Verschiebung der Bedrohungslage Cloud-basierte Malwareabwehr



Ähnliche Dokumente
QS solutions GmbH. präsentiert das Zusammenspiel von. Ihr Partner im Relationship Management

UM ALLE DATEN ZU KOPIEREN. ZUNÄCHST die Daten des alten Telefons auf einen Computer kopieren

Einkommensaufbau mit FFI:

EEX Kundeninformation

Titelbild1 ANSYS. Customer Portal LogIn

Tuning des Weblogic /Oracle Fusion Middleware 11g. Jan-Peter Timmermann Principal Consultant PITSS


A-CERT CERTIFICATION SERVICE

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL USER GUIDE June 2016

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

Preisliste für The Unscrambler X

Bes 10 Für ios und Android

miditech 4merge 4-fach MIDI Merger mit :

Patchmanagement. Jochen Schlichting Jochen Schlichting

Sichere Freigabe und Kommunikation

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Version/Datum: Dezember-2006

GuiXT und mysap ERP. Regensdorf, April 2004 Dr.Gerhard Rodé, Synactive GmbH

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Das neue Volume-Flag S (Scannen erforderlich)

USB Treiber updaten unter Windows 7/Vista

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

Malware in Deutschland

Expertenumfrage: Mobile Applications

Wie können Sie eine Client Lizenz wieder freigeben?

MOUNT10 StoragePlatform Console

Updatehinweise für die Version forma 5.5.5

Installation mit Lizenz-Server verbinden

Softwareupdate-Anleitung // AC Porty L Netzteileinschub

Readme-USB DIGSI V 4.82

» Smartphones im Unternehmen: Must-have oder Donʼt-use?

SJ OFFICE - Update 3.0

Agile UND nutzerorientierte Konzeption und Entwicklung mobiler Apps - ein Widerspruch?


ReadMe zur Installation der BRICKware for Windows, Version ReadMe on Installing BRICKware for Windows, Version 6.1.2

Ein Vergleich von Privacy-Policies internationaler sozialer Netzwerke

XING und LinkedIn-Integration in das erecruiter-bewerberportal

SanStore: Kurzanleitung / SanStore: Quick reference guide

ZENTRALER INFORMATIKDIENST DER JOHANNES KEPLER UNIVERSITÄT LINZ Abteilung Kundendienste und Dezentrale Systeme. PPP für Windows 3.

TalkIT: Internet Communities Tiroler Zukunftsstiftung Donnerstag,

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Linkabstrafung und Reconsideration Requests. Swiss Onlinemarketing Messe

MARKET DATA CIRCULAR DATA AMENDMENT

Datenanpassung: Erdgas und Emissionsrechte

Technical Support Information No. 123 Revision 2 June 2008

Log Parser 2.0 HackerScan.js. Beschreibung. Anforderungen. Unterstützte Plattformen. Script-Code. Zurück zur Übersichtsseite

Parameter-Updatesoftware PF-12 Plus

job and career for women 2015

WINDOWS 8 WINDOWS SERVER 2012

EU nimmt neues Programm Mehr Sicherheit im Internet in Höhe von 55 Millionen für mehr Sicherheit für Kinder im Internet an

Sophos Complete Security

Social Media für Gründer. BPW Business Juni 2012

EchoLink und Windows XP SP2

2. Automotive SupplierS Day. Security

1 Application Compatibility Toolkit (ACT) 5.6

mobile Responsive Design Lässt Ihre Anwendungen und Inhalte auf jedem Gerät einfach gut aussehen

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Prinzipiell können die Adressdaten auf drei verschiedenen Wegen erlangt werden

Anleitung zum Prüfen von WebDAV

Kombinierte Attacke auf Mobile Geräte

SWISSVAULT StorageCenter Console Version 5 Kurzanleitung für SWISSVAULT Combo Partner

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

SharePoint 2010 Mobile Access

So funktioniert die NetWorker 7.5 Eigenschaft zum Sichern umbenannter Verzeichnisse ( Backup renamed Directories )

BIG ANALYTICS AUF DEM WEG ZU EINER DATENSTRATEGIE. make connections share ideas be inspired. Wolfgang Schwab SAS D

MobiDM-App Handbuch für Windows Mobile

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Der Begriff Cloud. Eine Spurensuche. Patric Hafner geops

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

:: Anleitung Hosting Server 1cloud.ch ::

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL - USER GUIDE June 2016

Magic Figures. We note that in the example magic square the numbers 1 9 are used. All three rows (columns) have equal sum, called the magic number.

