На вебинаре мы расскажем об единственном облачном EPP+EDR продукте Panda Adaptive Defense 360, который позволит защитить ваше предприятие от шифровальщиков, APT, новых и скрытых угроз.
Решение позволяет получить полный контроль над происходящими в сети процессами и узнать: откуда пришла угроза, где появилась, что пыталась сделать, к каким файлам обращалась, куда и что отправляла и пр.
Докладчик: Алексей Паздников, Panda Security* в России.
Зарегистрироваться
Рассматриваемые вопросы:
• Адаптируемая безопасность корпоративных сетей
• Уникальность облачного решения
• Преимущества для предприятия
• Вопросы и ответы
Зарегистрируйтесь
на вебинар, узнайте об уникальных возможностях Panda Adaptive Defense 360 и протестируйте новое решение.*Компания Panda Security специализируется на облачных решениях информационной безопасности и предлагает корпоративные SaaS-решения Panda с 2004 года.
Комментарии (34)
VolkZubamiSchelk
31.03.2016 13:35+1Правильно настроенный SRP, снятые права администратора, актуальные апдейты Windows, Office, AdobeReader, Flash, Java, браузеры обеспечат 99% защиту от шифровальщиков. И все это без сторонних платных решений.
PSecurity
31.03.2016 13:36В целом согласен, что такие действия разумны и необходимы.
Действительно, во многих случаях это отсечет многие угрозы. Плюс не забудьте еще про работу с персоналом об ИБ.
И все же, таких действий недостаточно.
Вопрос не только в защите от шифровальщиков, но и в защите от неизвестных и скрытых угроз, APT и т.д.
Плюс экспертная информация обо всех ИТ-процессах для мониторинга того, что и кто к каким данным обращается и что с ними делают (для противодействия шпионажу, краже конфиденциальных данных и пр.).
JKornev
31.03.2016 15:53+1Всё это на словах, на деле всё по другому
VolkZubamiSchelk
31.03.2016 18:44+1Разверните, пожалуйста, свой комментарий, непонятно, что на самом деле у вас по другому. У меня в организации пользователь не может запустить .js из архива, потому как политикой запрещено, не может открыть офисный документ с макросом, потому как политикой запрещено, не может просто запустить исполняемый файл из недоверенного источника, потому как политикой запрещено. Итд, итп… За 3 года ни одного заражения, хотя в почте куча писем от "Пром снаб" с актами сверки и сообщений "Сбербанка" о просроченной задолжности. Так что на деле всё по другому?
teecat
31.03.2016 17:0860 процентов обращений в саппорт — это шифровальщики. Какая гарантия?
PSecurity
31.03.2016 20:29Очень жаль, что у отечественного производителя, решения которого входят в реестр российского ПО такой большой процент проблем с шифровальщиком.
В техподдержке Panda Security по шифровальщикам обращений максимум 1-1,5%. А если пользователи выполняют рекомендации по настройкам решений Panda изначально, то проблем вообще не возникает годами.teecat
01.04.2016 08:47- Я нигде кажется не сказал, что все эти обращения — от наших пользователей. К нам очень часто обращаются те, кто защищается продуктами от иных производителей. Мы очень часто расшифровываем там, где иные вендоры не берутся. Я знаю примеры, когда наши партнеры на юге Европы продвигают наш продукт, как именно обеспечивающий защиту от шифровальщиков
В рамках выпуска Dr.Web Katana (продукт предназначенный именно для защиты от шифровальщиков поверх продуктов иных вендоров) у нас был организован стенд, на котором проверялись шифровальщики, полученные техподдержкой. Сюрприз однако — процент необнаружения был порядка пары процентов (точно не помню, но могу уточнить) - Сами по себе проценты обращений в техподдержку ни о чем не говорят. Процентное соотношение может говорить и о востребованности отдельных решений и о качестве продукта
Теперь о гарантиях. Как известно грамотно сделанные вредоносные программы тестируются на необнаружение антивирусами. И не на Вирустотале, а на штатно развернутой защите. И выпускаются, если антивирус целевой группы не обнаруживает тот же троян. Не верю в непробитие защит. По моей статистике порядка 30 процентов админов сталкивается с шифровальщиками. Те же белые списки программ обходятся подменой библиотек (http://seclists.org/bugtraq/2016/Jan/89)
Посему:
- Наиболее просто получить новый шифровальщик перепаковав или перешифровав его. Как вы поступаете, если получили перешифрованный образец? Добавляете его сигнатурой в базу? Для справки — Dr.Web может находить в подобном случае ранее известные образцы по характерным участкам кода — тоесть мы можем находить вредоносное ПО, даже если оно было перешифровано, за счет чего для нас сложнее сделать пробивающий нас троян.
