Virenschutz & mobile Geschäftsanwendungen Roman Binder Security Consultant, Sophos GmbH
Agenda Die Angreifer Aktuelle Bedrohungen Malware-Trends Die Zukunft Schutzmaßnahmen
Die Angreifer
Professionalisierung der Angreiferszene Angriffe sind besser organisiert gezielt heimlich
Ablauf einer Infektion Der User wird auf eine bekannte Webseite gelockt User öffnet im Browser Link auf gehackte bekannte Webseite Ein Trojaner wird heruntergeladen und installiert Der Rechner wird Teil eines Botnetzes www.bekannt.com
Look at me! I m BAD. 6
Nothing to see here.. Move along 7
Zentrale Steuerung Abschalten der McColo-Netze Russisch kontrolliertes Kontrollnetzwerk für 5 große Botnets: Srizbi (Zlob), Mega-D, Rustock, Dedler and Storm Verbindungen zu SophosLabs SPAM-Traps während der Abschaltung Quelle: Sophos Labs 8
Partnerka Netzwerk verbundener, meist russischer dominierter Unternehmen Verantwortlich für einen großen Teil aller SPAM-Mails Mails und Malware Geschäftsbereiche Online-Apotheken Fake Anti-Virus-Scams Online-Casinos Erwachsenen-Websites Dating-Websites it Diebstahl und Verkauf von Kreditkartendaten t d t und digitalen Identitäten Aufbau und Vermietung von Botnetzen
Web-Bedrohungen
Gefälschte Anti-Virensoftware / Scareware
SEO Poisoning Verbreitung über Suchmaschinen
Web-based malware
Soziale Netze
17
Email-Bedrohungen
Emails mit Links basierend auf Geo-IP-Daten
Renaissance von Emails infizierten Anhängen
Andere Plattformen im Visir
27
Krieg im Cyberspace
Krieg im Cyberspace
Krieg im Cyberspace
Krieg im Cyberspace
Krieg im Cyberspace Die dritte Stufe des Krieges im Cyberspace 1 2 3 Freizeit- Hacker Geld, organisiertes Verbrechen Politisch, wirtschaftlich, militärisch
Einfallswege für Malware
Browser / Überall-Software 35
Wechselmedien 36
Instant Messaging- / VoIP- / Filesharing-Tools 37
Malware-Trends
Angreifer verdienen Geld im Zero-Day-Bereich Ein neuer Schädling wird freigesetzt Entdeckung des Schädlings Analyse und Entwicklung einer Lösung Zero-Day Entwicklung von Patches / AV-Definitionen Update der Systeme und AV-Definitionen ist erfolgt -> Systeme sind geschützt
Jeder Zugriff auf eine Webadresse erzeugt einen neuen, einzigartigen Schädling 40
Malware-Bedrohungslage Mai 2010: ~50.000 neue Malware-Samples ~30.000 infizierte Webseiten täglich!! 1.800.000 1.600.000 Neue Malware analysiert in den SophosLabs pro Monat 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 Mai. 2009 Jan. 19999 Mai. 19999 Sep. 19999 Jan. 20000 Mai. 20000 Sep. 20000 Jan. 2001 Mai. 2001 Sep. 2001 Jan. 20022 Mai. 20022 Sep. 20022 Jan. 2003 Mai. 2003 Sep. 2003 Jan. 2004 Mai. 2004 Sep. 2004 Jan. 2005 Mai. 2005 Sep. 2005 Jan. 2006 Mai. 2006 Sep. 2006 Jan. 2007 Mai. 2007 Sep. 2007 Jan. 2008 Mai. 2008 Sep. 2008 Jan. 2009 Sep. 2009 Jan. 20100 Mai. 20100
Die Zukunft
Die Zukunft Social Engineering in sozialen Netzen, per Email & Web steigend, zwecks: Identitätsdiebstahl Verbreitung von Malware & SPAM Datenspionage Datenlecks in Firmen werden häufiger bekannt Je mehr Daten In-the-Cloud.. desto mehr Angriffe auf diese Systeme Zunahme der Angriffe aus. wirtschaftlichen, politischen & militärischen Gründen
Schutzmaßnahmen
Daten sind das primär Ziel Nichtnutzbar machen von Daten auf verlorenen, gestohlenen: Notebooks, Smartphones, USB-Sticks, MP3-Player, CDs Schutz vertraulicher Informationen steht im Unternehmensfokus Compliance mit Regularien (gesetzlich/industriell) Verlust geistigen Eigentums Imageverlust Lösungswege?.. Verschlüsselung l von Festplatten, tt Dateien, Emails, Übertragungswegen Data Leakage Prevention Etc.
Sophos Host Intrusion Prevention System Verhaltensbasierte Erkennung Expertensystem zur Bewertung & Korrelation unterschiedlicher Ereignisse: vor Ausführung Überwachung während der Ausführung: Dateioperationen Speicherzugriffe (Buffer Overflow Prevention für W2K+) Systemmodifikationen Firewall-Zugriffe Ergänzung durch Live-Daten und Live-Analyse in-the-cloud
PEBCAK (.der mündige User.) Brain elsewhere
Ganzheitliche Betrachtung des Themas Sicherheit: Schutz vor Bedrohungen & Schutz der Daten Immer einen Schritt voraus mit Informationen aus den SophosLabs www.sophos.com/blogs/sophoslabs Sophos Security Threat Report 2010 www.sophos.de/security/topic/security-report-2010.html
Vielen Dank für Ihre Aufmerksamkeit Thanks for listening! Roman.binder@sophos.de