1 automated malware audit service audits de sécurité automatiques
TRANSCRIPT
1
Automated malware audit serviceAudits de sécurité automatiques
2
Situation mondiale du marché de la sécurité
Un nouveau paradigme de sécurité
Malware Radar
Malware Radar - Business model
3
Dernières nouvelles
4
Situation du marché
Différence entre la perception des utilisateurs et la réalité.
• Moins de menaces• Menaces maitrisées par les spécialistes antivirus
• Tous les antivirus détectent les mêmes menaces• N’importe quelle solution antivirus me protège
• En une année plus de menaces détectées que durant les 15 dernières années• Fabricants de solutions antivirus surchargés
• Nous détectons plus (et nous pouvons le prouver)
Perception de l’utilisateur Réalité
5
Dynamique malware
Hackers à lapoursuite des $$$
Plus de malware silencieux
Beaucoup plus de malware
Laboratoires AV n’arrivent pas à suivre
Pas d’alertes ni épidémies
Utilisateurs
sans protection suffisante
Utilisateurs
ne savent pas qu’ils ne sont pas
protégés correctement
Hackers atteignent leur but
Hackers atteignent leur but
6
#1 $Motivation: notoriété Motivation: argent
Avant (jusqu’en 2004) Aujourd’hui• Epidémies massivesEpidémies massives• Propagation de plus en
plus rapide • Large couverture
médiatique
• Epidémies silencieusesEpidémies silencieuses• Malwares beaucoup plus sophistiqués et
difficile à combattre• En parallel, présence de beaucoup plus de
malware qu’auparavent
Dynamique malware
7
DDynamique malware
Nouveaux malwares détectés chaque année
8
Dynamique malware
Augmentation alarmante de la criminalité
sur Internet
Nouvelles variantes de ”bots” detectés Croissance des malwares se servant des techniques furtives
9
Malware Business models
:: $350.00/semaine - $1,000/mois (USD)
:: Genre de service: Exclusive
:: Toujours online: 5,000 - 6,000
:: Mise à jours : tous les 10 minutes
Herder
Traders
Affiliates
Web mafia
Botnets
Botnets DDoS Phishing Spyware MalwareLaunchpad
Victimes
1) Botnets
Spam
10
2) Attaques ciblées
Malware Business models
2. Mise sous contrat d’enquêteurs privés
3. Les enquêteurs engagent des hacker, pour créer des chevaux de Troie
1.Groupe de sociétés, cherchant
à obtenir des informations sur la concurrence
4. Les hacker trouvent le moyen pour infiltrer les chevaux de Troie sur les
ordinateurs de la direction des sociétés en question. Ils restent
cachés pendant des semaines voire mois dérobant toutes sortes
d’informations confidentielles.
Un exemple: cas apparu en Israel en 2005
11La pointe de l’iceberg?
Malware Business models
2) Attaques ciblées
Prognostiques Gartner Jusqu’à fin 2007, 75% des entreprises seront infectées par des malwares ciblés, indicibles, et avec des motivations financières, en contournant les périmètres de sécurité traditionnels.http://www.gartner.com/it/page.jsp?id=499323
12
Que pouvons-nous faire?
Et les utilisateurs ne s’en appercoivent pas...
Hackers professionnels
Business models finançant les hackers
Malware plus sophistiqué et difficile à combattre
Utilisation de techniques furtives
pour rester inapperçu
Hackers créent beaucoup plus de
malware
Laboratoirs sont saturés. Impossibilité d’analyser tous
les malware détectés
13
Un nouveau paradigm de sécurité
Malware Radar
Malware Radar - Business model
Sommaire
1414
Evolution
• Boot virus• Virus MS DOS • Infections de fichiers• Premiers abus
• Macro virus:• Abus• Vers
• Attaques immédiates• Spyware• Adware• Vers• Chevaux de Troie
• Techniques furtives• Bots• Chevaux de Troie• Rootkits• Beaucoup TROP de malware
?
Epidemies
MassivesEpidemies
MassivesEpidemies
Massives
80s Début années 90 Fin années 90 2000 - 2003 2004 – aujourd’hui
Nou
veau
x fic
hier
s re
çus
quot
idie
nnem
ent
__ 300
__ 10
__ 100
__ 1.500
15
Les solutions de sécurité d’aujourd’hui (PIPS) sont essentielles mais plus suffisantes:
• Les solutions de sécurité d’aujourd’hui (PIPS) sont limitées– Elles ne détectent pas tous les malwares en circulation
• Les laboratoires antivirus n’arrivent pas à suivre
• Une grande partie des malwares n’arrivent même pas aux laboratoires
– Elles peuvent être desactivées, dépassées, etc.
Une solution traditionnelle ne suffit pas
16
Avant: modèle traditionnel
1. Laboratories reçoivent les fichiers de clients et d’autres sources.
2. Analyses manuelles. La capacité de traitement est limitée.
3. Les fichiers signatures envoyés aux clients sont limités. => protection limitée des utilisateurs.
17
Avant: modèle traditionnel
3000 malware samples par jour
Traitement manuel; env. 3 heures par sample
9000 heures de travail par jour
1125 Technicien
18
Maintenant: Collective Intelligence
1) Les données suspicieux arrivent de différentes sources.
