VladB

Проактивная защита. Плюсы и... минусы

В этой теме 93 сообщений

Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

Согласен с высказыванием, пользователь не искушенный в вопросах безопасности, пусть даже неплохо подготовленный не будет понимать как надореагировать на то или иное сообщение программы.

Продукт не говорит что надо делать, а просто констатирует факт.

Всем привет. Миш, таки я дополз сюда!

Как сказал один человек "ProcessGuard для простого пользователя хуже вируса". Всё дело в том, что application firewall работает по тем же старым принципам, что и net firewall, но количество событий и количество векторов действий несоизмеримо возрасли. Именно в этом основная слабость application firewall. И, на самом деле, приложения этого типа уже прошлое поколение проактивных защит! Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

Не могли рассказать поподробнее о принципах sandbox и DefenseWall?

Чем принципально это отличается от прошлого поколения application firewall?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

Не могли рассказать поподробнее о принципах sandbox и DefenseWall?

Чем принципально это отличается от прошлого поколения application firewall?

В двух словах- sandbox ущемляет права процессам на потенциально опасные действия. То есть, sandbox ничего не спрашивает- он просто рубит. Аналогия- DropMyRigth, понижение привилегий пользователям.

Более подробно можно ознакомится здесь: http://virusinfo.info/showthread.php?t=4222

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Очень интересно, насколько я понял DefenseWall- это Host-based Intrusion Prevention System, т.е. к нему можно отнести все минусы Safe'n'Sec, который обсуждался здесь выше:

1. высокие требования к квалификации пользователя

2. сложная настройка

3. большое количество ложных срабатываний (присуще всех проактивным технологиям)

Еще у меня есть еще подозрения, что с реализацией концепции Trustworthy Computing в альянсе Trusted Computing Group (TCG). http://www.anti-malware.ru/phpbb/viewtopic.php?t=67 такие продукты не будут нужны. Потому как технология Intel LaGrande как раз предусматривает доверенное и недовенное пространство для приложений. Или я не прав?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Очень интересно, насколько я понял DefenseWall- это Host-based Intrusion Prevention System, т.е. к нему можно отнести все минусы Safe'n'Sec, который обсуждался здесь выше:

1. высокие требования к квалификации пользователя

2. сложная настройка

3. большое количество ложных срабатываний (присуще всех проактивным технологиям)

HIPS- это название большого класса программных продуктов, внутри которого существуют подклассы (buffer overflow protection, application firewall, sandbox). Safe'n'Sec- это application firewall. DefenseWall- sandbox. Они делают одну задачу, но разными методами. Поэтому, по пунктам:

1. Работать с программой может любая домохозяйка. Специальных знаний не нужно вообще. Всё легко и просто.

2. Настройна проста до примитивизма- нужно только добавить приложение в спислк недоверенных.

3. Ложные срабатывания, естественно, существуют, но они не мешают человеку работать. Ди и фильтрацию ложняков никто не отменял....

Еще у меня есть еще подозрения, что с реализацией концепции Trustworthy Computing в альянсе Trusted Computing Group (TCG). http://www.anti-malware.ru/phpbb/viewtopic.php?t=67 такие продукты не будут нужны. Потому как технология Intel LaGrande как раз предусматривает доверенное и недовенное пространство для приложений. Или я не прав?

Не совсем правы. Дело в том, что оно предусматривает отдельные пространства операционной системы, а не для отдельных приложений. Но даже если это и так, то время, которое нужно будет затратить этой технологии для продвижения- годы, а защищаться нужно уже сегодня, прямо немедленно!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Господа,

проведите аналогию со спамом. Никто уже не спорит, что обнаруживать спам по сигнатурам неэффективно, т.е. работа без эвристики невозможна. Переход к широкому использованию эвристики (а именно основной упор на эвристические методы) и sandbox - вопрос времени. Простой пример - политика ЛК.