- Сколько записей для шифровальщиков вы добавляете в базу ежедневно? Примерно. У нас (даже при учете вышеописанной технологии) добавляется порядка 10-20 записей. Вчера было скажем добавлено 12 штук (http://updates.drweb.com)
- Качество антивируса показывают только тесты на лечение активных заражений и самозащиту. Последние мне известные http://www.anti-malware.ru/malware_treatment_test_2015 и http://www.anti-malware.ru/antivirus_self_protection_test_x64_2011. Старые тесты, согласен. Поэтому поставим вопрос так — что было сделано для исправления ситуации с лечением активных заражений? Какие технологии внедрены? У нас ShellGuard (контроль процесса изнутри — нет ни у кого на рынке) и ГиперВизхор (перехват на уровне драйверов)
- Не знаю, есть ли у вас статистика по России, но скажем сейчас в Испании "популярны": Trojan.Encoder.761, Trojan.Encoder.3564 ака TeslaCrypt 3.0, Trojan.Encoder.1694 ака TeslaCrypt 2.0, CryptoWall, Trojan.Encoder.686 ака CTB-Locker, encoder.1214. Если не секрет — процент расшифровки данных представителей по вашей статистике?
И последнее. Я совершенно не утверждаю, что проблем с вирусами нет у нашего продукта. Есть и будут наверно всегда. Но мы честно говорим о невозможности гарантированной защиты (особенно при установке по умолчанию) и показываем как довести защиту до максимально возможной. Нас кстати бывает просят прописать в договор гарантии на защиту от вирусов в выплатой штрафов (давно не видел) или время занесения записи, гарантированно лечащую угрозу, по присланному образцу (недавно видел запрос). Мы объясняем, что это нереально. А вы?vilgeforce
01.04.2016 12:28Коллега, я не узнаю вас в гриме. Но судя по "Для справки — Dr.Web может находить в подобном случае ранее известные образцы по характерным участкам кода" — вы из Москвы.
- Я нигде кажется не сказал, что все эти обращения — от наших пользователей. К нам очень часто обращаются те, кто защищается продуктами от иных производителей. Мы очень часто расшифровываем там, где иные вендоры не берутся. Я знаю примеры, когда наши партнеры на юге Европы продвигают наш продукт, как именно обеспечивающий защиту от шифровальщиков
vilgeforce
01.04.2016 12:26До двух процентов — это потому что вы расшифровкой и не занимаетесь. Кто занимается — к тем и идут.
PSecurity
01.04.2016 14:25Отвечу сразу Вам и Вашему коллеге (выше).
- По поводу обращений с шифровальщиками. Как правило, при возникновении подобной проблемы пользователи в первую очередь обращаются в ту компанию, чей антивирус у них установлен (для примера, если у вас отключается доступ в интернет, разумнее обратиться к своему провайдеру, а не в стороннюю организацию). Мы фиксируем ВСЕ обращения в техподдержку. Еще раз повторю, от всех обращений в техподдержку- вопросы по шифровальщикам занимают 1-1,5%.
- По поводу расшифровки зашифрованных сообщений. За редким исключением (а чем дальше, тем, пожалуй, таких исключений будет меньше, потому что шифровальщики становятся все искуснее) расшифровать зашифрованные файлы без ключа невозможно. Поэтому интересно, как вы расшифровываете и почему такая популяризация данных услуг от производителя AV?
