VladB

Проактивная защита. Плюсы и... минусы

В этой теме 93 сообщений

Когда мы взяли на тест корпоративную версию то за 10 минут написали 15 замечаний.

Очень интересен ваш опыт. Не могли бы вы перечислить, какие свойства подобного продукта для вас принципиальны?

Я попробую найти свои замечания к продукту и описать их. Только с вашего позволения немного позже. Скорее всего с понедельника

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А вот он какой Safe'n'Sec 2.0, см. скриншоты:

http://www.anti-malware.ru/images/safensec2/1.gif

http://www.anti-malware.ru/images/safensec2/2.gif

прогресс как говориться на лицо :!:

Теперь его можно обучать, есть список довенных приложений. Интерфейс стал довольно приятный. Подучу его, посмотрю поближе в работе и выкачу обзор :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А вот он какой Safe'n'Sec 2.0, см. скриншоты:

http://www.anti-malware.ru/images/safensec2/1.gif

http://www.anti-malware.ru/images/safensec2/2.gif

прогресс как говориться на лицо :!:

Теперь его можно обучать, есть список довенных приложений. Интерфейс стал довольно приятный. Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Я постараюь поставить его дома сегодня на комп, тогда и поговорим

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

На самом деле все, что касается превентивной защиты - это не для простого смертного, увы. Я смотрел несколько таких решений. Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

Согласен с высказыванием, пользователь не искушенный в вопросах безопасности, пусть даже неплохо подготовленный не будет понимать как надореагировать на то или иное сообщение программы.

Продукт не говорит что надо делать, а просто констатирует факт.

Мне сейчас уже очевидно, что тот же Safe'n'sec должен быть уже предобучен и не задовать "глупых" впоросав о работе стандартных виндовых модулей, а беспокоить если действительно что-то подозрительное произошло.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я говорил об этом им еще в мае месяце. Однако воз и ныне там. Это было одной из главных претензий к ним

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

Я сам не видел KAV 2006, но на ваш взгяд, поможет ли эта функциональность простому смертному?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

Я сам не видел KAV 2006, но на ваш взгяд, поможет ли эта функциональность простому смертному?

На мой взгляд поможет, однако вместе с тем стоит понять, что чем дальше тем тяжелее в вопросах безопасности придется простому смертному

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На мой взгляд поможет, однако вместе с тем стоит понять, что чем дальше тем тяжелее в вопросах безопасности придется простому смертному

То есть, чем дальше, тем хуже защиту будет обеспечивать данный продукт?!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

То есть, чем дальше, тем хуже защиту будет обеспечивать данный продукт?!
Нет, тем больше знаний потребуется простому смертному. Увы
0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нет, тем больше знаний потребуется простому смертному. Увы

"потребуется больше знаний", которых не будет (откуда им взяться, когда люди (население, пользователи, ламеры --- нужное подчеркнуть) с трудом складывают 1/5+1/7), а следственно защита будет хуже.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нет, тем больше знаний потребуется простому смертному. Увы

"потребуется больше знаний", которых не будет (откуда им взяться, когда люди (население, пользователи, ламеры --- нужное подчеркнуть) с трудом складывают 1/5+1/7), а следственно защита будет хуже.

Извините, но как угадать, вы сами запускаете ИЕ с параметром или это вредоносный код? Вы запускаете скрытую инсталляцию ии это шпион? Программа этого не решит! Думать всегда нужно самим!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По пунктам:

Извините, но как угадать, вы сами запускаете ИЕ с параметром или это вредоносный код? Вы запускаете скрытую инсталляцию ии это шпион?

Подавляющее большенство пользователей не может ответить на эти вопросы, так как они не знают, что такое "запусе ИЕ с параметром", "вредонсоный код", "скрытая инсталляция", ...

Как можно ответить на вопрос, в котором фигурируют непонятные сущности?

Программа этого не решит!

Значит плохая программа, технология, подход (нужное подчеркнуть).

Думать всегда нужно самим!

Это паравильно, только как от "простого сметрного" ожидать специфических познаний в устройстве Windows, если все сделано для того, чтобы собственно устройтво было скрыто, а на поверхности были кнопочки "MS Word", "Интернет", "напечатать" ... --- это те сущности, с которыми простой пользователь уже свыкся и понимает, что они значат (в объеме, который нужен ему для решения его задач)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В чем-то вы правы, но программа обязана реагировать на запуск ИЕ со страницей в каестве параметра, верно? А откуда ей знать, вы инициировали запуск со страницей (с параметром) или это вредоносный код? На самом деле, эвристика (проактивная защита) это только подсказка и не более. Т.е. непродвинутые пользователи не будут этим пользоваться и все

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я думаю основная проблема обсуждаемого подхода в том, что программы (в нашем случае IDS) не говорит что надо делать.

