Antivirus i molnet regn eller sol? Sebastian Zabala, Panda Security Sweden AB 1
ANTIVIRUS Är det: - Det bästa som finns? - Ett effektivt skydd? - Nödvändigt ont? - SKIT! (Det är OK att räcka upp handen ) MOLNTJÄNSTER Är de: - Svaren på alla IT-relaterade problem? - En intressant lösning? - Någonting som användarna läst om och bara MÅSTE ha? - En hype som kommer att dö ut snabbare än choklad-zingo? 2
DAGENS AGENDA Panda Security? Sebastian Zabala? Skadlig kod vad har hänt? Räcker det med AV? AV i molnet Vad är det? Skillnad på moln och moln Panda Securitys teknologiska vision Slutligen, varför AV i molnet? Sebastian Zabala, Panda Security Sweden AB DET HÄR ÄR PANDA SECURITY Historia 20 år av innovationer sedan starten 1990 Marknader IT-säkerhetsprodukter för företag och hemanvändare & Produkter Skydd via integrerade lösningar Skydd mot skadlig kod: virus, spam, phishing, trojaner och andra hot Vi finns här Huvudkontor i Spanien (Madrid & Bilbao) Dotterbolag i USA, Tyskland, Benelux, Frankrike, Österrike, England, Sverige, Finland, Kina & Japan Lokala kontor i över 56 länder & försäljning i över 200 länder 700 direktanställda och 1.500 totalt i världen I Sverige uppköpta av PSI i juli 2009. Tidigare var PCM International AB generalagent i 12 år sedan 1997. 3
VÅR SVENSKA SUPPORTAVDELNING Din trygghet är säkrad Vi erbjuder den bästa kundservicen, dygnet runt, varje dag, året om. Vår lokala svenska support finns tillgänglig under kontorstid. Det ger dig en trygghet och stort stöd under licensperioden. Vi offererar även gärna installationshjälp och support på plats. I SVERIGE JOBBAR VI MED: BRIS BRIS BRIS har valt att samarbeta med Panda Security då de tar ansvar, utanför den tekniska ramen, genom att påvisa vikten av föräldrars närvaro i barns vardag på Internet. Något som BRIS i kontakter med barn och ungdomar ser som oerhört viktigt och avgörande. Vill du som vuxen stötta BRIS verksamhet gå in på bris.se eller sätt in din gåva på PG 90 15 04-1. Tack! 4
SEBASTIAN ZABALA Vem är jag? 10 år hos PCM/Panda Security ganska exakt 1/3 av mitt liv Teknisk Produktchef/ Evangelist Hotbildanalys Tar fram förslag på nya funktioner Intern utbildning hos de olika Pandakontoren Krönika i TechWorld i varannat nummer Hur ser en virusskapare ut? 5
6
7
VARFÖR GÖRA ALLT SJÄLV? Köp färdigt istället... Källa: Pandalabs 8
9
DAGENS HOTBILD SUMMERING Skadlig kod är en affärsverksamhet och inte längre en hobby IT-säkerhet blir allt viktigare Hur har AV anpassat sig till detta skifte? 10
AV Signaturer AV DÅ OCH NU Hur har det utvecklats? Antivirus 1999: - Mestadels signaturer - Heuristik (DOS,skript) = AV VS. Antivirus 2009: - Signaturer - Genetisk Heuristik - Personlig brandvägg/ips - Beteendeanalys - Beteendeblockering - ANTI-ROOTKIT = HIPS 11
Problemet med signaturer DEN TRADITIONELLA METODEN Är uppochner... Top-down modellen Malware sample mottaget AV-labb Skapar signatur/regel Uppdateringstjänst Distribution av uppdatering till noderna PC DAT PC DAT PC DAT Källa: Herd Intelligence Will Reshape the Anti-malware Landscape. Yankee Group. 12
2000: 2 unika ex/dag 2006: 500 unika ex/dag 2007: 3000 unika ex/dag 2008: 22 000 unika ex/dag 2009: 50 000! unika ex/dag Källa: University of Michigan, 2008 13
Källa: University of Michigan, 2008 Proaktivt skydd lösningen? 14
BETEENDEANALYS Räddaren är nörden? INTELLIGENTA proaktiva teknologier tittar på vad processerna GÖR - inte hur de SER UT. HUR FUNGERAR ETT AV IDAG? 15
Problemet med beteendeanalys SÄKERHET KONTRA ANVÄNDARVÄNLIGHET Kan man ha kakan och äta den? Intelligent analys av processernas beteende kräver resurser (CPU, minne). 16
LÖSNING? Flytta ALLT till 17
VAD MENAS MED AV I MOLNET? Det kan innebära 2 saker... 1. Hanteringen av AV från molnet, mer känt som ASP/SaaS 2. AV-motor i molnet eller som jag benämner det: AV-engine-as-a-Service eller A-a-a-S ;-) S-a-a-S (hantering av AV från molnet) 18
HANTERING AV AV I MOLNET SaaS Komplexiteten och kostnaden att underhålla infrastrukturen bakom ett klientskydd. Infrastruktur Database Admin servers Console Admins Web server Repository servers SECURITY AS A SERVICE (SAAS) TEKNOLOGIER FÖRR NU INFRASTRUKTUR lokal hostad TOTAL COST OF OWNERSHIP hög låg KOMPLEXITET hög enkel TILLGÄNGLIGHET begränsad alltid tillgänglig SLUTSATS ETT ALLTID TILLGÄNGLIGT SKYDD MED LÅGA KOSTNADER 19
A(v)-a-a-S (AV-motor i molnet) SKILLNAD PÅ MOLN OCH MOLN Nej, allt är inte likadant! Många som har molnteknologi använder den som backup till det befintliga lokala skyddet, dvs. att om den lokala signaturen inte reagerar på programmet som analyseras så skickas den till molnet för analys, oftast en checksumma på själva filen, får den ett positivt svar där (dvs. ren ) så får programmet köras. Program Lokal signaturdatabas Molndatabas 20
