broker

лидер в области

В этой теме 94 сообщений

Вообще, очень важна - отказоустойчивость самого антивируса, ведь не для кого не секрет, что антивирус - это такое же приложение, при определённых правах на системе, его работа полностью блокируется..

Грустно :( иногда ощутимым признаком заражения является порча Антивируса..

В Trend Micro OfficeScan есть специальный процесс "Watchdog", который перезапускает антивирусный монитор, если он падает. Это защищает и от вирусов типа Nimda, которые выгружают монитор. Разумеется, что ничто не мешает авторам будущих вирусов разобраться с тем, как отключить сначала сам "Watchdog"...

Кроме этого, есть технология Cisco NAC, которая позволяет обеспечить сетевую блокировку компьютеров с незагруженным монитором, а если к Cisco NAC прикрутить Cisco SIMS/MARS, то можно в реальном времени это отслеживать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А существует ли специальный продукт для защиты именно терминальных сессий?

Специального продукта я не знаю, был такой McAfee VirusScan TC, но сейчас его нет.

Не всегда цена продукта проворциональна "наворотам", да и вообще цена --- не самый главный критерий. Проблема в другом, "навороты" эти лишний источник "глюков", и если вы не планируете использовать какой-либо "наворот", то не стоит рассматривать его наличие, как однозначный плюс продукта.

Согласен, часто навороты - это скорее негатив, чем полезные фичи.

У всех консолей есть свои преимущества/недостатки, которые могу определить предпочтение того или иного продукта.

Пример: Trend Micro OfficeScan управляется только из Веб-консоли. Преимущества очевидны, но браузером должен быть только IE 5.5 и выше. Кому-то может понравиться какой-нибудь продукт (KAV?), который управляется просто GUI - поставил и пользуйся. Никаких тебе проблем с куками, ActiveX'ами...

Кроме этого есть ньюансы архитектуры системы управления, которая определяет масштабируемость, надежность, скорость...

Несомненно это именно так, играет роль все вышеперечисленное. Мне просто не хотелось вдаваться в подробности, ветка и так довольно объемная получилась, в первом приближении перечисленные мной продукты по возможностй администрированию (именно рабочих станций) более мнее равны.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
win 2003 terminal server, пусть 100 сессий одновременных, какой антивирус поставить, чтоб НЕ ТОРМОЗИЛО :)

В данном случае лучше наверное взять решение кого-то из большой тройки (Symantec, McAfee, Trend Micro). У Касперского неважный серверный продукт, кроме того денег стоит много, Доктор веб ... не знаю, не тестировал его на серваке.

Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
f-secure по их утверждению является единственным продуктом для terminal 2003.

Не знаю как с инсталляцией и обслуживаением, но часть известных вирусов он-лайн проверка с их сайта не обнаруживает.

Я не знаю, насколько хорошо представлен в России F-secure, но если их этот продукт "заточен" под terminal-сервер, то имеет смысл присмотреться, так как удобство работы может оказаться важнее, чем какие-то там непойманые вирусы.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, впомнил еще одну тему для обсужения: переход Trend Micro с ServerProtect на OfficeScan SE, мне лично тут не все ясно ...

Михаил, предлагаю это выделить в отдельную ветку, где в кратце объяснить что к чему.

Специально для вас:

http://www.anti-malware.ru/phpbb/viewtopic.php?p=721#721

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Я думаю, возможно оба варианта, какой лучше зависит от возможностей компании.

Спасибо! :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в данном случае имеет ли вообще смысл ставить антивирус на терминал.. можно поставить защиты на 80 и 21 порты на роутере перед терминалом...

Как так?! Без защиты на самом сервере нельзя!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Коллега Михаил, я говорил о страховке 2,3 вируса на одном сегменте и эта модель себя оправдывает.

Какие у вас на руках факты?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А давайте посмотрим как изменилась ситуация с детекшенем этого вируса сейчас, когда прошло уже пару дней.

Интересно посмотреть, кто его еще не берет :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так же хочу отметить, что статистики по f-secure и trend micro тут нет, а хотелось бы увидеть.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообще конечно это не реклама.. но радуют показанания nod32..

что же касается symantec - то обзывание вирусов категориями.. просто вводит в заблуждение..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
вообще конечно это не реклама.. но радуют показанания nod32..

Да, он его проактивно взял еще 23-го (так же как BitDefender), а сейчас уже сигнатурами уже берут.

Кстати, Доктор веб еще в первый день взял, молодцы.

Сейчас действительно почти все уже берут.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По времени внесения в базы..

Уверен, что в базах каспера он был уже ночью 23

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Факт, пришёл новый вирус и половина сильных антивирусов не готовы его обнаружить... А это со всей известностью весьма серьёзный вирус.

Это не факт, это больше чем факт --- так оно и было на самом деле. (с) сами знаете от куда.

Нельзя оценивать скорость лыжника, дав ему проскакать на одной лыжне, а потом на другой. После этого сложить скорости. Нельзя отдельно тестировать detection rate (левая нога лыжника), а "обвязку" (правая нога лыжника) игнорировать, или рассматривать отдельно.

