11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
•Als PPT, PDF herunterladen•
0 gefällt mir•434 views
研究主題:2010防毒新趨勢
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Andere mochten auch
Andere mochten auch (19)
Ähnlich wie 11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
Ähnlich wie 11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢 (20)
Mehr von T客邦
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
- 1. 雲端截毒、全球第一 !! PC-cillin 2010 打造安全無虞的數位生活 Justin Wu | 技術行銷部
- 2. Threats
- 4. Threats - 惡意程式 服務商品化 惡意程式服務類型 訂購價格 廣告間諜軟體程式 美 國 $ 0.3 加拿大 $0.2 英 國 $ 0.1 其它 $ 0.01 惡意程式組合包 (基本) $1,000 - $2,000 惡意程式組合包 ( 升级服务) $20/ 次 漏洞挖掘租赁服 務 ( 1 小 時 ) $0.99 漏洞挖掘租赁服 務 ( 2.5 小 時 ) $1.60 漏洞挖掘租赁服 務 ( 5 小 時 ) $4 無法被偵測的竊取型木馬 $80 DDOS 攻 擊 $100/ 天 10,000 台 僵屍電腦控制器 $1,000 竊取銀行帳號木馬 $50 發送惡意郵件服務 (100 萬封 / 次 ) $8
- 5. Threats - 試用版、基本版、高級版…
- 6. Hacking 個資竊取 帳號竊盜 SPAM 網頁掛馬 DDOS 蠕蟲 間諜軟體 VIRUS 病毒 Key logger WORM ZERO DAY 疆屍電腦 USB VIRUS 一切都是為了 錢 !!
- 8. 名字,在 Internet 會發生甚麼事 ??
- 9. 名字,在 Internet 會發生甚麼事 ??
- 12. Smart Protection Network Community Intelligence Correlation Infrastructure Collaboration Network
- 13. Smart Protection Network 全貌 Threat Intelligence – Trend Lab Correlation Infrastructure Community Intelligence Collaboration Network
- 14. Community Intelligence ( 社群智慧 ) Community Intelligence Correlation Infrastructure Collaboration Network
- 15. Community Intelligence Threat Intelligence – Trend Lab Correlation Infrastructure Community Intelligence Collaboration Network
- 18. Correlation Infrastructure ( 關聯分析基礎 ) Community Intelligence Correlation Infrastructure Collaboration Network
- 19. Correlation Infrastructure Threat Intelligence – Trend Lab Collaboration Network Community Intelligence Correlation Infrastructure
- 26. Collaboration Network ( 協同合作網路 ) Community Intelligence Correlation Infrastructure Collaboration Network
