Angriffe•Spyware•Adware•Würmer•Trojaner

•Tarnkappen-Techniken•Bots•Trojaner•Rootkits•ZU VIEL MALWARE

Neu

e E

inse

ndun

gen,

wel

che

tägl

ich

in d

en L

abor

ator

ien

eint

reffe

n

__ 300

__ 10

__ 100

__ 1,500

?

Massive Epidemien

Massive EpidemienMassive

Epidemien

25

Malware Radar

Malware Radar Geschäftsmodell

26

Was ist Malware Radar?

Automatischer Security Auditfür Netzwerke

• On Demand• Local oder remote• Keine lokale Installation• Kompatibel mit allen Antiviren-Software!

27

Was ist Malware Radar?

Sucht, findet und eliminiert:

1. Alle Malware • Malware, die von traditionellen Schutzlösungen nicht erkannt wird (höchst

kristische und gezielte Malware) aktive oder latente, bekannte oder unbekannte

2. Sicherheitslücken• Schutz: Prüft den Status des Schutzes

• Kritische Schadenanfälligkeiten: Prüft kritische Schadenanfälligkeiten, welche durch Malware genutzt wird (Sicherheitslücken)

3. on-demand Desinfektion erlaubt entdeckte Malware zu eliminieren

28

Software als Dienstleistung

• Keine spezielle HardwareKeine Software Installation, nur ein Web-Browser

• Sofortige Aktualisierungen– Aktuellste Technologien – aktuellste Signatur-Dateien– Neueste Produktversion, keine Sorgen betreffend Upgrades

• Die Intelligenz und die Applikation sind bei Panda– Minimale Kosten für den Kunden

29

Alle diese Firmen dachten

sie wären geschützt

Wie funktionierts?

Real-time monitoring

Scan your network

Online summary Detailed reports and disinfection

Registration

Sends suspicious files to PandaLabs

31

1. Distribution eines Exe Clients

– Über login scripts, SMS, Tivoli usw. oder jede standardisierte Distributionsmethode

– MalwareRadar eigene Distributionsfunktion

– Zentralisierte Online Kontrolle des Prozesses

– Exe Client entfernt sich automatisch

– Transparent für Benutzer• Der Benutzer merkt nicht, dass der PC überprüft wird

Wie funktionierts?

32

2. Quick Scan des Netzwerkes (Workstations / File Server)

Dauer: 5 – 10 MinScan:Kritische System-Elemente Memory, Hauptverzeichnisse und Registry

Ziel:Erkennung von aktiver Malware

Wie funktionierts?

33

2. Full Scan Netzwerkes (Workstations / File Server)

Dauer: ca. 2hScan: Alle Hard-DisksZiel: Erkennung von aktiver oder latenter Malware

Wie funktionierts?

34

Direktions- Rapport

• Netzwerksituation und Risikoniveau der Firma• Statistiken

• Am meisten befallene PCs

• Empfehlungen

Technischer Rapport

Jeder Computer im Detail:

• Entdeckte Malware, Beschreibung, Auswirkung, Weg

• Sicherheitsniveau: – Status des Schutzes– Vorhandene Schadenanfälligkeiten

Reinigungs- Rapport

Neutralisierte Malware, Ort und Resultat der Reinigung

3. Lieferung / Resultate für den Endkunden:• Online Rapporte

• Rapporte im PDF Format, exportierbar zu XML

Wie funktioniert Malware Radar?

Executive report

Technical report

35

Erkennt und eliminiert Malware, welche durch Ihre aktuelle AV-Lösung nicht erkannt wurde

Entdeckt Gefahren, welche durch installierten Schutz nicht erkannt werden Option zu Eliminierung der entdeckten Malware Ermöglicht Reaktion im Falle von Epidemien

Findet präzis heraus,welche Malware vorhanden ist,wieviel und wo

Findet präzis heraus, welche Malware vorhanden ist und wo sie versteckt ist Aufdeckung von kritischen Schadenanfälligkeiten betreffend Malware

Weniger Zeit undAufwand nötig für

Kontrolle und Gefahren in Ihrem

Netzwerk

Keine Installation – Nicht resident Der aktuelle Schutz muss im Netzwerk nicht de-installiert werden Schnelle und einfache Evaluation des Netzwerkstatus Quick scan aller Workstations und File Servers Zentralisierte Administration Spart Zeit und Arbeit für Administratoren

Neuen Gefahreneinen Schritt voraus

Kann für neu ausgerichtete Schutzstrategien genutzt werden, im Einklang mit den Rapportresultaten

Analyse des Schutzstatus Überwacht die Effektivität des installierten Schutzes

Vorteile

36

Unterschiede MR zu anderen Produkte

Online Scanners AV Produkte für Netzwerke

Panda Malware Radar

Für Netzwerke Nur für ein PCProduktart Für Netzwerke

Erkennungs- Technologie

Collective Intelligence,heuristische Analysen

Traditionelle Erkennung, heuristische Analysen?