Может быть, я что-то пропустил, но вроде бы не было слышно о появлении каких-то революционных технологий по расшифровке БЕЗ КЛЮЧА. И даже если есть ключ для какого-то конкретного ПК, то в наши дни маловероятно, что он подойдет для расшифровки данных на другом ПК, где постарался точно такой же шифровальщик. - Мы стараемся реализовать технологии, которые позволят предотвратить шифрование, потому что если шифрование произойдет, то шансов уже ничтожно мало. Либо стоимость расшифровки может превысить стоимость зашифрованной информации.
- Panda Adaptive Defense позволяет отслеживать все ИТ-процессы, выставлять между ними взаимосвязи и закономерности, анализировать каждый исполняемый файл или запущенный процесс и в результате в режиме LOCK блокировать все, что не классифицировано на текущий момент как goodware, включая и новые процессы и файлы, которые еще не были классифицированы в принципе. Это тонны информации. Именно поэтому мы уже несколько лет работаем на Больших данных с искусственным интеллектом, включая машинное обучение.
Держать все это локально нереально, поэтому в локальных сигнатурах только самое-самое, плюс локальные проактивные технологии также для «подхвата». Все основное — это в облаке.
vilgeforce
01.04.2016 14:28Открою вам страшную тайну: ключ можно и подобрать, что мой кодес и делает.
PSecurity
01.04.2016 14:31За сколько времени подбираете 256-разрядный ключ?
vilgeforce
01.04.2016 14:32Как повезет. Вчера вот для ID12345678.Vegclass@aol.com.xtbl и подобных сделал перебор за пару секунд. 256 БИТ, правда, а не разрядов.
PSecurity
01.04.2016 14:56А Вы перебрали за 2 секунды уже из готового набора ключей?
vilgeforce
01.04.2016 14:59Нет, никаких списков ключей нет, все генерится в процессе. Для вас "невозможно", а мы уже года этак 3-4 как расшифровываем. Может и вы года через два начнете, если займетесь.
PSecurity
01.04.2016 15:00Вы знаете алгоритм генерации этих случайных ключей для данного шифровальщика?
vilgeforce
01.04.2016 15:02Допустим да, и что? :-)
PSecurity
01.04.2016 15:03И так Вы знаете алгоритм по каждому шифровальщику в России?
vilgeforce
01.04.2016 15:05Я знаю слабые места. Мы прекрасно работаем с *.encrypted, с теслой первой и второй, которые в РФ практически не встречались, обращаются со всего мира.
PSecurity
01.04.2016 15:14А сколько стоит расшифровка на 1 машину?
vilgeforce
01.04.2016 15:49В душе не знаю, я технический специалист.
PSecurity
01.04.2016 15:55А как быстро вы узнаете слабые места у новых версий шифровальщиков?
vilgeforce
01.04.2016 15:56Когда как. Спросите у ваших аналитиков сколько у них уходит времени на хороший анализ троя.
PSecurity
03.04.2016 19:36Вашим клиентам расшифровку делаете в порядке очереди или для них есть какой-то приоритет? Может расшифровка стоит дешевле чем, для остальных?
vilgeforce
Вот прямо 100% гарантию даете что любой энкодер ничего не сделает?
PSecurity
100% гарантии никогда, ничего, нигде в мире не существует. Полного абсолюта нет...
vilgeforce
Тогда о какой "гарантированно… защитить" идет речь?
PSecurity
В общеприменительной практике использование слов "гарантированно, гарантированный" и т.п. подразумевает подавляющее большинство случаев. Когда употребляется слово "гарантированно", то здравомыслящие люди понимают, что речь идет о преимущественном (максимальном) большинстве.
Кроме того, заметьте, про 100% Вы сами написали и сами же спросили.
inkvizitor68sl
Нет, в общеприменительной практике "гарантированный", означает, что в Х% случаев оно не случится, а если что и случится — то кто-то за это будет отвечать и возмещать.
PSecurity
Согласен, так тоже можно сказать.
vilgeforce
То есть вы еще и ущерб будете возмещать?! Ну вообще смелые ребята!
Saffron
Ну вот например, TCP пишет о гарантированной доставке потока данных. Тогда как если смотреть широко, возможна ситуация, когда TCP не спасает. Я вот на практике встречал настолько хреновый интернет, имеющий настолько большой packet loss, что TCP сессии рвались посередине передачи данных.
horlon
Специально зашел, чтобы увидеть подобный коммент)))