- 27. Collaboration Network Threat Intelligence – Trend Lab Correlation Infrastructure Community Intelligence Collaboration Network
- 29. Collaboration Network Demo TROJ_CHOST.E
- 30. 雲端截毒比傳統防毒方式節省 30%~50% 頻寬
- 31. 趨勢科技 Smart Protection Network 服務處理量
- 32. 趨勢科技 Smart Protection Network 投入成本 4 年 研發時間 34,000 台 全球伺服器 1,000 萬美金 每年維護費用 3 億美金 投入成本 1,000 位 專職資安專家 24/7 全球多個資料中心
- 33. PC - cillin 2010
- 34. 封鎖惡意網頁 PC-cillin 2010 主動封鎖惡意網址 預先攔截病毒
- 38. 防範外送的機密資料
- 43. NSS Report
- 44. Wild List 不是評估防毒軟體的唯一標準 ( 富比氏雜誌 ) 來源: http://www.forbes.com/2009/11/03/security-nss-labs-technology-cio-network-wildlist.html
- 51. 需要新的方法來測試產品 目標 聯結與附件 網站 4 網際網路 可移除式媒介 “ 現今的防毒軟體迫切需要新的測試標準 . 主流的測試思維 , 即 掃瞄檔案的目錄 , 專注在舊式已知的威脅上 , 無法顯示在未受控制環境中的產品效能 .” Williamson & Gorelik (2007 ) 檔案移轉 電子郵件 防病毒 THREATS THREATS THREATS 垃圾郵件
- 54. 計分方法提議— 整體防護指標 暴露層計分 + 感染層計分 7 網際網路 目標 INTERNET 電子郵件 網站 可移除式媒介 檔案移轉 = 整體防護指標 電子郵件 電子郵件 網站 電子郵件 檔案移轉 網站 電子郵件 可移除式媒介 檔案移轉 網站 電子郵件 可移除式媒介 檔案移轉 網站 電子郵件 目標 可移除式媒介 檔案移轉 網站 電子郵件 目標 可移除式媒介 檔案移轉 網站 電子郵件 檔案信譽 網路 信譽 威脅 威脅 垃圾郵件 威脅 S 垃圾郵件 垃圾郵件 垃圾郵件 垃圾郵件 垃圾郵件 垃圾郵件 垃圾郵件 垃圾郵件
- 57. NSS Labs 消費者產品測試報告結果 來源 : NSS Labs Consumer Report, 消費者產品測試報告, 2009年9月
- 58. NSS Labs 企業產品測試報告結果 來源 : NSS Labs Corporate Report 企業產品測試報告, 2009年9月
- 59. 主動式下載防護方面, 趨勢科技 的攔截率 (91%) 大幅超越排名第二和第三的競爭對手
- 60. 防毒軟體在任何時間點 所能提供的防護能力結果 使用者平日瀏覽各種網站,而且可能隨時在變。因此,不論在任何時間,惡意程式 URL 的名單都不斷在變,所以,能否持續攔截這些惡意網站,是產品成效的一項關鍵指標。 因此, NSS Labs 每 8 小時就測試一組新的 URL 。下表與下圖顯示整個測試期間攔截能力的重複測試結果。每一個分數代表一個時間點的防護率。
- 61. 偵測 惡意 URL 的反應時間 : 趨勢科技 客戶 可以 獲得 最快速的防護
- 63. 數據總整理 來源 : NSS Labs Corporate Report, September 2009 44.7 29.1% 41.7% 62.5% Sophos 49.3 31.6% 62.6% 67.1% AVG 40.2 29.5% 48% 67.5% ESET 44.1 30.4% 44.3% 75.2% Panda 41.0 35.5% 51.4% 80.7% F ‐ Secure 42.8 34.7% 57.2% 81.6% Norman 51.4 49.3% 88.8% 82.2% McAfee 88.8 36.1% 68.9% 86.3% Symantec 48.9 39.3% 67.6% 89.0% Kaspersky 36.3 63.8% 91% 93.6% 趨勢科技 阻止新增惡意 URL 用時(小時) 零時阻止率 6 天累計阻止率 總阻止率 產品
- 65. Thanks a lot
Hinweis der Redaktion
- 社群智慧 協同合作網路 關聯分析建設