Конечно, сигнатуры не исчезнут никогда, хочется же знать, как все же этот обнаруженный вирус называется... :wink:

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На самом деле проблема таких систем на сегодня (на мой взгляд) в их сложности и высоких требованиях к квалификации пользователей. А пользователи, увы, учиться НЕ ХОТЯТ! И это факт!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Никто не против эвристики, но...

Господа,

проведите аналогию со спамом. Никто уже не спорит, что обнаруживать спам по сигнатурам неэффективно, т.е. работа без эвристики невозможна.

Аналогия не есть доказательство. Для антиспамаспама ложные срабатывания это норма. Для антивируса ложное срабатывание --- катастрофа.

Переход к широкому использованию эвристики (а именно основной упор на эвристические методы) и sandbox - вопрос времени. Простой пример - политика ЛК.

"Более широкое использование эвристики" --- это морковка, которая висит перед осликом. Реалии таковы: Угрозы настолько быстро мимикрируют, что разработка изощренных универсальных (превентивных, эвристических --- нужное подчеркнуть) методов защиты не поспевает.

Эвристические методы разрабатываются давно, но панацеей они не становятся, то есть они не охватывают, скажем, 70% угроз, а только 20%. Подчеркну, что низкая эффективность объясняется не тем, что технологии плохи, а тем, что угроз становится больше. (В своем классе угроз универсальная технология может показвать даже близкий в 100% результат, как например многочисленные технологии блокировки макровирусов, но это не меняет ситуации в целом)

sandbox -- это не панацея. Мы с Ильей Рабиновичем на эту тему очень много спорили, но мне не удалось его убедить в бесперспективности этого подхода. На столько не убедил, что он даже свою собственную программму написал, реализующию универсальный sandbox...

symantec_s.jpg

post-14-1138699136.jpg

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для антиспамаспама ложные срабатывания это норма.

Ну... тут можно спорить бесконечно... Эвристика в антиспаме - вынужденная мера, и ложные срабатывания - не норма, а плата за хоть какую-то эффективность. А насчет катастрофы - улет в помойку письма от делового партнера большая катастрофа, чем лишний звонок в хелпдеск при ложном срабатывании антивируса.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Проактивные антивирусные технологии, которые сейчас активно продвигаются в все равно вернутся к сигнатурам, только эти сигнатуры будут несколько другими (некие сигнатуры возможных атак). И их все равно надо будет обновлять постоянно, т.е развитие технологий идет по спирали :-)

Эту мысль Касперский неоднократно высказывал уже.

А спорить здесь действительноможно бесконечно. Использовать можно и нужно разные наборы средств защиты, это можно назвать эволюционным технологическиим путем - выживут наиболее "сильные" технологии.

P.S. Ложное срабатывае антвивируса очень критично, так можно на ошибочном лечении одного файла положить все сетку на предприятиии, что обернется в очень большую сумму.

Но и потеря одного важного письма также очень чревата, хотя такое все же менее вероятно, так как все серьезные сделки и т.д. по мылу не обсуждаются (изначально несекьюрно :-))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну... тут можно спорить бесконечно... Эвристика в антиспаме - вынужденная мера, и ложные срабатывания - не норма, а плата за хоть какую-то эффективность.

Правильно.

А насчет катастрофы - улет в помойку письма от делового партнера большая катастрофа, чем лишний звонок в хелпдеск при ложном срабатывании антивируса.

Не правильно.

Для делового партнера можно сделать запись в белом списке и спать спокойно, можно поискать письмо в карантине и т.д.

Если антивирус в одно прекрасное утро удалит kernel.32.dll, как вирус со всех рабочих станций в сети, то это будет катастрофа.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В пользу sandbox

Возьмем анализ под названием Reaction Times of the latest MS05-039-based Worm Attacks с сайта http://www.av-test.org/

Кто на первом месте по времени реакции? В большинстве случаев касперский.