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Sicherheits- & Management Aspekte im mobilen Umfeld

Anmelden am Citrix Access Gateway

Verwendung des Terminalservers der MUG

ANYWHERE Zugriff von externen Arbeitsplätzen

Freunde, Fans und Faszinationen: Das Potenzial von Social Media

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08

AIRWATCH. Mobile Device MGMT

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren:

Symantec Mobile Computing

p^db=`oj===pìééçêíáåñçêã~íáçå=

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

Februar Newsletter der all4it AG

SemTalk Services. SemTalk UserMeeting

ERIK HEYLAND Director Testing Lab CeBIT Effizienz im Test. Effizienz im Test 1. CeBIT 2014

Avira Support Collector. Kurzanleitung

Dolphin Handbuch von SERVAS Austria

WIE SMI-UNTERNEHMEN SOCIAL MEDIA NUTZEN

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek

Transkript:

Verschiebung der Bedrohungslage Cloud-basierte Malwareabwehr aktuelle Entwicklungen notwendige Änderungen im Sicherheitsmanagement Matthias Jänichen percomp-verlag Hamburg

percomp-verlag gegründet 1989 als Verlag für technische Dokumentation Gründungsmitglied des EICAR e.v. und CARO enge Zusammenarbeit mit dem Virus-Test-Center der Uni Hamburg heute Distributor, Systemhaus und Fachhändler für IT-Security Lösungen einzigartige Level-3-Hotline mit direktem Zugriff auf Hersteller-Ressourcen percomp betreut ca. 1.300 Kunden mit über 170.000 Endanwendern darunter Einzelanwender, aber auch Kunden mit 20.000 Arbeitsplätzen Ganzheitliche Betreuung durch Konzeption Rollout Support Schulung Auditing

Helsinki 11 June, 2010

San Jose 11 June, 2010

Kuala Lumpur

Lab inside 11 June, 2010

Security Thread Forecast 2010 Here are F-Secure s predictions for 2010 based on this year's threat analysis. Windows 7 will gain market share during 2010. Windows XP will drop below 50% market share overall and will thus reduce the amount of "low hanging fruit." This will improve Internet security in affluent countries and it will perhaps begin to create malware ghettos in less affluent countries as cyber-criminals concentrate their efforts on the remaining installed base of Windows XP. Whether attackers continue to focus on Microsoft Windows alone or whether they diversify to include OSX and mobile platforms remains to be seen. Real-time support in search engines such as Google and Bing will affect the frequency and manner of Search Engine Optimization (SEO) attacks. The 2010 FIFA World Cup (soccer for those of you in the USA) will generate a good number of related trojans, fake ticket shops, spam, online shop hacking, and DDoS attacks. There could already be SEO attacks months before the matches actually take place in June. South Africa's mobile phone networks will be a hotbed of activity during the games.

Security Thread Forecast 2010 Web search results leading to "location based attacks" using geo-location IP address techniques will increase. They will be localized in terms of language, current news events, and even regional banks that they target. There will be more attacks against online banks with tailor-made trojans. There will be more iphone attacks, possibly also proof-of-concept attacks on Android and Maemo. We could also see a 0-day vulnerability used in a large scale exploit. More snowshoe spamming. At least one large-scale DDoS attack against a nation-state is likely. We may see a large-scale internal attack against a target such as Google Wave. There will be more attacks on social networks such as Facebook, Twitter, Myspace, Linkedln, etc. Facebook has now reached 350 million accounts and its growth doesn't yet show signs of slowing. This concentration of people and data is a very tempting target for cyber-criminals to exploit.

Security Thread Forecast 2010 As Internet search engines and social networking sites work towards "social search results", we'll see black hat social search optimization attacks. As more people connect via mobile networks, the amount of traffic and activity such as banking, gaming, and social networking increases in step. With mobile banking and in-game purchasing gaining popularity, the financial motivation becomes stronger to spy on such transactions. Integrated social networking applications are also driving mobile phones users to be "always connected." Cyber-criminals will use social engineering to exploit this trend. Attacks related to online games will continue. Such sites and games are particularly popular in the Asia-Pacific region. Not enough focus is put on securing them and the problem will be further fueled by the fact that many users are younger and therefore more vulnerable to experienced cybercriminals. There will be significant data base compromises that lead to tailored attacks. Cyber-criminals now have the resources to analyze, plan, and carry out mass-targeted attacks.

TA 2008

TA 2009

TA 2010

Operation Aurora

Targeted attacks 2008

Targeted attacks 2009

Targeted attacks 2010

Caro-Conference 2010

Caro-Conference 2010

Statistiken der Hersteller 100.000 Einsendungen pro Tag 50.000 Einsendungen sind Malware 40.000 Unique Samples (80%) 5.500 neue Einträge 7.200 neue Einträge am 09.06.2010 1.600 generische Signaturen