2) Traitement automatique des données. Le système analyse et classifie automatiquement des milliers de nouveaux fichiers, reçu quotidiennement. Un système expert fait la correlation entre les données reçues de la communauté et la base de données des connaissances malware extensible de PandaLabs.
3) Le savoir est mise à disposition des utilisateurs.
19
95% des malware samples sont analysés automatiquement et classifiés en quelques secondes!
Collective Intelligence
20
Comment appliquer
“Collective Intelligence”
Collective Intelligence
21
Collective Intelligence
Exécution périodique d’un malware audit.En complément aux solutions de sécurité traditionnelles (PIPS).
– En plus de la “Collective Intelligence”, Malware Radar offre d’autres avantages:• Détecte plus de malwares inconnus (sensitive heuristics)• Contrôle l’activation et l’actualité de la protection en place• Détecte des malwares que d’autres solutions de sécurité ne peuvent
identifier (p.ex. rootkits)
22
Collective Intelligence
Nous allons intégrer “Collective Intelligence” dans tous les produits Panda dans un avenir proche.
23
Un nouveau paradigme
Un SERVICE d’audits périodiques de tous le réseau d’entreprise
Nouvelle approche: Collective Intelligence
Scan et désinfection: on demand
Pas besoin de prendre des décisions en temps réel
Scan plus exhaustive possible, en utilisant des techniques heuristiques plus aigues, détectant le malware caché, etc.
Online service: ne nécessite pas d’installation
Logiciel toujours à jour
Détection de tous les malwares, inidentifiables par un PIPS (tel malware caché, malware ciblée, malware critique)
Détection de défauts de sécurité
Nous proposons un nouveau modèle de sécurité:
+
Présence d’un PIPS dans chaque PC
Approche de détection traditionnelle
Protection permanente
Décisions en temps réel
En local: Installation nécessaire, mise à jours des logiciels
Détection de malware connu et inconnu
Problème opérationnel possible lors des mises à jours, installations, etc.
2424
Le nouveau paradigme
• Boot virus• Virus MS DOS • Infections de fichiers• Premiers abus
• Macro virus:• Abus• Vers
• Attaques immédiates• Spyware• Adware• Vers• Chevaux de Troie
• Techniques furtives• Bots• Chevaux de Troie• Rootkits• Beaucoup TROP de malware
Epidemies
MassivesEpidemies
MassivesEpidemies
Massives
80s Début années 90 Fin années 90 2000 - 2003 2004 – aujourd’hui
Nou
veau
x fic
hier
s re
çus
quot
idie
nnem
ent
__ 300
__ 10
__ 100
__ 1.500
25
Malware Radar
Malware Radar - Business model
Sommaire
26
Que veut dire Malware Radar?
Il s’agit d’un service d’audit automatique de tous le réseau d’entreprise
• On demand• Il peut être exécuté en local ou remote• Aucune installation locale nécessaire• Aucune désinstallation de logiciel de sécurité existant nécessaire
27
Que veut dire Malware Radar?
• Il est destiné à chercher et trouver:1. Toutes sortes de malwares présents dans le réseau
• Malwares que des solutions de sécurité traditionnelles ne peuvent détecter (malware hautement critique ou ciblé) actif ou latent, connu ou inconnu
2. Défauts de sécurité• Protection: Contrôle du statut de la sécurité de protection
• Vulnérabilités critiques: Identification de vulnérabilités critiques exploitables par les malwares (trous de sécurité)
• Et la possibilité d’éliminer les malware détectés (on demand)
28
Un logiciel – une prestation de service
• Pas de hardware spécifique• Pas d’installation de logiciel, un web browser suffit.• Les mises à jours sont immédiates
– Dernières technologies – fichiers de signature toujours à jours – Dernière version du produit, pas de no worrys about upgrades
• L’intelligence et l’application se trouvent chez Panda– Coût minimal pour le client
29
Toutes ces sociétés
se croyaient protégées
30
Comment ça fonctionne?
Monitoring en temps réel
Audit de votre réseau
Résumé en ligne Rapports détaillés et desinfection
Enregistrement
Fichiers suspicieux envoyés à PandaLabs
31
1. Distribution d’un fichier executable – Via n’importe quelle méthode de
distribution standard (login scripts, SMS, Tivoli, etc.)
– Ou outil de distribution de Malware Radar
Comment ça fonctionne?
3232
2. Audit du réseau (Poste de travail / File Servers)
Durée: 5 – 10 Min (sans distribution)
Audits:Elements critiques du système: Mémoire, répertoires principaux et “registries”
Objectives:Identification des malwares actifs sur le réseau
Comment ça fonctionne?
3333
2. Audit du réseau (Poste de travail / File Servers)
Durée: ca. 2h (sans distribution)
Audits:Alle Hard-Disks
Objective:Identification des malwares actifs ou latents
Comment ça fonctionne?
