La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist

Presentaciones similares


Presentación del tema: "Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist"— Transcripción de la presentación:

1 Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist

2 Agenda Entorno El mundo de las amenazas MalwareClasificación Como ayuda Vista Visión Tecnológica En profundidad Protección de la memoria Integridad de Sistemas en 64-bit Filtro Antiphising -IE7 UAC Windows Defender

3 Entorno del Software Malintencionado

4 Viruses, gusanos, Troyanos, rootkits, bots Adware, spyware, Software de monitorización o de control remoto Inofensivo Potencialmente No requerido Malicioso Espectro de Malware

5 ¿Que es el Spyware? EjemplosDescripción Sin amenazas potenciales Usa recursos de forma remota Recoge información personal Muestra anuncios Cambia opciones del sistema Marca automáticamente Claramente malicioso (virus, gusano, troyano) Inocuo Colección de datos Anuncios Cambios de configuración Uso de recursos Marcado Actividad maliciosa Monitorización Guarda lo que tecleas Daño potencial Extremo Ninguno Función +Notepad +ISP software –Porn dialer +Control Parental –Key-loggers –Sasser +Barra de busqueda –Recolector de datos +Software Ad-supported –Pop-ups no autorizados +Utilidades de configuración –Secuestro del Navegador +Aplicaciones en background –Puertas traseras Spyware y Software no deseado: Aplicaciones que llevan a cabo ciertas funciones sin el apropiado control y consentimiento del usuario.

6 Windows Malicious Software Removal Tool Windows Defender Inofensivo Potencialmente no requerido Malicioso Espectro de Malware

7 El mundo de las amenazas Amenaza Ejemplo de Mitigación(es) Violación de la Integridad del sistema Autenticación de Windows Autenticación de Windows Contraseñas Fuertes Contraseñas Fuertes PatchGuard (Vista x64) PatchGuard (Vista x64) User Account Control (Vista) User Account Control (Vista) ASLR (Vista) / DEP ASLR (Vista) / DEP Violación de la integridad de los Datos / Disclosure Cifrado de Ficheros Cifrado de Ficheros Bitlocker (Vista) Bitlocker (Vista) DRM DRM Phishing Filtro Antiphishing (IE 7) Filtro Antiphishing (IE 7) Spam Antispam en Outlook / Exchange Antispam en Outlook / Exchange Malware Prevención, detección y eliminación de malware Prevención, detección y eliminación de malware

8 Malware Existen muchas formas de malware Software Malicioso (Worm / virus / Troyanos) Software NO deseado (spyware / adware) Comportamiento o modo de actuación Vector de Replicación ( / P2P / IM / network) Exploit de una vulnerabilidad de software Ingenieria Social Backdoor Robo de contraseñas PolymorficoRootkit Payload ( borrado de disco duro, documentos, flash BIOS, etc.) El modo de implementarlo depende de la motivación del autor Existen varias fuentes de código para malware Los atacantes hacen pruebas frente a los productos de seguridad

9 Historia de Microsoft 1992: Fundación de GeCAD Junio 2003: Microsoft adquiere los derechos de PI de GeCAD Enero 2004: Herramientas de limpieza para ayudar con los ataques de virus Deciembre 2004 : Adquisición de la compañía de software Giant Enero 2005: Lanzamiento del Malicious Software Removal Tool Enero 2005: Lanzamiento de Windows Antispyware (Beta 1) Febrero 2006: Lanzamiento de Windows Defender (Beta 2)

10 Malicious Software Removal Tool Objetivos Reducir el Impacto del malware en usuarios Windows Entender las tendencias del malware Distribución Windows Update Centro de Descargas Sitio Web Reporte disponible públicamente yID=47DDCFA9-645D EDA-92CDE33E99A9 yID=47DDCFA9-645D EDA-92CDE33E99A9

11 Actividad de MSRT 2.7 billones de ejecuciones 270 millones de equipos

12 Resultados MSRT 16 millones de infecciones 5.7 millones de equipos infectados 1 infección cada 311

13 Reducción del Impacto

14 Entender las tendencias Troyanos de puerta trasera son la amenaza mas significante y mas creciente Los Rootkits son una amenaza emergente Ingeniería Social 35%

15 Como ayuda Vista Contra el Malware.. PrevenciónAislamientoRemedios

16 Prevención Vulnerabilidad de Software Ciclo de desarrollo seguroCiclo de desarrollo seguro Actualizaciones AutomáticasActualizaciones Automáticas Windows Firewall/IPSecWindows Firewall/IPSec Data Execution ProtectionData Execution Protection Address Space Layout RandomizationAddress Space Layout Randomization Amenaza Tecnología en Vista Ingeniería Social User Account ControlUser Account Control Windows DefenderWindows Defender Vulnerabilidad de la Política Contraseña de Administrador en BlancoContraseña de Administrador en Blanco Firma de drivers en 64 bitFirma de drivers en 64 bit Política de Firewall por RedPolítica de Firewall por Red