Констатируя факт опасного поведения какого-то процесса в Safe'n'Sec ничего не посути не предлагается. Тоже самое в первом приближении и в КАВ.

Мне как пользователю все равно что там куча лезит и что запускается с каими параметрами. Я хочу знать что мне сделать или не сделать, чтобы потом не было проблем. Соответственно такого совета я не получаю в данном случае. Неинтеллектуально!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В чем-то вы правы, но программа обязана реагировать на запуск ИЕ со страницей в качестве параметра, верно? А откуда ей знать, вы инициировали запуск со страницей (с параметром) или это вредоносный код?

Это риторический вопрос.

На самом деле, эвристика (проактивная защита) это только подсказка и не более.

Давайте осторожно применять слова "эвристика", "проактивная защита", особенно в контексте, что это "только подсказка и не более". На этот счет есть и другие мнения.

Вот если бы продукт, обнаружив подозрительную активность, проводил какое-нибудь углубленное автоматическое расследование, тогда это было бы интересно.

Т.е. непродвинутые пользователи не будут этим пользоваться и все

Можно считать, что этой функции нет, так как непродвинутых пользователей 99%. Обсуждение функций, которые полезны оставшемуся 1% (нам с вами) --- это все "в пользу бедных".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот если бы продукт, обнаружив подозрительную активность, проводил какое-нибудь углубленное автоматическое расследование, тогда это было бы интересно.

Можно считать, что этой функции нет, так как непродвинутых пользователей 99%. Обсуждение функций, которые полезны оставшемуся 1% (нам с вами) --- это все "в пользу бедных".

Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

Это все к тому, что "проактивная защита" и "эвристика", это то, что защищает без точного занния о конкретной угрозе. Когда это знание пытаются получить от [несчастного] пользователя, это не защита вовсе.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

Это все к тому, что "проактивная защита" и "эвристика", это то, что защищает без точного занния о конкретной угрозе. Когда это знание пытаются получить от [несчастного] пользователя, это не защита вовсе.

Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

Я тоже не согласен. По кускам:

"пользователь" --- в большенстве своем не специалист

"нужно" --- он ищет в Вебе рецепт салата, это ему "нужно", а если вдруг всплывет невразумительный вопрос, в котором термины не из его предметной области, то он не сможет понять, "нужно" это ему или не "нужно"

"действие" --- имеет смысл только в контексте потрохов ОС для пользователя это абракадабра (запись в реестр, запуск чего-нибудь).

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

Я тоже не согласен. По кускам:

"пользователь" --- в большенстве своем не специалист

"нужно" --- он ищет в Вебе рецепт салата, это ему "нужно", а если вдруг всплывет невразумительный вопрос, в котором термины не из его предметной области, то он не сможет понять, "нужно" это ему или не "нужно"

"действие" --- имеет смысл только в контексте потрохов ОС для пользователя это абракадабра (запись в реестр, запуск чего-нибудь).

На работе - безусловно, не пользователь основной а его администратор безопасности, сисадмин, а дома, простите, если мне по умолчанию предлагают удалить весь хакерский софт, которым я активно пользуюсь, мне решать, жить ему или нет!

"Оставим же человеку человеческое, а вычислительной машине машинное!" (Н.Винер)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На работе - безусловно, не пользователь основной а его администратор безопасности, сисадмин, а дома, простите, если мне по умолчанию предлагают удалить весь хакерский софт, которым я активно пользуюсь, мне решать, жить ему или нет!

"Оставим же человеку человеческое, а вычислительной машине машинное!" (Н.Винер)

В этом смысле, вы абсолютно правы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приветствую всех :)

Очень интересная дискуccия по поводу проактивной защиты и некоторых продуктов в частности :). Только хотелось бы все же вернутся к теме форума, а не обсуждать кто где раньше работал, кто не успел, а кто опоздал и почему так получилось :)

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно :)

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо? Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Приветствую всех :)

Очень интересная дискуccия по поводу проактивной защиты и некоторых продуктов в частности :). Только хотелось бы все же вернутся к теме форума, а не обсуждать кто где раньше работал, кто не успел, а кто опоздал и почему так получилось :)

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно :)

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо? Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Посмотрел вторую версию. Отличия от 1.1 огромные и нужно сказать авторам - в лучшую сторону. Так как смотрел только буквально полчаса, то говорить пока о достоинствах (недостатках) прсто не могу, но впечатление первое намного интереснее

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS