ТЕХНОЛОГИИ ЛАБОРАТОРИИ КАСПЕРСКОГОДЛЯ JUNIPER SRX

Борис Сторонкин, Лаборатория Касперского

Менеджер по сопровождению проектов интеграции

2

JUNIPER NETWORKS И ЛАБОРАТОРИЯ КАСПЕРСКОГО

►Технологическое партнерство с 2004 года

►Совместное решение: подписка на Антивирус Касперского для Juniper SRX

3

ТЕХНОЛОГИИ, ИСПОЛЬЗУЕМЫЕ В JUNIPER SRX

►Full AV - высокая эффективность сканирования :

►Локальное кэширование объектов (файлов)

►Максимально полные базы, оптимальные для шлюза

►Express AV – высокая производительность сканирования (защита только от самых опасных и популярных угроз):

►Потоковое сканирование (без кэширования)

►Модифицированные базы потоковых сигнатур

FULL AVKASPERSKY ANTI-VIRUS SDK

5

КЛЮЧЕВЫЕ ТЕХНОЛОГИИ FULL AV (KAV SDK)

►Сигнатурный анализ конкретных вредоносных объектов

►Обнаружение полиморфных и метаморфных вредоносных объектов с помощью эвристического анализа

►Сканирование сложных объектов (глубина вложенности до 4)

►Обработка всех известных форматов файлов

6

НЕКОТОРЫЕ ПОДДЕРЖИВАЕМЫЕ ФОРМАТЫ

7

Мод

ул

ь а

нти

ви

руса

СКАНИРОВАНИЕ ОБЪЕКТА В РЕЖИМЕ FULL AV

Входящий пакет

TCP прокси

Анализатор

протоколов

Собранный файл

Движок Full AV

Базы сигнатур

и эвристик

Исходящий

пакет

Файл получен

Сканирование

Файл отправлен

Задержка

Процесс сканирования в Full AV

8

СПОСОБЫ ПОВЫШЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ FULL AV►Разные профили сканирования для разных

протоколов

►Intelligent prescreening

►HTTP Trickling

►Исключение из сканирования определенного трафика (расширения/размер)

►Настройка белых списков MIME и белых/черных списков URL

9

ВЫПУСК ОБНОВЛЕНИЙ ДЛЯ SRX

►Выделенный тестовый стенд для оборудования Juniper

►Обновления выпускаются каждые 4,5 часа

►Перед выпуском обновления проходят тесты на:

►загружаемость

►обнаружение вредоносных объектов

►ложные срабатывания

КоллекцияРазмер коллекц

ии

EICAR (“дымовой” тест) 2.8 MB

Базовая коллекция для

тестирования на ложные

срабатывания

1 GB

Полная коллекция для тестирования

на ложные срабатывания

34 GB

Коллекция wildlist.org (за 1

год)1.4 GB

Коллекция вредоносных

объектов (за 25 дней)

79 GB

EXPRESS AVKASPERSKY SAFESTREAM

11

КЛЮЧЕВЫЕ ТЕХНОЛОГИИ EXPRESS AV (SAFESTREAM)►Защита только от наиболее опасных и

популярных угроз

►Подход однократного потокового сканирования

►Отсутствие необходимости кэшировать файл

►Сканирование однократно заархивированных объектов (например, ZIP, GZIP, TAR)

►Аппаратное ускорение за счет использования сопроцессора

12

Мод

ул

ь а

нти

ви

руса

СКАНИРОВАНИЕ ОБЪЕКТА В РЕЖИМЕ EXPRESS AV

Входящий пакет

TCP прокси

Анализатор

протоколов

Буфер пакета данных

Движок Express

AV

Базы потоковых сигнатур

Исходящий

пакет

Файл получен

Сканирование

Файл отправлен

Задержка

Процесс сканирования в Express AV

13

FULL AV ИЛИ EXPRESS AV - ЧТО ВЫБРАТЬ?

Full AVМаксимальная эффективность

Express AVМаксимальная

производительность

НЕЗАВИСИМЫЕ ТЕСТЫ КОРПОРАТИВНЫХ ПРОДУКТОВЛАБОРАТОРИИ КАСПЕРСКОГО

15

НАШЕ ЛИДЕРСТВО ДОКАЗАНО НЕЗАВИСИМЫМИ ТЕСТАМИ (2013 ГОД)

0 20 40 60 80

0%

20%

40%

60%

80%

100%

Количество независимых тестов/обзоров

Кол

ичеств

о п

опад

ани

й в

TO

P3

Лаборатория Касперского

Участие в 79 тестах/обзорах1-ые места - 41

TOP 3 = 61 раз (77%)Bitdefender

Sophos

G-Data

Symantec

F-Secure

McAfee

Trend Micro

Avira

Avast

BullGuard

AVG

Eset

AhnLab

Microsoft

Panda

16

НЕЗАВИСИМОЕ ТЕСТИРОВАНИЕ ПРОДУКТОВ НА ЛОЖНЫЕ СРАБАТЫВАНИЯ (2013 ГОД)

Mic

roso

ft

Kasp

ers

ky

Sophos

Avir

a

Avast

Sym

ante

c

Bit

defe

nder

ESET

AV

G

G D

ATA

F-S

ecu

re

Panda

Tre

nd M

icro

McA

fee

0.33

0.82 0.851.07

1.28 1.311.62 1.68

2.13

2.66 2.67

4.45 4.58 4.71

17

МАГИЧЕСКИЙ КВАДРАТ ГАРТНЕРА ДЛЯ ПРОДУКТОВ КОРПОРАТИВНОЙ ЗАЩИТЫ (ЯНВАРЬ 2014)

СПАСИБО!Борис СторонкинМенеджер по сопровождению проектов интеграцииЛаборатория Касперского

Boris.Storonkin@kaspersky.com