Технологии «Лаборатории Касперского» для juniper srx
DESCRIPTION
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014. Докладчик -- менеджер по сопровождению проектов интеграции исследовательского центра «Лаборатории Касперского» Борис Сторонкин. Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=5LjRsAByfIwTRANSCRIPT
ТЕХНОЛОГИИ ЛАБОРАТОРИИ КАСПЕРСКОГОДЛЯ JUNIPER SRX
Борис Сторонкин, Лаборатория Касперского
Менеджер по сопровождению проектов интеграции
2
JUNIPER NETWORKS И ЛАБОРАТОРИЯ КАСПЕРСКОГО
►Технологическое партнерство с 2004 года
►Совместное решение: подписка на Антивирус Касперского для Juniper SRX
3
ТЕХНОЛОГИИ, ИСПОЛЬЗУЕМЫЕ В JUNIPER SRX
►Full AV - высокая эффективность сканирования :
►Локальное кэширование объектов (файлов)
►Максимально полные базы, оптимальные для шлюза
►Express AV – высокая производительность сканирования (защита только от самых опасных и популярных угроз):
►Потоковое сканирование (без кэширования)
►Модифицированные базы потоковых сигнатур
5
КЛЮЧЕВЫЕ ТЕХНОЛОГИИ FULL AV (KAV SDK)
►Сигнатурный анализ конкретных вредоносных объектов
►Обнаружение полиморфных и метаморфных вредоносных объектов с помощью эвристического анализа
►Сканирование сложных объектов (глубина вложенности до 4)
►Обработка всех известных форматов файлов
7
Мод
ул
ь а
нти
ви
руса
СКАНИРОВАНИЕ ОБЪЕКТА В РЕЖИМЕ FULL AV
Входящий пакет
TCP прокси
Анализатор
протоколов
Собранный файл
Движок Full AV
Базы сигнатур
и эвристик
Исходящий
пакет
Файл получен
Сканирование
Файл отправлен
Задержка
Процесс сканирования в Full AV
8
СПОСОБЫ ПОВЫШЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ FULL AV►Разные профили сканирования для разных
протоколов
►Intelligent prescreening
►HTTP Trickling
►Исключение из сканирования определенного трафика (расширения/размер)
►Настройка белых списков MIME и белых/черных списков URL
9
ВЫПУСК ОБНОВЛЕНИЙ ДЛЯ SRX
►Выделенный тестовый стенд для оборудования Juniper
►Обновления выпускаются каждые 4,5 часа
►Перед выпуском обновления проходят тесты на:
►загружаемость
►обнаружение вредоносных объектов
►ложные срабатывания
КоллекцияРазмер коллекц
ии
EICAR (“дымовой” тест) 2.8 MB
Базовая коллекция для
тестирования на ложные
срабатывания
1 GB
Полная коллекция для тестирования
на ложные срабатывания
34 GB
Коллекция wildlist.org (за 1
год)1.4 GB
Коллекция вредоносных
объектов (за 25 дней)
79 GB
11
КЛЮЧЕВЫЕ ТЕХНОЛОГИИ EXPRESS AV (SAFESTREAM)►Защита только от наиболее опасных и
популярных угроз
►Подход однократного потокового сканирования
►Отсутствие необходимости кэшировать файл
►Сканирование однократно заархивированных объектов (например, ZIP, GZIP, TAR)
►Аппаратное ускорение за счет использования сопроцессора
12
Мод
ул
ь а
нти
ви
руса
СКАНИРОВАНИЕ ОБЪЕКТА В РЕЖИМЕ EXPRESS AV
Входящий пакет
TCP прокси
Анализатор
протоколов
Буфер пакета данных
Движок Express
AV
Базы потоковых сигнатур
Исходящий
пакет
Файл получен
Сканирование
Файл отправлен
Задержка
Процесс сканирования в Express AV
13
FULL AV ИЛИ EXPRESS AV - ЧТО ВЫБРАТЬ?
Full AVМаксимальная эффективность
Express AVМаксимальная
производительность
15
НАШЕ ЛИДЕРСТВО ДОКАЗАНО НЕЗАВИСИМЫМИ ТЕСТАМИ (2013 ГОД)
0 20 40 60 80
0%
20%
40%
60%
80%
100%
Количество независимых тестов/обзоров
Кол
ичеств
о п
опад
ани
й в
TO
P3
Лаборатория Касперского
Участие в 79 тестах/обзорах1-ые места - 41
TOP 3 = 61 раз (77%)Bitdefender
Sophos
G-Data
Symantec
F-Secure
McAfee
Trend Micro
Avira
Avast
BullGuard
AVG
Eset
AhnLab
Microsoft
Panda
16
НЕЗАВИСИМОЕ ТЕСТИРОВАНИЕ ПРОДУКТОВ НА ЛОЖНЫЕ СРАБАТЫВАНИЯ (2013 ГОД)
Mic
roso
ft
Kasp
ers
ky
Sophos
Avir
a
Avast
Sym
ante
c
Bit
defe
nder
ESET
AV
G
G D
ATA
F-S
ecu
re
Panda
Tre
nd M
icro
McA
fee
0.33
0.82 0.851.07
1.28 1.311.62 1.68
2.13
2.66 2.67
4.45 4.58 4.71
СПАСИБО!Борис СторонкинМенеджер по сопровождению проектов интеграцииЛаборатория Касперского