Traditionelle ErkennungHeuristische Analysen?

Art des Schutzes

Bei Bedarf Bei Bedarf Bei Bedarf & bei Eintritt

ErkannteGefahren

Malware, Sicherheits-lücken, Anfälligkeiten

Malware Malware

Lieferung/Resultate

Online Zusammen-fassung, Rapporte

für Direktion, Technikund Reinigung

Online Zusammen-fassung

Offline Zusammen-fassung

Auswirkung im Netzwerk

Keine Installation,keine Auswirkung für Benutzer

Keine Installation, nichtkonzipiert für Netzwerke

Installation notwendig, Auswirkung Scan für Benutzer

37

Malware Radar Geschäftsmodell

Uebersicht

Mögliche Verkaufsmodelle:

Dienstleistung - Verkauf

Security Audit als Dienstleistung (einmalig/periodisch) Zusätzliche Sicherheit, kombiniert mit anderen

Dienstleistungen im Portfolio Wiederverkauf von MalwareRadar Lizenzen

Mögliche Verkaufsmodelle:

Werkzeug für “Vorverkauf”

Neue Kunden anziehen Netzwerk Ueberprüfung zum Entdecken von Problemen Präsentation von Rapporten zu potentiellen Kunden Angebot von kundenspezifischen Dienstleistungen um

entdeckte Probleme zu lösen

Mögliche Verkaufsmodelle:

Interne Evaluation für Outsourcing von Dienstleistungen

Endkunde hat die Möglichkeit zur internen Qualitätskontrolle der outgesourcten Dienstleistungen

One-Run Audit Version

ONE-RUN AUDIT

Ohne Reinigung Mit Reinigung

Direktions- und techn. Rapporte Reinigung Malware Radar einsetzen um eine Dienstleistung anzubieten Audit einer Firmat durchführen, gemäss der Anzahl

gekauften Lizenzen für einmaligen Gebrauch

AdministrationEine Konsole (Administration für mehrere Kunden)

Subscription Version

ABONNEMENT

Direktions- und techn. Rapporte Reinigung

Malware Radar einsetzen um eine Dienstleistung

anzubieten

Unlimitierte Anzahl Audits einer Firma durchführen, für 1, 2 oder 3 Jahre, gemäss der Anzahl gekauften Lizenzen

Administration1 Abonnement pro Endkunde

Jeder Endkunde muss registriert sein (Web Service)

45

Malware Radar in 5 Minuten…

– Online Scan für Netzwerke mit Administrationskonsole,– On Demand – zweite Meinung – keine lokale Installation,

– kompatibel mit jeder installierten Antiviruslösung,– detaillierte Rapporte und Reinigungswerkzeuge

46

Malware Radar in 5 Minuten…

– Entdeckt über 1 Mio Malware, dank Collective Intelligence

– Collective Intelligence = ein automatisierter Prozess von Pandalabs

– One-run Audit oder Jahresabonnement

Marketing

47

Sensibilisierungskampagne in Zusammenarbeit mit Computerworld

10’000.- falls wir bei Ihnenkeine Malware finden

Marketing

48

10’000.- falls wir bei Ihnen keine Malware finden

– Dauer : 15. Mai bis 15. Juli 2007

– Presseartikel Print & Online, Werbeanzeigen Print & Online, Malware Index auf Internet Site, Orbit

– Teilnehmer können Demoversion testen (inkl. Rapport und Cleanup)

– Nachfassung bei interessierten Kunden durch Panda Schweiz, Weiterleitung Leads an Fachhandel bei Kaufabsicht

– Werbematerial für Fachhandel (Kundenschutz für Ihre Endkunden, die teilnehmen)

49

Automated malware audit serviceBesten Dank!!