Anzahl der Records in den Datenbanken 7000000 7000 6000000 6000 5000000 5000 4000000 4000 Anzahl Zunahme 3000000 3000 2000000 2000 1000000 1000 0 0 31.12.86 31.12.87 31.12.88 31.12.89 31.12.90 31.12.91 31.12.92 31.12.93 31.12.94 31.12.95 31.12.96 31.12.97 31.12.98 31.12.99 31.12.00 31.12.01 31.12.02 31.12.03 31.12.04 31.12.05 31.12.06 31.12.07 31.12.08 31.12.09 31.12.10

Entwicklung der AV-Technologie Angreifer Dateiinfektoren (Viren) Mutationen Codeverschränkung Verschlüsselung Würmer Trojaner Kombinationen Angriffe auf das Betriebssystem Angriffe auf Anwendungen Angriffe auf Plugins Abwehr Zeichenketten Metacode Stepping Entschlüsselung lokale Firewalls Sandboxen Heuristiken Windows Update?? Verhaltens-Überwachung

Cloud-basierte Erkennung

Cloud-basierte Erkennung DeepGuard 2.0 Realtime Protection Network Enabling fastest protection in the online world if unknown, automatic binary analysis and update of all data centers If automation can not decid, submit to Malware Analyst Malware Malware attempts to enter host Signature based scan reports as unknown Check cache for predefined action. If the file has been executed once earlier, the results are cached (entries in cache have a lifetime) DeepGuard 2.0 If Unknown, get status from Real-time Protection Network: Block known bad Allow known good Unknown, continue 2 Unknown 3 Signature-based detection 1 Allow or Block Allow or Block Allow or Block Allow or Block Real-time Protection Network 4 5 Network lookup Results Userdecision and sample DNS LOAD BALANCER DeepGuard 2.0 behavioral analysis: block bad behavior allow good behavior unkown, continue If unknown, request user s approval for program execution and permission for sample submission Report user s action and submit the sample (if permitted) back to Real-time Protection Network A M

epguard 2.0 altime Protection Network DeepGuard step by step abling fastest protection in the online world if unknown, automatic binary analysis and update of all data centers If automation can not dec submit to Malware Analy Malware If Unknown, get status from Real-time Protection Network: Block known bad Allow known good Unknown, continue Real-time Protection Network Network lookup DNS LOAD BALANCER A M lware attempts to enter host nature based scan reports as known DeepGuard 2.0 Signature-based detection 1 2 Allow or Block Unknown 3 Allow or Block 4 Allow or Block Allow or Block 5 Results Userdecisionand sample DeepGuard 2.0 behavioral analysis: block bad behavior allow good behavior unkown, continue If unknown, request user s approval for program execution and permission for sample submission Report user s action and submit the sample (if permitted) back to Real-time Protection Network

Vorteile der Cloud-basierten Erkennung Die Signatur-Dateien können durch generische Erkennungen wesentlich kleiner werden, unklare Ergebnisse können von der Cloud bestätigt werden. Dies führt zu besserer Performance und weniger Speicherverbrauch. Signaturen für Malware stehen jedem Anwender sofort nach der Analyse zur Verfügung. Er braucht nicht mehr auf das nächste Update zu warten. Produktionsausfälle durch False Positives in lokalen Applikationen werden eliminiert, da der Administrator die wichtigen Anwendungen selbst freigeben kann. FPs von Dateien, die aus dem Internet stammen, sind möglich und ärgerlich, aber stellen i.d.r. kein Problem dar. Rollbacks im Falle von False Positives waren schon immer problematisch, denn sie betreffen nicht nur die eine (falsche) Erkennung, sondern alle zuletzt zugefügten Signaturen. Über die Cloud können False Positives schneller behoben werden als durch ein Rollback der Signaturen. Das Sicherheitsniveau bleibt erhalten.

Fragen zur Cloud-basierten Erkennung Testmöglichkeit für Signaturen entfällt. Die Cloud verändert sich ständig, daher ist ein Test nicht möglich. Auch die verhaltensbasierten Methoden können nicht sinnvoll überprüft werden. Datenschutz? Welche Daten werden an den Hersteller übertragen? Sind diese zu schützen? Ist der Zugriff der Clients ins Internet möglich? Die Antworten der Cloud müssen den PC schnell und ungefiltert erreichen. Wie hoch ist die zusätzliche Netzwerkbelastung? 52 MB von 1.500 PCs in 24 h (0.05% der gesamten Netzlast am Gateway) Soll das Konzept der Cloud auch nach außen gelten? Die Cloud lebt von aber auch nur durch die Gemeinschaft! Ist der Betrieb eines internen Cloud-Servers sinnvoll? Nein. Durch den Betrieb eines internen Cloud-Servers entfällt die Aktualität. Weder neue noch korrigierte Erkennungen stehen zur Verfügung. Ein Proxy würde die Anfragen nur verzögern, denn 90% der Anfragen sind individuell.

www..de Matthias Jänichen Holzmühlenstraße 84 22041 Hamburg Tel.: 040 / 696 28 16-0 E-Mail: info@percomp.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback