1 Automated malware audit service Audits de sécurité automatiques

2 Situation mondiale du marché de la sécurité Un nouveau paradigme de sécurité Malware Radar Malware Radar - Business model

3 Dernières nouvelles

4 Situation du marché Différence entre la perception des utilisateurs et la réalité. Moins de menaces Menaces maitrisées par les spécialistes antivirus Tous les antivirus détectent les mêmes menaces Nimporte quelle solution antivirus me protège En une année plus de menaces détectées que durant les 15 dernières années Fabricants de solutions antivirus surchargés Nous détectons plus (et nous pouvons le prouver) Perception de lutilisateurRéalité

5 Dynamique malware Hackers à la poursuite des $$$ Plus de malware silencieux Beaucoup plus de malware Laboratoires AV narrivent pas à suivre Pas dalertes ni épidémies Utilisateurs sans protection suffisante Utilisateurs ne savent pas quils ne sont pas protégés correctement Hackers atteignent leur but

6 #1 $ Motivation: notoriétéMotivation: argent Avant (jusquen 2004)Aujourdhui Epidémies massivesEpidémies massives Propagation de plus en plus rapide Large couverture médiatique Epidémies silencieusesEpidémies silencieuses Malwares beaucoup plus sophistiqués et difficile à combattre En parallel, présence de beaucoup plus de malware quauparavent Dynamique malware

7 DDynamique malware Nouveaux malwares détectés chaque année

8 Dynamique malware Augmentation alarmante de la criminalité sur Internet Nouvelles variantes de bots detectés Croissance des malwares se servant des techniques furtives

9 Malware Business models :: $350.00/semaine - $1,000/mois (USD) :: Genre de service: Exclusive :: Toujours online: 5, ,000 :: Mise à jours : tous les 10 minutes Herder Traders Affiliates Web mafia Botnets DDoSPhishingSpyware Malware Launchpad Victimes 1) Botnets Spam

10 2) Attaques ciblées Malware Business models 2. Mise sous contrat denquêteurs privés 3. Les enquêteurs engagent des hacker, pour créer des chevaux de Troie 1. Groupe de sociétés, cherchant à obtenir des informations sur la concurrence 4. Les hacker trouvent le moyen pour infiltrer les chevaux de Troie sur les ordinateurs de la direction des sociétés en question. Ils restent cachés pendant des semaines voire mois dérobant toutes sortes dinformations confidentielles. Un exemple: cas apparu en Israel en 2005

11 La pointe de liceberg? Malware Business models 2) Attaques ciblées Prognostiques Gartner Jusquà fin 2007, 75% des entreprises seront infectées par des malwares ciblés, indicibles, et avec des motivations financières, en contournant les périmètres de sécurité traditionnels.

12 Que pouvons-nous faire? Et les utilisateurs ne sen appercoivent pas... Hackers professionnels Business models finançant les hackers Malware plus sophistiqué et difficile à combattre Utilisation de techniques furtives pour rester inapperçu Hackers créent beaucoup plus de malware Laboratoirs sont saturés. Impossibilité danalyser tous les malware détectés

13 Un nouveau paradigm de sécurité Malware Radar Malware Radar - Business model Sommaire

14 Evolution Boot virus Virus MS DOS Infections de fichiers Premiers abus Macro virus: Abus Vers Attaques immédiates Spyware Adware Vers Chevaux de Troie Techniques furtives Bots Chevaux de Troie Rootkits Beaucoup TROP de malware ? Epidemies Massives Epidemies Massives Epidemies Massives 80s Début années 90 Fin années – aujourdhui Nouveaux fichiers reçus quotidiennement __ 300 __ 10 __ 100 __ 1.500

15 Les solutions de sécurité daujourdhui (PIPS) sont essentielles mais plus suffisantes: Les solutions de sécurité daujourdhui (PIPS) sont limitées –Elles ne détectent pas tous les malwares en circulation Les laboratoires antivirus narrivent pas à suivre Une grande partie des malwares narrivent même pas aux laboratoires –Elles peuvent être desactivées, dépassées, etc. Une solution traditionnelle ne suffit pas

16 Avant: modèle traditionnel 1. Laboratories reçoivent les fichiers de clients et dautres sources. 2. Analyses manuelles. La capacité de traitement est limitée. 3. Les fichiers signatures envoyés aux clients sont limités. => protection limitée des utilisateurs.

17 Avant: modèle traditionnel 3000 malware samples par jour Traitement manuel; env. 3 heures par sample 9000 heures de travail par jour 1125 Technicien

18 Maintenant: Collective Intelligence 1) Les données suspicieux arrivent de différentes sources. 2) Traitement automatique des données. Le système analyse et classifie automatiquement des milliers de nouveaux fichiers, reçu quotidiennement. Un système expert fait la correlation entre les données reçues de la communauté et la base de données des connaissances malware extensible de PandaLabs. 3) Le savoir est mise à disposition des utilisateurs.

19 95% des malware samples sont analysés automatiquement et classifiés en quelques secondes! Collective Intelligence

20 Comment appliquer Collective Intelligence

21 Collective Intelligence Exécution périodique dun malware audit. En complément aux solutions de sécurité traditionnelles (PIPS). –En plus de la Collective Intelligence, Malware Radar offre dautres avantages: Détecte plus de malwares inconnus (sensitive heuristics) Contrôle lactivation et lactualité de la protection en place Détecte des malwares que dautres solutions de sécurité ne peuvent identifier (p.ex. rootkits)

22 Collective Intelligence Nous allons intégrer Collective Intelligence dans tous les produits Panda dans un avenir proche.

23 Un nouveau paradigme Un SERVICE daudits périodiques de tous le réseau dentreprise Nouvelle approche: Collective Intelligence Scan et désinfection: on demand Pas besoin de prendre des décisions en temps réel Scan plus exhaustive possible, en utilisant des techniques heuristiques plus aigues, détectant le malware caché, etc. Online service: ne nécessite pas dinstallation Logiciel toujours à jour Détection de tous les malwares, inidentifiables par un PIPS (tel malware caché, malware ciblée, malware critique) Détection de défauts de sécurité Nous proposons un nouveau modèle de sécurité: + Présence dun PIPS dans chaque PC Approche de détection traditionnelle Protection permanente Décisions en temps réel En local: Installation nécessaire, mise à jours des logiciels Détection de malware connu et inconnu Problème opérationnel possible lors des mises à jours, installations, etc.

24 Le nouveau paradigme Boot virus Virus MS DOS Infections de fichiers Premiers abus Macro virus: Abus Vers Attaques immédiates Spyware Adware Vers Chevaux de Troie Techniques furtives Bots Chevaux de Troie Rootkits Beaucoup TROP de malware Epidemies Massives Epidemies Massives Epidemies Massives 80s Début années 90 Fin années – aujourdhui Nouveaux fichiers reçus quotidiennement __ 300 __ 10 __ 100 __ 1.500

25 Malware Radar Malware Radar - Business model Sommaire

26 Que veut dire Malware Radar? Il sagit dun service daudit automatique de tous le réseau dentreprise On demand Il peut être exécuté en local ou remote Aucune installation locale nécessaire Aucune désinstallation de logiciel de sécurité existant nécessaire

27 Que veut dire Malware Radar? Il est destiné à chercher et trouver: 1.Toutes sortes de malwares présents dans le réseau Malwares que des solutions de sécurité traditionnelles ne peuvent détecter (malware hautement critique ou ciblé) actif ou latent, connu ou inconnu 2.Défauts de sécurité Protection: Contrôle du statut de la sécurité de protection Vulnérabilités critiques: Identification de vulnérabilités critiques exploitables par les malwares (trous de sécurité) Et la possibilité déliminer les malware détectés (on demand)

28 Un logiciel – une prestation de service Pas de hardware spécifique Pas dinstallation de logiciel, un web browser suffit. Les mises à jours sont immédiates –Dernières technologies – fichiers de signature toujours à jours –Dernière version du produit, pas de no worrys about upgrades Lintelligence et lapplication se trouvent chez Panda –Coût minimal pour le client

29 Toutes ces sociétés se croyaient protégées

30 Comment ça fonctionne? Monitoring en temps réel Audit de votre réseau Résumé en ligne Rapports détaillés et desinfection Enregistrement Fichiers suspicieux envoyés à PandaLabs

31 1.Distribution dun fichier executable –Via nimporte quelle méthode de distribution standard (login scripts, SMS, Tivoli, etc.) –Ou outil de distribution de Malware Radar Comment ça fonctionne?

32 2.Audit du réseau (Poste de travail / File Servers) Durée : 5 – 10 Min (sans distribution) Audits: Elements critiques du système: Mémoire, répertoires principaux et registries Objectives: Identification des malwares actifs sur le réseau Comment ça fonctionne?

33 2.Audit du réseau (Poste de travail / File Servers) Durée: ca. 2h (sans distribution) Audits: Alle Hard-Disks Objective: Identification des malwares actifs ou latents Comment ça fonctionne?

34 2.Audit du réseau (Poste de travail / File Servers) –Monitoring centralisé du processus en ligne –Elimination automatique du fichier.exe –Complètement transparent aux utilisateurs du réseau Lutilisateur ne sapercoit pas de laudit en exécution sur son PC Comment ça fonctionne?

35 2.Audit du réseau (Poste de travail / File Servers) –Monitoring centralisé du processus en ligne –Elimination automatique du fichier.exe –Complètement transparent aux utilisateurs du réseau Lutilisateur ne sapercoit pas de laudit en exécution sur son PC Comment ça fonctionne ? TypeAuditsObjective Rapide (5 à 10 min. sans distribution) Elements critiques du système: Mémoire, répertoires principaux et registries Identification des malwares actifs sur le réseau Complet (env. 2h sans distribution) Tous les disques dursIdentification des malwares actifs ou latents

36 Rapport Executive La situation du réseau et le niveau des risques de lorganisation Statistiques PCs les plus infectés Recommendations Rapport Technique Chaque ordinateur en détail: Malware détecté, description, effets, chemin Niveau de sécurité: – Etat de protection – Existance de vulnérabilités Rapport de nettoyage Malware neutralisé, lendroit et le résultat du nettoyage 3. Quobtient le client final: Rapports en ligne Rapports en format.pdf exportable vers.xml Comment fonctionne Malware Radar ?

37 Localise et nettoie les malwares non identifiés par solution AV actuelle Localise des danger que le système de protection installé na pas pu identifier Option déliminer les malwares détectés Permet de réagir dans le cas dune épidémie Identification précise des malwares présents: combien et où Identification exacte des malwares existants, la quantité et ou ils se trouvent Detection des vulnérabilités critiques en liens avec les malwares Dépenser moins de temps et defforts pour le contrôle des menaces dans votre réseau Aucune installation – non-résident La protection actuelle ne doit pas être désinstallée du réseau Evaluation rapide et facile de létat du réseau Audit rapide de toutes les places de travail et file servers Administration centralisée Economie en temps et travail nécessaire de la part de ladministrateur Rester un pas en avant des nouvelles menaces Peut être utilisé pour la réorientation de stratégies de sécurité en ligne avec les résultats des rapports Analyse de létat de protection Contrôle lefficacité de la protection installée Avantages

38 Differences entre MR et autres produits Audits en ligneProduits AV réseaux Panda Malware Radar Pour réseaux Uniquement pour PCs Genre de produit Pour réseaux Detection Technologie Collective Intelligence High Heuristic Analysis Détection traditionnelle Heuristic Analysis? Genre de Protéction Sur demande Sur demande & par access Menaces identifiés Malware, faille de Protection, vulnerabilités Malware Livraisons Résumé en ligne, Rapport Executive, Rappoert technique, Rapport de nettoyage Résumé en ligneRésumé hors ligne Impact sur le réseau Aucune installation, pas dimpact sur lutilisateur Pas dinstallation, pas désigné aux réseaux Installation nécessaire, audit a un impact sur lutilisateur Détection traditionnelle Heuristic Analysis?

39 Malware Radar Business model Sommaire

40 Modèles de vente possibles: Service aux clients finaux Malware audit service (1-run ou or récurrent) EXTRA sécurité, en bundle avec dautres prestations dans le portefeuille Audits conformes aux lois de protection des données, Sarbanes Oxley ou certification des processus, installations, etc. Solution pour clients finaux Revente des produits aux clients finaux Outil de pré-vente Attirer des nouveaux clients potentiels Audit du réseau pour la détection de problèmes Présentation de rapports aux clients potentiels Offre dun service personnalisé pour la résolution des problèmes identifiés Evaluation interne de services outsourcing Contrôle de qualité des services outsourcing proposés aux clients finaux Malware Radar Business model

41 Modèles de vente possibles: Service aux clients finaux Malware audit service (1-run ou or récurrent) EXTRA sécurité, en bundle avec dautres prestations dans le portefeuille Audits conformes aux lois de protection des données, Sarbanes Oxley ou certification des processus, installations, etc.

42 Modèles de vente possibles: Solution pour clients finaux Revente des produits aux clients finaux

43 Modèles de vente possibles: Outil de pré-vente Attirer des nouveaux clients potentiels Audit du réseau pour la détection de problèmes Présentation de rapports aux clients potentiels Offre dun service personnalisé pour la résolution des problèmes identifiés

44 Modèles de vente possibles: Evaluation interne de services outsourcing Contrôle de qualité des services outsourcing proposés aux clients finaux

45 One-Run Audit Version 1-RUN AUDIT Sans nettoyageAvec nettoyage Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service Réalisation dun audit dune société selon le nombre de licences sous contrat à utilisation unique Administration Une console (multi-client administration)

46 Subscription Version Souscription Rapport Executif et Technique Nettoyage Utilisation Malware Radar pour fournir un service Exécution dun nombre illimité daudits pour une société pour 1, 2 ou 3 ans, selon le nombre de licences contractés Administration 1 souscription par client final Chaque client final doit être enregistré (web service)

47 Malware Radar en cinq minutes… –Audit en ligne pour réseaux dentreprises avec consôle admin –On demand –Deuxième opinion –Pas dinstallation locale –Compatible avec toute solution antivirus déjà installée –Rapports détaillés et outils de nettoyage

48 Malware Radar en cinq minutes… –Détecte plus de 1 mio. de malwares, grâce à la technologie Collective Intelligence –Collective Intelligence = un processus automatisé de Pandalabs –1-run audit ou souscription annuelle

49 Marketing 49 Campagne de sensibilisation en collaboration avec le journal Computerworld si nous ne détectons pas de virus (malware) dans votre réseau

50 Marketing si nous ne détectons pas de virus (malware) dans votre réseau – Durée: 15 mai au 15 juillet 2007 – Articles de presse (Journaux & Online), publicité (Journaux & Online), Malware Index sur le site Internet, Orbit – Participants peuvent tester la version démo (rapport et élimination inclus) – Transmission des leads aux revendeurs – Matériel de publicité pour revendeurs (protection de clients pour vos clients finaux qui participent)

51 Automated malware audit service Merci !!