- 社群智慧 關聯分析建設 協同合作網路
- 病毒庫不是資訊安全長 CISOs - the Wild List isn't 在本週富比士期刊的一本文章中( Security: Where The Wild Things Aren't - Forbes.com ),分析師 Charlotte Dunlap 為資訊安全長( Chief Information Security Officer ,簡稱 CISO )條列出在評估防惡意軟體產品時應該要問的問題。 長久以來大家對‘病毒庫( wild list )’及其意義倒底有多深遠,普遍存有錯誤的概念。如果購買防毒產品,是因為這些產品是被使用病毒庫做為測試方式的機構所認證的,那麼你參考的並不是最精確有用的標準。 Wild List 病毒庫: 囊括有數百種病毒樣本(截至 2009 年 8 月為止共計有 922 種) 只有病毒,和幾種破壞程式( Koofbace 和 Confiker ,和它們的 10 來種變化版),在兩個多月前才剛新加入。沒有 rootkit , trojan 木馬, downloader ,或 spyware 間諜軟體!注意: Trojan 木馬和 downloaders 被認為是最普遍的初期傳播者( exploits 駭客攻擊程式則又另當別論) 所囊括的病毒受至少兩位防毒軟體研究人員認同,而這些人員幾乎全數皆是為防毒軟體公司工作 在得到認同之前,威脅通常已出現 2 到 3 的月了 在過去每個月只有上百隻病毒時這是很好的方法。但現今的數量和複雜程度已遠超過病毒庫能力所逮,其重要性相對也逐漸減少。 我們認為, Wild List 病毒庫不能代表網際網路中的威脅,其定義範圍是依據分享所得且定義狹窄,而極為偏頗不公。你還要使用這種狹礙定義測試單位所認證的依據來做購買決定嗎?( ICSA Lab , VB100 , West Coast Labs ) 作者: Rick Moy 貼文日期: 11/06/2009 http://nsslabs.blogspot.com/2009/11/cisos-wild-list-isnt.html
- 新惡意軟體大量的散發代表以特徵為主的掃瞄技術將很難跟上腳步 . 今日多數的偵測測試皆依據病毒碼特徵掃瞄技術 . 測試所使用的檔案通常在測試開始前就已經是過期了 . 傳統的解決方案需要將特徵佈署到端點 , 而將產生防護前的前置時間拉長 . 再加上多數的網路最犯罪份子可利用相同的測試技術 , 來確保惡意檔案不會被偵測出 , 此些事實顯示多數檔案掃瞄在測試中已不適用 .
- Trend Micro 趨勢科技的 TrendLabs 對 2008 年所有威脅進行分析後 , 統計出 92% 的威脅皆來自網際網路 . 只有 8% 是由移動式媒介所造成的結果 . 結論是如果仰賴等候檔案被複製到電腦中的解決方案 ( 如偵測率測試所進行的 ), 是無法提供最佳的防護 . 解決方案必須要具備從威脅源頭就予以防堵的能力 , 而最大的來源就是網際網路
- 因為多數的威脅來自網際網路 , 威脅路徑應被包括在任何新型的測試方式中
- 就如供應商需要研發出新的方法來保護客戶 , 使用的技術也應被包括在測試當中 . 雲端技術的防護網目前被排拒在傳統的防毒 / 防惡意軟體測試方法外 .Trend Micro Smart Protection Network 趨勢科技主動式雲端截毒技術使用的雲端信譽技術 , 從源頭處防堵威脅 , 因此應受任何新式測試方法加入測試 .
- Trend Micro 趨勢科技設計出這套新的測試方法使用兩層級的防護 , 感染層與傳統的偵測率測試類似 , 但另外的暴露層則防堵來自或接受有能力傳遞惡意軟體之源頭的檔案 . 同時確保額外層級在新技術可以被加入到新測試時也可另外再加入
- 提議的計分方法讓兩個層級重要性相等 , 而不致於對欠缺任一層級的供應商造成妨礙 . 整體防護指標將兩層級的得分匯總成整體防護分數
- 下載時捕獲指產品能防堵 URL, 或可在下載過程中偵測到檔案 . 執行時捕獲是指如果檔案通過了第一層 ( 下載時捕獲 ) 並安裝到硬碟中 . 檔案會被執行以決定解決方案是否能偵測 / 防堵該檔案的執行 . 平均防堵時間指的是在測試回合中未能防堵 / 偵測到的 URL 或檔暗 , 之後平均要花多久的時間才能防堵到 . 惡意軟體 URL 回應長條圖顯示的是每天防堵到的 URL 百分比 , 包括了舊 URL ( 延續使用的 ) 和當入加入的新 URL.
- 為什麼每個供應商的消費者產品和企業產品測試結果會有所不同 ? 供應商通常會將不同的技術以不同的比例整合到產品中 . 因此不同的產品可能因所使用的技術而具有更多或更少的防堵能力 . 供應商同時也會將消費者產品和企業產品依客戶的需求做不同的設定 . Trend Micro 趨勢科技最大的不同點在於“執行時捕獲”層面 , 其 OfficeScan 套裝組的表現較 TIS 弱 . 這是因為 OfficeScan 並不支援以行為為主的掃瞄技術 , 而 TIS 支援該技術 . 這部份將會加入 Service Pack 1 中提供給 OfficeScan 10 最理想情況,當然是在惡意程式還沒完全下載到用戶端電腦時就能偵測並予以攔截。在這項主動式下載防護方面, Trend Micro 的攔截率 (91%) 大幅超越排名第二和第三的兩位競爭對手: McAfee (79.8%) , Kaspersky (78.5%) 。 如果不幸讓惡意程式下載得逞,那麼至少要在惡意程式執行的時候予以攔截。這一方面的工作較為困難,因為惡意程式 有許多方法可以躲避偵測。下表中的「執行階段攔截」一欄,最後會與下載階段攔截一欄加總。 Norton 在執行階段的 攔截率達到 31% ,是目前所見最高的,而該產品也因此能夠排名第三。
- 最理想情況,當然是在惡意程式還沒完全下載到用戶端電腦時就能偵測並予以攔截。在這項主動式下載防護方面, Trend Micro 的攔截率 (91%) 大幅超越排名第二和第三的兩位競爭對手: McAfee (79.8%) , Kaspersky (78.5%) 。 如果不幸讓惡意程式下載得逞,那麼至少要在惡意程式執行的時候予以攔截。這一方面的工作較為困難,因為惡意程式 有許多方法可以躲避偵測。下表中的「執行階段攔截」一欄,最後會與下載階段攔截一欄加總。 Norton 在執行階段的 攔截率達到 31% ,是目前所見最高的,而該產品也因此能夠排名第三。
- ,平均防護率與非重複 URL 的測試結果會有些許不同,原因有幾個。首先,這項資料包含單一 URL 的多次測試。因此,能夠越早攔截,分數就越高。如果一直無法攔截,分數就會降低。因此,非重複 URL 的測試分數會隨時間而加乘,進而決定最後的防護率。這項測試所要探討的問題是:「防毒產品在任何時間點所能提供的防護能力如何?」
- 產品累積的防護率是列在「 0 小時」一欄,接著分別是加入惡意程式樣本之後前 5 天的數據。 URL 測試期間的最終防護率顯示在「總分」一欄。一般來說,產品在 0 小時就至少具備總防護率的一半 , 分數較好的產品在 0 小時就有較高的防護率。 趨勢科技 的防護率特別突出,領先第二名有 21% 。 惡意網站存在時間的長短會造成現實中和測試中的資料有所不同。傳統測試不會對惡意軟體的防護重新進行採樣,而這恰恰是 NSS Labs 測試的一個主要特色。 McAfee 通過累積捕獲了大量存在時間很短的惡意網站。儘管 Kaspersky 最初遺漏了很多長時間存在的網站,但是 McAfee 在整個測試過程中都沒有檢測到這些網站。平均的阻止時間僅與重複測試中被持續阻止的網站有關。趨勢科技不僅捕獲了存在時間短的網站,也捕獲了存在時間長的網站。 根據最後的結果顯示,防毒產品對抗社交工程惡意程式的能力差異頗大。 根據最後的結果顯示,防毒產品對抗社交工程惡意程式的能力差異頗大。 Trend Micro 與 McAfe 的惡意程式防護反應時間遠勝其他防毒產品。這兩項產品在下圖中很明顯地領先其他產品有一段距離。進一步的資料分析顯示,所有其他的防毒產品大約在第 8 天的時候開始從 50% 左右的偵測率隨後趕上,這顯示客戶獲得惡意程 式防護的早晚,視廠商的作業時間而定。 一步的資料分析顯示,所有其他的防毒產品大約在第 8 天的時候開始從 50% 左右的偵測率隨後趕上,這顯示客戶獲得惡意程式防護的早晚,視廠商的作業時間而定。
- 阻止网站的平均用时(如果是完全阻止)为 48.8 小时。由此可见,趋势科技、 Eset 、 F-Secure 、 Norman 、 Panda 和 Sophos 在添加新的阻止网站方面高于平均水平。
- 测试数据和分析按产品进行了汇总。 NSS Labs 的评估稍微侧重于延时防护,因为这可以最真实地反映现实中长时间使用的情况。