На сегодняшинй день хорошая антивирусная защита не сводится только к лучшему detection rate. вот если бы был антивирус, который обеспечивает 100%, то вопрос был бы снят.

Антивирус --- это не чудо-средство, а инструмент обеспечения антивирусной безопасности. Инструмент может быть широкого и узкого профиля.

Теперь предметно о Trend Micro. Так как Trend Micro нет на сайтах www.vitustotal.com и virusscan.jotti.org, то мы не знаем в первых ли он рядях по этому вирусу или в отстающих, но будем исходить из предполажения, что в отстающих, иначе не интересно.

Итак, чем поможет Trend Micro (как все работает вместе):

1. У Trend Micro есть сервис NASS, который не примет письма с подозрительного адреса, то есть не то что вирус, а само письмо не будет принято.

2. Сервис оценки уязвимости обеспечит, что пользователи, у которых нет заплаты, на остутвие которой надеется автор вируса, не получат почты до ее установки.

3. Вирус использует уязвимость Microsoft для автозапуска. Этот HTML-код обнаруживается, как вирус (например HTML_BAGLE.AI) и письмо блокируется на уровне шлюза.

4. В шлюзовом продукте InterScan Messaging Security Suite есть специальная эвристическая технология IntelliTrap, которая предназначена для блокировки почтовых червей. Ее эффективность нам не известна, так как пока нет независимых тестов. Тестеры, как привило все сводят к тестированию файловых антивирусов.

5. В InterScan MessagingSecurity Suite можно сделать (и рекомендуется) настройку, которая будет блокировать все EXE-файлы, что обеспечит защиту от всех подобных угроз.

6. При появлении этого вируса в сети, лоборатории Trend Micro [может быть] опубликовали политику предотвращения эпидемии, которая прописала блокиовать файлы foto_5321.exe в SMTP и POP3-почте, на серверах Exchange и Domino, а так же запись этого файла на локальные диски пользователей.

7. На рабочих станциях в OfficeScan можно внедрить жесткую политику исходящих соединений, что исключит использование бота, который идет с этим вирусом.

8. Когда придет обновление (мы рассматриваем именно такой сценарий --- сначали вирус потом обнвление) система policy enforcement обеспечит гарантию, что все рабочие станции обновились и вирус будет заблокирован

9. Сервис по очистке DCS после публикации обновлений удалит этот вирус/бот с рабочих станций (не заметно для пользователя!). Администратору остается только смотреть статистику.

Ко мне попадает информация об серьезных инцедентах у клиентах. В подавляющем числе случаев, это сучается когда у клиента либо не стоит антивирус, либо не настро практически ничего из того, что описано выше). Для меня именно это "факт", а не результат проверки одного вируса на сайте www.virustotal.com.

P.S.

Все что описано выше, это Enterprise Protection Strategy приминительно к данному вирусу.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Именно в свете последнего поста Михаила, очередной раз можно констатировать, что защита на уровне домашнего пользователя и защита на уровне предприятия - отличаются в корне ... Для организации антивирусной защиты на уровне предприятия надо рассматривать проблему в комплексе, а не только detection rate...

Хоть NOD32 и показывает хорошие результаты, но на уровне Enterprise по количеству сервисов и возможностей - ему далековато пока до первой тройки ...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я в целом согласен, что организации для сравнения надо рассматривать весь комплекс защиты от вирусов, но чтобы провести такое комплексное сравнение сначала надо сравнить каждые параметр по отдельности, в том числе и детекшен.

Как только мы накопим качественные сравнения по различным параметрам, которые обсуждались в дургих ветках, то можно будет сделать некий общий анализ.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

аналоги подобных ресурсов в интернете есть, в рунете оч мало..

секуритилаб, хакер и т п не берём во внимание, там долбят одно и тоже .., ресус типа сек.нов больше об уязвимостях..

разделы вредоносного кода весьма не развиты.., понятное дело, черви используют уязвимости (сек.нов) или реализуют атаки (сек лаб, бак трак, хак зона), но нужны срочные решения по одному из видов угроз.. тут можно освящать..

Anti-Virus

Anti-Spam

Anti-Spyware

Anti-Adware

Anti-Phishing

Громко, но можно..

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
коллеги, вам не кажется.. что мало участников форума..

из вендоров участие принимает только тренд-микро.. :(

что негативно сказывается на информативности, на выборе..

можно заподозрить не ладное :)

Это не так, есть и представители других компаний, есть еще такие, которые не афишируют свою принадлежность (надеюсь пока).

Участников, действительно пока не много, уверен это скоро изменится.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
тогда может надо запретить отровенную рекламу в стиле МЫ ЛУЧШЕ..

если предлагается решение, то оно должно быть предложено, а не навязано..

Споры на тему, кто не с нами тот против нас, тоже не красят форум..

В общем надо обдумать, концепцию даже поменять надо..

Но, опять же авторы проекта НА ГРЕБНЕ -- РЕСПЕКТ :)

А вы видели тут откровенную рекламу ?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.  
    • Неизвестные провели серию кибератак на управление гражданской авиации Саудовской Аравии, хакеры также атаковали еще пять организаций, среди которых были правительственные ведомства, передает агентство Блумберг со ссылкой на источники, близкие к расследованию инцидента. Читать далее