Однако, антивирус BitDefender, использующий sandbox, обнаружил все шесть вирусов без апдейтов.

Антивирус NOD32 с неплохой эвристикой - 5 из 6.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Для делового партнера можно сделать запись в белом списке и спать спокойно,

Если знаешь, что это партнер, а не потенциальный партнер.

Это то же самое, что запретить от записи в файл kernel.32.dll во встречном примере.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
P.S. Ложное срабатывае антвивируса очень критично, так можно на ошибочном лечении одного файла положить все сетку на предприятиии, что обернется в очень большую сумму.

Эвристические методы не предполагают лечения в силу своей природы... А удаление по подозрению - ну тут надо винить админу себя за разрушение сети.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все таки всегда, когда мы говорим о проактивной защите, нужно держать в голове ложные срабатывания, жаль нормальных тестов антивирусов на ложные срабатывания пока нет :(

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

наличие ложных срабатываний сложней всего обосновать руководству и пользователям..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Все таки всегда, когда мы говорим о проактивной защите, нужно держать в голове ложные срабатывания, жаль нормальных тестов антивирусов на ложные срабатывания пока нет :(

Мне казалось, что VB где-то писали, что они и на ложные проверяют.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sandbox -- это не панацея. Мы с Ильей Рабиновичем на эту тему очень много спорили, но мне не удалось его убедить в бесперспективности этого подхода. На столько не убедил, что он даже свою собственную программму написал, реализующию универсальный sandbox...

Ну, если она так бесперспективна, то почему тогда она у меня продаётся? Почему три западных стартапа идут в том же направлении, что и я? Нет, Миш, просто у тебя небольшое закостенение. Приходи на РусКрипто, послушай мой доклад на тему sandbox HIPS и почему именно эта технология перспективна в области защиты от malware.

Кстати, я никогда не говорил, что оно- панацея. Оно- часть стратегии "защита в глубину". Причём абсолютно необходимая.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну, если она так бесперспективна, то почему тогда она у меня Приходи на РусКрипто, послушай мой доклад на тему sandbox HIPS и почему именно эта технология перспективна в области защиты от malware.

Не могли бы вы поделиться подробной информацией о РусКрипто, и кагда там можно будет послушать имеено ваш доклад?

Если можно, то в этой ветке http://www.anti-malware.ru/phpbb/viewtopic.php?t=370

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...я никогда не говорил, что оно- панацея. Оно- часть стратегии "защита в глубину". ...

...Ну, предположим, это отнюдь не полумера. Это средство защиты от неизвестных антивирусам зловредов. Для меня лично- замена антивируса. ...

...Гонял на своём компе зловреды в качестве тестов- без последствий. ...

Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?Представим,что до этого правила составлены там средним провинутым,но не профи.

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.Кстати,программа на русском?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?

А что вы подразумеваете под правилами для антивирусов?

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.

У меня напрочь отсутствует ощущение, что вы не можете определить вирус по его поведению. ;)

Не вижу смысла в интеграции. Можно вкрутить возможность запроса на проверку действующим антивирусом из самой программы, как это делает System Safety Monitor. А шлифовать антивирусы для совместимости... ну что вы такое говорите... :) Системы проактивной защиты не конфликтуют с антивирусами..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати,программа на русском?

Забыл,что при инсталлировании прог на русском у меня вместо букв вопросы,поэтому бесполезно.Хватило бы вполне,если в документации можно на русском прочитать,что одна или другая кнопка означает,а также всплывающие окна что спрашивают.

А что вы подразумеваете под правилами для антивирусов?

Пользуется DefenseWall'ом (в данном случае о ней разговор) среднепродвинутый пользователь и старательно составляет правила.Потом запускаем вирусы,которые "по незнанию" попадают под стрелку мышки.

У меня напрочь отсутствует ощущение, что вы не можете определить вирус по его поведению.

