走近卡巴斯基(五)

释放双眼,带上耳机,听听看~!

难道这就是近期医院屡受攻击的原因?

最近一个月的时间,我们屡屡收到医院用户被攻击导致电脑大规模蓝屏或者无法连接到服务的情况出现。 我们的技术工程师在现在处理后,发现都是来自同一个攻击Intrusion.W32.MS17-010,我也专门写过一篇文章:《小心,一大波病毒来袭!!》,很多人问我一个问题


前     言


杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

慢慢的,大家会发现,杀毒还是要靠技术说话的。很多人问我:你说卡巴斯基好,到底好在哪? 这个问题还真不是三言两语能说清楚的,所以我整理了一些内容,希望大家能看完,或许就能从中找到答案。今天讲第五部分:

五、Kaspersky Security Network(卡巴斯基安全网络)

 KSN(卡巴斯基安全网络)就是俗称的卡巴斯基安全云。

KSN(卡巴斯基安全网络)是一个复杂的分布式系统,专门用来处理从世界各地加入KSN的用户中收集到的数据。它给每个合作伙伴或客户保证了对新威胁最快的响应速度,构成了卡巴高等级的保护。它是卡巴斯基产品中最重要的组件之一。

对于未知威胁和高风险威胁的保护体系

       根据卡巴斯基实验室的数据,每天大约有325,00个新的恶意文件被发现,每月向反钓鱼数据库新增钓鱼网站标识约113,500个。然而,网络犯罪在发展,数量和复杂程度都有所上升。根据卡巴斯基实验室的内部统计,用户每天遇到的70%威胁是已知的,而剩下30%是未知的和高度复杂的,这要求有一个附加的保护层。这也是为什么传统的基于病毒特征码检测的保护不够的原因。如今,所有的领先安全软件提供商都有混合保护–––––基于本机设备的保护和云技术。云技术也结合了传统保护,尽量弥补传统保护模式的缺点,可以全球检测威胁和快速收集新威胁的信息。云保护的三个主要好处是:

       •更高的检测率。

       •对威胁更少的响应时间。

       •最小化误报。

KSN的基本原则

  

       •KSN自动分析收集自世界各地的数据,再提供给用户数据,更好更快的检测威胁,不影响电脑性能。

       •信息来自同意加入KSN的用户,在安装时或安装后用户可以自己选择是否加入KSN。

       •KSN收集到的数据不是个人的隐私信息(按照大多数国家的法律的隐私判定标准),比如名字,联系方式以及其他。收集这种信息的依据在最终用户协议中(End-User License Agreements ),在http://support.kaspersky.com/可以看到。

       •卡巴斯基对收集到的标准的保护是符合现行法律安全要求的,也是行业内的最高标准。

       •用户设备到KSN的数据交换是全面加密的,不会受到中间人攻击。

KSN的工作流程

       KSN的工作机制包含了几个关键步骤,比如对用户计算机上的威胁的数据进行持续性的分析,包括分析威胁的地理分布情况。这些数据提供了保护好每一个终端(Endpoint)的对策。得益于服务器强大的计算分析能力,可以收集分析尝试感染的威胁的信息。

       判定一个程序是安全的需要综合考虑几个因素,包括供应商的数字签名,hash,对该资源的扫描,以及文件完整性。确认网站安全需要查看域名证书和网站内容。

       一旦一个程序或者网站被确认是合法安全的,会被添加到可信程序及网站列表里(白名单数据库)。如果一个程序或网站被定义为恶意,相关信息会被立即送到卡巴斯基紧急响应系统,所有用户安装的卡巴斯基都可以通过KSN,封锁这种威胁。

       创建上传文件的特征码到传统病毒数据库需要几小时,而使用KSN的用户,在每一次检测到的线上攻击后都会在几分钟内程序会收到处理此类威胁的措施。KSN既有特征码检测技术,也有启发保护,还带有完整的白名单以及应用程序控制,白名单会及时的更新。

       KSN另一个值得一提的功能是云辅助的反垃圾邮件技术,Anti-Spam组件使用来自云端的信息检测并封锁未经同意传入的消息,这样用户不需要安装本地的反垃圾邮件筛查器了。

      下面展示的是卡巴斯基程序和KSN交互的基本原理,这种交互包含着四个不同的阶段。

      1.有关检测到的威胁和可疑的活动的信息被送到卡巴的云基础设施(一个大型服务器)。如果卡巴斯基的病毒库不包含相关信息(比如用启发技术检测到的威胁),数据会自动交给能够分析大多数线上威胁的分析系统,分析设备利用了卡巴强大的资源,不必在用户的设备上消耗资源分析。如果分析设备不能自动做出判断,会交给卡巴斯基实验室的专家人工分析。

      2.如果代码或者网站被认定是恶意,将会立即添加到紧急检测系统数据库,在几分钟内,所有的用户都可检测到。而合法的程序会被加入到白名单数据库。

      3.在对可疑文件和网站进行深入分析后,分析系统或者分析专家将会认定危险的程度,添加到正式的病毒库,被卡巴斯基保护的设备都可以有规律地收到更新。      

四部门关于发布《云计算服务安全评估办法》的公告

发布时间:2019-07-22   来源:中华人民共和国工业和信息化部网络安全管理局   国家互联网信息办公室 国家发展和改革委员会 工业和信息化部 财政部 关于发布《云计算服务安全评估办法》的公告 2019年第2号   为提高党政机关、关键信息基础设施运营者采购使用

      4.当用户遇到一个已知的威胁(不在数据库),程序会向KSN发出请求,并会马上收到判决信息。这确保了保护的高水平。

消费者的KSN

     除了云技术来完善防御体系有一定好处,KSN还能给用户提供全局威胁统计数据,比如受保护的用户,封锁的恶意对象,处理的合法数据等等。

       KSN除了以上功能,还可以让用户在KSN上查询可执行文件的信誉。一旦查询,服务器会返回一个判定信息(是否合法),还会提供文件首次出现的时间,在各个国家或地区受欢迎的程度以及其他数据(信誉技术被称作“卡巴斯基文件顾问”)。这样用户在启动未知程序时,这可作为一个初步的检查,不过用户启动未知程序时,卡巴斯基会自动地向服务器请求这些信息。

针对企业的KSN


        KSN也专门为企业用户提供了很多功能。首先,云协助保护技术被用于将合法程序加入白名单(依靠KSN的数据)。已知的合法文件会被自动归类,比如游戏,商业软件等。使用这些分类,系统的管理员可以根据他们的安全策略,快速建立并应用对各软件的规则。应用程序白名单数据是由世界领先的400多家软件开发商提供的。

        Kaspersky Security Center(卡巴斯基安全中心)管理解决方案可以控制每一个端点KSN的保护。管理员可以选择关闭终端上(Kaspersky Endpoint Security)KSN的防护,也可以将其打开。管理端可以控制每一个端点是否将数据送至KSN以供分析。为了减少带宽占用,一台本地服务器将会缓存KSN的数据给其他终端使用。IT部门也可以追踪与KSN的联系。

KSN的优势

         如今,KSN被数百万台计算机使用,提供了详细的全球威胁演变和蔓延的信息(来源是何处,在一定时间里发生的感染事件等)。全球分布式的威胁追踪系统确保了能够快速响应新威胁,不管威胁的源在哪里目标所在位置。KSN帮助建造了一个主动防护的体系,在新威胁广泛传播和给设备造成巨大破坏之前,KSN会帮助识别和封锁它们。这种防护体系十分重要,确保网络的稳定和持续运行,保护企业的业务。

采用KSV技术的产品:

     家庭用户:KFA/KAV/KIS/KTS/卡巴斯基安卓安全软件/卡巴斯基WP及iOS安全浏览

     企业用户:KES(端点安全解决方案)/Linux 邮件服务器安全/KSOS(中小企业解决方案)



未完待续……

转发是一种美德,如果你觉得不错请转发让更多人看到。

您的关注就是我的动力,扫描下面二维码关注“大兵说安全”

本文源自微信公众号:大兵说安全

如何构建有助于提高IT安全性的网络架构

外围的安全性不再重要 多年前,网络安全实践模仿了中世纪的领主,他们依靠坚固的城堡墙来保护他的内在王国。城堡防御设计围绕固定防渗墙,而攻击者依靠他们突破围墙的能力,他们的士兵将通过外露的墙壁进入。以类似的方式,企业依靠强大的防火墙设备建立周边

人已赞赏
安全工具

走近卡巴斯基(二)

2019-10-14 17:29:59

安全工具

难道这就是近期医院屡受攻击的原因?

2019-10-14 17:30:04

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索