17 Aislamiento Amenaza Tecnología en Vista Comportamiento del Sistema Integridad de Sistemas de 64-bit Recursos del Sistema Fortificación de Servicios Firewall Bidireccional IE Protected Mode Configuración del Sistema User Account Control Windows Defender

18 Remedios Amenaza Tecnología en Vista Estado de la Seguridad Centro de Seguridad de Windows Limpieza de Spyware Windows Defender Limpieza de Virus Windows Malicious Software Removal Tool

19 Stack Return Address Locals Protección de la Memoria Data Execution Protection Address Space Layout Randomization DEP Previous Frames Parameters Code Application Code Library Code Windows Code LoadLibrary() ASLR

20 Integridad de Sistemas de 64 bit Application CreateFile() Kernel32.dll CreateFileW() ntdll.dll ZwCreateFile() Interrupt Dispatch Table 2E System Service Dispatch Table NtCreateFile() Interrupt Dispatch Table Global Descriptor Table System Service Dispatch Table

21 Cambio fundamental en la operativa de Windows Hace que el sistema funcione bien como un usuario estándar Proporciona un método seguro para ejecutar aplicaciones en un contexto elevado Requiere marcar las aplicaciones que no sean UAC Deja claro las acciones que tienen un impacto en todo el equipo Virtualización del registro y ficheros para proporcionar compatibilidad. Escrituras en el registro de la maquina son redirigidas a localizaciones de usuario si el usuario no tiene privilegios administrativos Efectivamente: cuentas estándar pueden ejecutar aplicaciones que necesitan cuentas de administración de manera segura.

22 Protección de cuentas Usuario UAC (User Account Control) Nos ayuda a implementar el principio de menor privilegio de dos maneras distintas: 1. El usuario no necesita tener privilegios administrativos para realizar ciertas tareas para las que se necesitas esos privilegios – En cambio: Se le pregunta al usuario por credenciales con mas privilegios 2. Aunque el usuario tenga privilegios superiores( Ejem. un administrador), se le pregunta al usuario por su consentimiento antes de que esos derechos sean ejercitados No se necesita volver a proporcionar las credenciales, solo se necesita el consentimiento Leer: ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x ww.microsoft.com/technet/windowsvista/evaluate/feat/uaprot.msp x

23 Internet Explorer 7 Además de ser compatible con UAC, incluirá: Modo Protegido que solo permite a IE navegar sin mas permisos, aunque el usuario los tenga. Ejem. Instalar software Modo de Solo-lectura, excepto para los ficheros temporales de Internet cuando el navegador esta en Zona de seguridad de Internet Filtro contra Phising que actualiza Microsoft cada poco tiempo y usa una red global de fuentes de datos ActiveX Opt-in, da al usuario el control de los controles Activex Todos los datos de cache se eliminan con un solo click

24 Filtro anti-Phishing Protección dinámica contra Webs Fraudulentas Realiza 3 chequeos para proteger al usuario de posibles timos: 1. Compara el Sitio Web con la lista local de sitios legítimos conocidos 2. Escanea el sitio Web para conseguir características comunes a los sitios con Phising 3. Cheque el sitio con el servicio online que tiene Microsoft sobre sitios reportados que se actualiza varias veces cada hora Level 1: Warn Suspicious Website Signaled Level 2: Block Confirmed Phishing Site Signaled and Blocked Dos niveles de Aviso y protección en la barra de estado de IE7

25 Windows Defender MonitorizaciónDetecciónLimpieza Software Explorer SpyNet

26 Monitorización Automatic Startup Entry Points (ASEPs) Configuración del Sistema Internet Explorer ConfiguracionAdd-onsDescargas Servicios y Drivers Ejecución de Aplicaciones Registro de Aplicaciónes Windows Add-ons

27 Detección Motores compartidos Formatos de ficheros Contenedores (zip, rar, etc) Empaquetadores de Ficheros (upx, aspack) Muchos formatos estándar Metodos de Detección Hash simple de fichero( MD5, SHA1, CRC) Multi-CRC Firmas de Rootkits en modo usuario Detección genérica EmulaciónHeurística

28 Limpieza Scripting language Claves del registro Ficheros Modificación del fichero Host

29 Software Explorer En ejecución Programas de Inicio ServiciosDrivers

30 SpyNet Ayuda a priorizar la creación de firmas Se envía información Información del fichero Engine / signature versions Voting data Información Demografica Cifrado de datos Basico vs Avanzado – PII Opcional

31 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Descargar ppt "Tecnologías Antimalware en Windows Vista José Parada Gimeno IT Evangelist"

Presentaciones similares


Anuncios Google