Вполне вероятно.Поэтому завишу от того,кто лучше меня понимает.Интересует меня результат,его я понимаю.Могу протестироватьпродукт.Ответить разок-десятый на кучу вопросов для создания правил не боюсь.Лишь бы были механизмы,могущие соблюдать "запрещено всё,что не разрешено".Конечно,если создатель облегчит всё это,то можно и мне пользоваться.Проактивка KIS'а в том плане оказалась не подходящей,не достаточно широка.Нечем опасные действия,используемые до сих пор самыми простыми вирусами (пользователь щёлкает по новопоявившемуся,до этого не разрешённому инсталляционсфайлу,происходит куча записей и созданий новых файлов),заранее запретить.

Не вижу смысла в интеграции. Можно вкрутить возможность запроса на проверку действующим антивирусом из самой программы, как это делает System Safety Monitor. А шлифовать антивирусы для совместимости... ну что вы такое говорите... Системы проактивной защиты не конфликтуют с антивирусами..

Проактивная защита KIS'a есть недостаточна для меня и простыми способами обходима.Достаточно пользваться компом неопытному.При этом всё равно,что админ бы догадался запретить некие действия,при этом неважно,пользователь это делает напрямую,или вирус исхитрился нечто съимитировать,что через щелчёк ползователя инициировало его инсталляцию,но у админа нет против этого осуществляющего механизма.Не говорю,что проактивка не остановит вирусов,но мне,и я думаю не только мне,нужна прога,которая и без меня при ещё не разрешённом комплексе действий способна его запретить только потому,что разрешения не было этому инсталлируемому файлу "так поступать".По-моему,это ещё очень простой пример.

Смысл интеграции в том,что некоторые действия,возможно,можно более однозначно по сигнатуре идентифицировать.Огромный плюс есть возможность периодически сканировать комп или какой файл.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy exiland-soft.com/ru/organizer-screen0.html   Что же здесь есть полезного ? 1) Пометить цветом  ( чтобы не терять объект  из вида ) ( или цвет объекта будет сопряжён с его статусом )
      2) Включить в группу > Переместить в группу.
      3) Добавить закладку ( повторная работа с образом и т.д )...
      4) Быстрый и детальный сквозной поиск по всем разделам
      Например записи относящиеся к  Tencent  ( они могут быть в разных колонках )
      Колонки: путь к файлу\производитель...
      А так один запрос разом по нескольким колонкам и мы получим полный список где есть Tencent 5) Выделить всё ( работа со всеми выделенными объектами ) - применяем фильтр и после этого все объекты выделяем. ( с возможностью выбора действия по всем выделенным объектам )  
    • На этой неделе Google выпустили набор ежемесячных патчей для Android. В нем исправлены 74 бреши в безопасности, 11 из которых отнесены к категории критических. В этом месяце Google разделили обновления на две части, первая часть 2016-12-01 включает в себя исправление 16 брешей в безопасности (10 высокой степени риска, 6 средней), вторая часть 2016-12-05 включает 58 патчей (11 критических, 33 высокой степени риска и 14 средней степени). Читать далее
    • Число кибератак на РФ насчитывает десятки миллионов в год, заявил секретарь Совбеза Николай Патрушев. Секретарь Совбеза констатировал, что такие атаки совершаются ежедневно. "Есть специальная система, которая предотвращает эти атаки, - добавил Патрушев. - Мы имеем об этом информацию, которая докладывается в том числе и правительству, и президенту". Читать далее
    • Хакеры проникли во внутреннюю сеть Министерства национальной обороны Республики Корея через главный информационный сервер вооруженных сил страны. Такие данные обнародовало в среду военное ведомство РК. Читать далее
    • Российские хакеры проверят уязвимость госмессенджеров к информационным атакам. А чтобы компьютерные устройства чиновников не атаковались вирусами, в сервис по обмену сообщениями интегрируют антивирусную программу. Читать далее