34
2. Audit du réseau (Poste de travail / File Servers)
– Monitoring centralisé du processus en ligne
– Elimination automatique du fichier .exe
– Complètement transparent aux utilisateurs du réseau• L’utilisateur ne s’apercoit pas de l’audit en exécution sur
son PC
Comment ça fonctionne?
36
Rapport Executive
• La situation du réseau et le niveau des risques de l’organisation
• Statistiques
• PCs les plus infectés
• Recommendations
Rapport Technique
Chaque ordinateur en détail:
• Malware détecté, description, effets, chemin
• Niveau de sécurité: – Etat de protection– Existance de vulnérabilités
Rapport de nettoyage
Malware neutralisé, l’endroit et le résultat du nettoyage
3. Qu’obtient le client final:• Rapports en ligne
• Rapports en format .pdf exportable vers .xml
Comment fonctionne Malware Radar?
Executive report
Technical report
37
Localise et nettoieles malwares non
identifiés parsolution AV actuelle
Localise des danger que le système de protection installé n’a pas pu identifier Option d’éliminer les malwares détectés Permet de réagir dans le cas d’une épidémie
Identification précisedes malwares
présents:combien et où
Identification exacte des malwares existants, la quantité et ou ils se trouvent Detection des vulnérabilités critiques en liens avec les malwares
Dépenser moins de temps et d’efforts
pour le contrôle des menaces dans votre
réseau
Aucune installation – non-résident La protection actuelle ne doit pas être désinstallée du réseau Evaluation rapide et facile de l’état du réseau Audit rapide de toutes les places de travail et file servers Administration centralisée Economie en temps et travail nécessaire de la part de l’administrateur
Rester un pas en avant des nouvelles
menaces
Peut être utilisé pour la réorientation de stratégies de sécurité en ligne avec les résultats des rapports
Analyse de l’état de protection Contrôle l’efficacité de la protection installée
Avantages
38
Differences entre MR et autres produits
Audits en ligne Produits AV réseaux
Panda Malware Radar
Pour réseaux Uniquement pour PCsGenre deproduit Pour réseaux
Detection Technologie
Collective IntelligenceHigh Heuristic Analysis
Détection traditionnelle
Heuristic Analysis?
Genre de Protéction
Sur demande Sur demande Sur demande & par access
Menaces identifiés
Malware, faille de Protection, vulnerabilités
Malware Malware
Livraisons
Résumé en ligne, Rapport Executive,
Rappoert technique, Rapport de nettoyage
Résumé en ligne Résumé hors ligne
Impact sur le réseau
Aucune installation, pas d’impact sur l’utilisateur
Pas d’installation, pas désigné aux réseaux
Installation nécessaire, audit a un impact sur l’utilisateur
Détection traditionnelle
Heuristic Analysis?
39
Malware Radar Business model
Sommaire
41
Modèles de vente possibles:
Service aux clients finaux
Malware audit service (1-run ou or récurrent) EXTRA sécurité, en bundle avec d’autres prestations
dans le portefeuille Audits conformes aux lois de protection des données,
Sarbanes Oxley ou certification des processus, installations, etc.
42
Modèles de vente possibles:
Solution pour clients finaux
Revente des produits aux clients finaux
43
Modèles de vente possibles:
Outil de pré-vente
Attirer des nouveaux clients potentiels Audit du réseau pour la détection de problèmes Présentation de rapports aux clients potentiels Offre d’un service personnalisé pour la résolution des
problèmes identifiés
44
Modèles de vente possibles:
Evaluation interne de services outsourcing
Contrôle de qualité des services outsourcing proposés aux clients finaux
45
One-Run Audit Version
1-RUN AUDIT
Sans nettoyage Avec nettoyage
Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service Réalisation d’un audit d’une société selon le nombre de
licences sous contrat à utilisation unique
Administration Une console
(multi-client administration)
46
Subscription Version
Souscription
Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service
Exécution d’un nombre illimité d’audits pour une société pour 1, 2 ou 3 ans, selon le nombre de licences contractés
Administration
1 souscription par client final
Chaque client final doit être enregistré (web service)
47
Malware Radar en cinq minutes…
– Audit en ligne pour réseaux d’entreprises avec consôle admin– On demand– Deuxième opinion– Pas d’installation locale– Compatible avec toute solution antivirus déjà installée– Rapports détaillés et outils de nettoyage
48
Malware Radar en cinq minutes…
– Détecte plus de 1 mio. de malwares, grâce à la technologie “Collective Intelligence”
– “Collective Intelligence” = un processus automatisé de Pandalabs
– 1-run audit ou souscription annuelle
49
Marketing
49
Campagne de sensibilisationen collaboration avec le journal Computerworld
10’000.- si nous ne détectons pas de virus (malware) dans votre réseau
50
Marketing
50
10’000.- si nous ne détectons pas de virus (malware) dans votre réseau
– Durée: 15 mai au 15 juillet 2007
– Articles de presse (Journaux & Online), publicité (Journaux & Online), Malware Index sur le site Internet, Orbit
– Participants peuvent tester la version démo (rapport et élimination inclus)
– Transmission des leads aux revendeurs
– Matériel de publicité pour revendeurs (protection de clients pour vos clients finaux qui participent)
51
Automated malware audit serviceMerci !!