1

Automated malware audit serviceAudits de sécurité automatiques

2

Situation mondiale du marché de la sécurité

Un nouveau paradigme de sécurité

Malware Radar

Malware Radar - Business model

3

Dernières nouvelles

4

Situation du marché

Différence entre la perception des utilisateurs et la réalité.

• Moins de menaces• Menaces maitrisées par les spécialistes antivirus

• Tous les antivirus détectent les mêmes menaces• N’importe quelle solution antivirus me protège

• En une année plus de menaces détectées que durant les 15 dernières années• Fabricants de solutions antivirus surchargés

• Nous détectons plus (et nous pouvons le prouver)

Perception de l’utilisateur Réalité

5

Dynamique malware

Hackers à lapoursuite des $$$

Plus de malware silencieux

Beaucoup plus de malware

Laboratoires AV n’arrivent pas à suivre

Pas d’alertes ni épidémies

Utilisateurs

sans protection suffisante

Utilisateurs

ne savent pas qu’ils ne sont pas

protégés correctement

Hackers atteignent leur but

Hackers atteignent leur but

6

#1 $Motivation: notoriété Motivation: argent

Avant (jusqu’en 2004) Aujourd’hui• Epidémies massivesEpidémies massives• Propagation de plus en

plus rapide • Large couverture

médiatique

• Epidémies silencieusesEpidémies silencieuses• Malwares beaucoup plus sophistiqués et

difficile à combattre• En parallel, présence de beaucoup plus de

malware qu’auparavent

Dynamique malware

7

DDynamique malware

Nouveaux malwares détectés chaque année

8

Dynamique malware

Augmentation alarmante de la criminalité

sur Internet

Nouvelles variantes de ”bots” detectés Croissance des malwares se servant des techniques furtives

9

Malware Business models

:: $350.00/semaine - $1,000/mois (USD)

:: Genre de service: Exclusive

:: Toujours online: 5,000 - 6,000

:: Mise à jours : tous les 10 minutes

Herder

Traders

Affiliates

Web mafia

Botnets

Botnets DDoS Phishing Spyware MalwareLaunchpad

Victimes

1) Botnets

Spam

10

2) Attaques ciblées

Malware Business models

2. Mise sous contrat d’enquêteurs privés

3. Les enquêteurs engagent des hacker, pour créer des chevaux de Troie

1.Groupe de sociétés, cherchant

à obtenir des informations sur la concurrence

4. Les hacker trouvent le moyen pour infiltrer les chevaux de Troie sur les

ordinateurs de la direction des sociétés en question. Ils restent

cachés pendant des semaines voire mois dérobant toutes sortes

d’informations confidentielles.

Un exemple: cas apparu en Israel en 2005

11La pointe de l’iceberg?

Malware Business models

2) Attaques ciblées

Prognostiques Gartner Jusqu’à fin 2007, 75% des entreprises seront infectées par des malwares ciblés, indicibles, et avec des motivations financières, en contournant les périmètres de sécurité traditionnels.http://www.gartner.com/it/page.jsp?id=499323

12

Que pouvons-nous faire?

Et les utilisateurs ne s’en appercoivent pas...

Hackers professionnels

Business models finançant les hackers

Malware plus sophistiqué et difficile à combattre

Utilisation de techniques furtives

pour rester inapperçu

Hackers créent beaucoup plus de

malware

Laboratoirs sont saturés. Impossibilité d’analyser tous

les malware détectés

13

Un nouveau paradigm de sécurité

Malware Radar

Malware Radar - Business model

Sommaire

1414

Evolution

• Boot virus• Virus MS DOS • Infections de fichiers• Premiers abus

• Macro virus:• Abus• Vers

• Attaques immédiates• Spyware• Adware• Vers• Chevaux de Troie

• Techniques furtives• Bots• Chevaux de Troie• Rootkits• Beaucoup TROP de malware

?

Epidemies

MassivesEpidemies

MassivesEpidemies

Massives

80s Début années 90 Fin années 90 2000 - 2003 2004 – aujourd’hui

Nou

veau

x fic

hier

s re

çus

quot

idie

nnem

ent

__ 300

__ 10

__ 100

__ 1.500

15

Les solutions de sécurité d’aujourd’hui (PIPS) sont essentielles mais plus suffisantes:

• Les solutions de sécurité d’aujourd’hui (PIPS) sont limitées– Elles ne détectent pas tous les malwares en circulation

• Les laboratoires antivirus n’arrivent pas à suivre

• Une grande partie des malwares n’arrivent même pas aux laboratoires

– Elles peuvent être desactivées, dépassées, etc.

Une solution traditionnelle ne suffit pas

16

Avant: modèle traditionnel

1. Laboratories reçoivent les fichiers de clients et d’autres sources.

2. Analyses manuelles. La capacité de traitement est limitée.

3. Les fichiers signatures envoyés aux clients sont limités. => protection limitée des utilisateurs.

17

Avant: modèle traditionnel

3000 malware samples par jour

Traitement manuel; env. 3 heures par sample

9000 heures de travail par jour

1125 Technicien

18

Maintenant: Collective Intelligence

1) Les données suspicieux arrivent de différentes sources.

2) Traitement automatique des données. Le système analyse et classifie automatiquement des milliers de nouveaux fichiers, reçu quotidiennement. Un système expert fait la correlation entre les données reçues de la communauté et la base de données des connaissances malware extensible de PandaLabs.

3) Le savoir est mise à disposition des utilisateurs.

19

95% des malware samples sont analysés automatiquement et classifiés en quelques secondes!

Collective Intelligence

20

Comment appliquer

“Collective Intelligence”

Collective Intelligence

21

Collective Intelligence

Exécution périodique d’un malware audit.En complément aux solutions de sécurité traditionnelles (PIPS).

– En plus de la “Collective Intelligence”, Malware Radar offre d’autres avantages:• Détecte plus de malwares inconnus (sensitive heuristics)• Contrôle l’activation et l’actualité de la protection en place• Détecte des malwares que d’autres solutions de sécurité ne peuvent

identifier (p.ex. rootkits)

22

Collective Intelligence

Nous allons intégrer “Collective Intelligence” dans tous les produits Panda dans un avenir proche.

23

Un nouveau paradigme

Un SERVICE d’audits périodiques de tous le réseau d’entreprise

Nouvelle approche: Collective Intelligence

Scan et désinfection: on demand

Pas besoin de prendre des décisions en temps réel

Scan plus exhaustive possible, en utilisant des techniques heuristiques plus aigues, détectant le malware caché, etc.

Online service: ne nécessite pas d’installation

Logiciel toujours à jour

Détection de tous les malwares, inidentifiables par un PIPS (tel malware caché, malware ciblée, malware critique)

Détection de défauts de sécurité

Nous proposons un nouveau modèle de sécurité:

+

Présence d’un PIPS dans chaque PC

Approche de détection traditionnelle

Protection permanente

Décisions en temps réel

En local: Installation nécessaire, mise à jours des logiciels

Détection de malware connu et inconnu

Problème opérationnel possible lors des mises à jours, installations, etc.

2424

Le nouveau paradigme

• Boot virus• Virus MS DOS • Infections de fichiers• Premiers abus

• Macro virus:• Abus• Vers

• Attaques immédiates• Spyware• Adware• Vers• Chevaux de Troie

• Techniques furtives• Bots• Chevaux de Troie• Rootkits• Beaucoup TROP de malware

Epidemies

MassivesEpidemies

MassivesEpidemies

Massives

80s Début années 90 Fin années 90 2000 - 2003 2004 – aujourd’hui

Nou

veau

x fic

hier

s re

çus

quot

idie

nnem

ent

__ 300

__ 10

__ 100

__ 1.500

25

Malware Radar

Malware Radar - Business model

Sommaire

26

Que veut dire Malware Radar?

Il s’agit d’un service d’audit automatique de tous le réseau d’entreprise

• On demand• Il peut être exécuté en local ou remote• Aucune installation locale nécessaire• Aucune désinstallation de logiciel de sécurité existant nécessaire

27

Que veut dire Malware Radar?

• Il est destiné à chercher et trouver:1. Toutes sortes de malwares présents dans le réseau

• Malwares que des solutions de sécurité traditionnelles ne peuvent détecter (malware hautement critique ou ciblé) actif ou latent, connu ou inconnu

2. Défauts de sécurité• Protection: Contrôle du statut de la sécurité de protection

• Vulnérabilités critiques: Identification de vulnérabilités critiques exploitables par les malwares (trous de sécurité)

• Et la possibilité d’éliminer les malware détectés (on demand)

28

Un logiciel – une prestation de service

• Pas de hardware spécifique• Pas d’installation de logiciel, un web browser suffit.• Les mises à jours sont immédiates

– Dernières technologies – fichiers de signature toujours à jours – Dernière version du produit, pas de no worrys about upgrades

• L’intelligence et l’application se trouvent chez Panda– Coût minimal pour le client

29

Toutes ces sociétés

se croyaient protégées

30

Comment ça fonctionne?

Monitoring en temps réel

Audit de votre réseau

Résumé en ligne Rapports détaillés et desinfection

Enregistrement

Fichiers suspicieux envoyés à PandaLabs

31

1. Distribution d’un fichier executable – Via n’importe quelle méthode de

distribution standard (login scripts, SMS, Tivoli, etc.)

– Ou outil de distribution de Malware Radar

Comment ça fonctionne?

3232

2. Audit du réseau (Poste de travail / File Servers)

Durée: 5 – 10 Min (sans distribution)

Audits:Elements critiques du système: Mémoire, répertoires principaux et “registries”

Objectives:Identification des malwares actifs sur le réseau

Comment ça fonctionne?

3333

2. Audit du réseau (Poste de travail / File Servers)

Durée: ca. 2h (sans distribution)

Audits:Alle Hard-Disks

Objective:Identification des malwares actifs ou latents

Comment ça fonctionne?

34

2. Audit du réseau (Poste de travail / File Servers)

– Monitoring centralisé du processus en ligne

– Elimination automatique du fichier .exe

– Complètement transparent aux utilisateurs du réseau• L’utilisateur ne s’apercoit pas de l’audit en exécution sur

son PC

Comment ça fonctionne?

36

Rapport Executive

• La situation du réseau et le niveau des risques de l’organisation

• Statistiques

• PCs les plus infectés

• Recommendations

Rapport Technique

Chaque ordinateur en détail:

• Malware détecté, description, effets, chemin

• Niveau de sécurité: – Etat de protection– Existance de vulnérabilités

Rapport de nettoyage

Malware neutralisé, l’endroit et le résultat du nettoyage

3. Qu’obtient le client final:• Rapports en ligne

• Rapports en format .pdf exportable vers .xml

Comment fonctionne Malware Radar?

Executive report

Technical report

37

Localise et nettoieles malwares non

identifiés parsolution AV actuelle

Localise des danger que le système de protection installé n’a pas pu identifier Option d’éliminer les malwares détectés Permet de réagir dans le cas d’une épidémie

Identification précisedes malwares

présents:combien et où

Identification exacte des malwares existants, la quantité et ou ils se trouvent Detection des vulnérabilités critiques en liens avec les malwares

Dépenser moins de temps et d’efforts

pour le contrôle des menaces dans votre

réseau

Aucune installation – non-résident La protection actuelle ne doit pas être désinstallée du réseau Evaluation rapide et facile de l’état du réseau Audit rapide de toutes les places de travail et file servers Administration centralisée Economie en temps et travail nécessaire de la part de l’administrateur

Rester un pas en avant des nouvelles

menaces

Peut être utilisé pour la réorientation de stratégies de sécurité en ligne avec les résultats des rapports

Analyse de l’état de protection Contrôle l’efficacité de la protection installée

Avantages

38

Differences entre MR et autres produits

Audits en ligne Produits AV réseaux

Panda Malware Radar

Pour réseaux Uniquement pour PCsGenre deproduit Pour réseaux

Detection Technologie

Collective IntelligenceHigh Heuristic Analysis

Détection traditionnelle

Heuristic Analysis?

Genre de Protéction

Sur demande Sur demande Sur demande & par access

Menaces identifiés

Malware, faille de Protection, vulnerabilités

Malware Malware

Livraisons

Résumé en ligne, Rapport Executive,

Rappoert technique, Rapport de nettoyage

Résumé en ligne Résumé hors ligne

Impact sur le réseau

Aucune installation, pas d’impact sur l’utilisateur

Pas d’installation, pas désigné aux réseaux

Installation nécessaire, audit a un impact sur l’utilisateur

Détection traditionnelle

Heuristic Analysis?

39

Malware Radar Business model

Sommaire

41

Modèles de vente possibles:

Service aux clients finaux

Malware audit service (1-run ou or récurrent) EXTRA sécurité, en bundle avec d’autres prestations

dans le portefeuille Audits conformes aux lois de protection des données,

Sarbanes Oxley ou certification des processus, installations, etc.

42

Modèles de vente possibles:

Solution pour clients finaux

Revente des produits aux clients finaux

43

Modèles de vente possibles:

Outil de pré-vente

Attirer des nouveaux clients potentiels Audit du réseau pour la détection de problèmes Présentation de rapports aux clients potentiels Offre d’un service personnalisé pour la résolution des

problèmes identifiés

44

Modèles de vente possibles:

Evaluation interne de services outsourcing

Contrôle de qualité des services outsourcing proposés aux clients finaux

45

One-Run Audit Version

1-RUN AUDIT

Sans nettoyage Avec nettoyage

Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service Réalisation d’un audit d’une société selon le nombre de

licences sous contrat à utilisation unique

Administration Une console

(multi-client administration)

46

Subscription Version

Souscription

Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service

Exécution d’un nombre illimité d’audits pour une société pour 1, 2 ou 3 ans, selon le nombre de licences contractés

Administration

1 souscription par client final

Chaque client final doit être enregistré (web service)

47

Malware Radar en cinq minutes…

– Audit en ligne pour réseaux d’entreprises avec consôle admin– On demand– Deuxième opinion– Pas d’installation locale– Compatible avec toute solution antivirus déjà installée– Rapports détaillés et outils de nettoyage

48

Malware Radar en cinq minutes…

– Détecte plus de 1 mio. de malwares, grâce à la technologie “Collective Intelligence”

– “Collective Intelligence” = un processus automatisé de Pandalabs

– 1-run audit ou souscription annuelle

49

Marketing

49

Campagne de sensibilisationen collaboration avec le journal Computerworld

10’000.- si nous ne détectons pas de virus (malware) dans votre réseau

50

Marketing

50

10’000.- si nous ne détectons pas de virus (malware) dans votre réseau

– Durée: 15 mai au 15 juillet 2007

– Articles de presse (Journaux & Online), publicité (Journaux & Online), Malware Index sur le site Internet, Orbit

– Participants peuvent tester la version démo (rapport et élimination inclus)

– Transmission des leads aux revendeurs

– Matériel de publicité pour revendeurs (protection de clients pour vos clients finaux qui participent)

51

Automated malware audit serviceMerci !!