PROBLEMET MED DENNA METOD Som att sätta läppstift på en gris! - Fortfarande reaktiv, dock tillgång till större databas - Löser resursproblemet endast hjälpligt - Utnyttjar inte potentialen att upptäcka nya hot och mitigera dem - Ökad risk för falska positiver (om multiscanner är huvudteknologin) För ett verkligt effektivt molnbaserad AV-motor så krävs det proaktiva och intelligenta analyser för att snappa upp de nya hot som ständigt dyker upp, man kan inte bara förlita sig på de vanliga manuella och halvautomatiska insamlingsmetoderna, man måste aktivt gå ut och leta efter ny skadlig kod för att kunna ge ett verkligt skydd. DEN ANDRA APPROACHEN TILL A-a-a-S Malware sample mottaget AV-labb Skapar signatur/regel Uppdateringstjänst Information om programmet och dess beteende/ egenskaper AV-labb Undantag/ Justeringar Moln Distribution av uppdatering till noderna Nytt program Query / Info till de andra noderna PC PC PC PC PC PC DAT DAT DAT DAT DAT DAT Top-down modell Bottom-up modell Källa: Herd Intelligence Will Reshape the Anti-malware Landscape. Yankee Group. 21
A(v)-a-a-S (The Panda Way) TEKNOLOGIER Infoinsamling Automatisk Processering TruPrevent Andra AV företag Honeypots Användare Online tjänster Automatiskt fil-klassificieringssystem Kunskapsbas (fil) 29M MW +30M GW Informationsleverans (fil) Sig-fil Online åtkomst 22
TEKNOLOGIER Infoinsamling Automatisk Processering Kunskapsbas (fil) TruPrevent Andra AV företag COLLECTIVE INTELLIGENCE Honeypots Användare Online Services tjänster Automatiskt skydd, i realtid Inga stora signaturfiler att ladda hem/lagra Minimal påverkan på klientens prestanda Informationsleverans (fil) Sig-fil Online åtkomst TEKNOLOGIER FÖRR i var PC INTELLIGENS NANO ARKITEKTUR i molnet NU hög resurskonsumtion Längre boottid lättare Snabbare boot UPPDATERING Stora, slöa Alltid uppdaterad SLUTSATS VÄLDIGT LÄTT OCH KRAFTFULL 23
Correlation Heuristics Emulation Clustered Grouping Över 50.000 nya filer importeras varje dag till Behavioral PandaLabs. Clustered Grafos Nya virus och skadlig kod De kommer från detekteras kunder, File Infector Sandboxing och blockeras remote konkurrenter, När honeypots, dator och som automatiskt är skyddad nästan av i realtid. CERT s, Panda skadliga stöter URL:er, på Filen en behöver ny fil som inte inte Runtime Packers Multi-scanner Installers skickas till onlinescanners detekteras som av t.ex. labbet lokala för signaturer, manuell analys och VirusTotal, heuristik Jotti eller mfl.. beteende-analys väntan på ett så svar. extraheras dess beteendemönster. är skyddade mot nya hot Kunder snabbare än med traditionella Det skickas till signaturuppdateringsmetoder. Pandas Collective Intelligence-kluster för analys: är processen är skadlig eller ofarlig? 47 Lite statistik om Pandas moln 24
DATABAS JUST NU 25 TB Storleken på C.I. databasen 48 miljoner Filer i databasen 56% Malware 23% Goodware 5% Suspicious 16% Inte ännu katalogiserad i genomsnitt (skadade filer, troligen goodware) 80 miljoner Filer analyserade av C.I. DAGLIG STATISTIK 61.000 Nya filer mottagna 50.000 Filer kategoriserade som malware 99.4% Filer hanterade automatiskt 52% Malware med livstid <24 tim 16 GB Ny information uppladdad till CI DB 150 GB Storleken på loggfilerna 165 miljoner Filer som förfrågas till CI-servrarna (2.000/sec) 25
DAGLIG SLUTANVÄNDARSTATISTIK 1.252 Filförfrågningar till C.I 127 KB Bandbredd per användare INTEGRITET Säkerhetsaspekten Vilken sorts information skickas upp? Är den typen av information verkligen hemlig? Går det att styra vilken information som skickas upp? Eftersom alla är olika här, FRÅGA! Jämför med andra tjänster som t.ex. Facebook, Gmail, Microsofts genuine advantage 26
VAD SKA MAN TÄNKA PÅ? Återigen, alla moln ser olika ut, FRÅGA! - Är det hantering eller motor som ligger i molnet? - Är det bara en remote databas? - Vilken information skickas upp? - Vad tjänar jag på att molnifiera mitt skydd? AV i molnet hype eller nödvändighet? 27
SANNINGENS ÖGONBLICK Vad tycker ni? S-a-a-S: -Perimetern är borta och ditt skydd måste anpassas till det - Ingen lokal backend-struktur krävs - Lägre TCO inga dolda kostnader - Alltid tillgänglig varsomhelst, närsomhelst A-a-a-S: -Just nu: 50.000 samples/dag (uppdatering var 1.7 sek krävs) - Lokalt proaktivt skydd kräver resurser - Tillgång till all kunskap i realtid - Alla analysresurser läggs i molnet istället för den lokala klienten TACK! Sebastian Zabala, Panda Security AB sebastian.zabala@se.pandasecurity.com 28