Перейти к содержанию
Deja_Vu

Можно ли доверять сравнительным тестам?

Recommended Posts

Deja_Vu
Как мне кажется, пользователи в массе своей - далеко не дураки. Особенно те, кто читают информацию о тестах.

Я тоже сейчас думаю, что с антивирусами все в принципе понятно. И все тесты разжёваны.

Но вспоминаю себя, пару лет назад. Когда был программистом и решил купить себе антивирус. Банальный выбор между KIS и KAV поставил меня в тупик.

Вот таких вот как я, два года назад - абсолютное большинство из IT мира.

Если честно, тема очень неоднозначная.

Любой антивирусный тест, в принципе, синтетический. И они, на данный момент(имхо) нужны лишь для пиара и для небольшого круга людей, которые интересуются данной тематикой(тут можно много бла-бла-бла про извлечении из тестов информации о тенденциях развитиях продуктов и т.д.).

Соответственно, т.к. любой тест является пиаром для группы вендоров, чьи продукты в лидерах, а DrWeb не пиарится(как я понимаю) на тестах, то тут он попадает в заведомо не выгодное положение. Потому что, каждый антивирус пиарится на чьих либо тестах. А везде продукты сравниваются с другими продуктами.

И в связи с методикой портала, Dr.Web, как правило, может победить лишь в тесте не лечение.

(дальше стараюсь раскрыть мою сложную мысль примером :) )

И вот ситуация, Василий решил выбрать антивирус. Смотрит - множество тестов и т.д. Но Dr.Web'a нигде нет, кроме как на АМ. А тут он выставлен в не выгодном свете. Считайте антипиар.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
При этом широкой публике результаты тестирований будут всегда интересны. Они позволяют не включать мозг.

Это не совсем так. Тесты позволяют оправдать "невключение" мозга, являющегося постоянным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

вставлю свое ИМХО. Антивирус как по мне представляет собой сложную систему, поэтому для оценки его, как сложной системы, нужен не один тест, а несколько или много, которые будут показывать поведение продукта в некоторой части факторного пространства. Потому тесты по вменяемой методике нужны, как и нужны оценки влияния той или иной точки факторного пространства на общую оценку продукта.

Естетственно, что никакие испытания или тесты не заменят "боевого" режима использования, но в руках грамотного специалиста любой вменяемый тест покажет некую часть функционала. скажем, тест на скорострельность для специалистов антивирусных компаний имеет крайне малое значение, а для эндюзера - имеет. Поэтому тут предлагаю быть более толерантными. Есть тесты для специалистов, есть просто тесты "для себя" - когда непонятно, что за методика применялась, и тесты для эндюзера.

Что касается продуктов, отказавшихся от тестов - тут интересно посмотреть PR материалы и все равно так или иначе употребляются их характеристики в превосходной степени (в тестах не участвуют, тем не менее употребляют такие выражения... Чем они подкреплены?). Обычно их ставит в тупик вопрос - на какие тесты идет ссылка? Где мы можем это увидеть?

Тем не менее, любое решение надо уважать - не хотят участвовать - это их право

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Что касается продуктов, отказавшихся от тестов - тут интересно посмотреть PR материалы и все равно так или иначе употребляются их характеристики в превосходной степени (в тестах не участвуют, тем не менее употребляют такие выражения... Чем они подкреплены?). Обычно их ставит в тупик вопрос - на какие тесты идет ссылка? Где мы можем это увидеть?

На самом деле, если пиарится "и только Dr.Web лечит от самых новых руткитов" или "и только Dr.Web может вылечить от Polipos к 12 часам 15 минутам прошлого вторника" (к примеру), то доказать это не так сложно. И после этого со спокойным сердцем можно вполне применять превосходные степени прилагательных. Не всегда нужен какой-то навороченный тест для того, чтобы заявить о некоторых характеристиках антивируса. А вот под некоторые заявления нужна довольно сложная методика, чтобы "достать" эти преимущества и показать публике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ИМХО - "лучший в мире" - перебор :P Пиар по поводу банкоматного трояна - с опозданием на три месяца после его обнаружения - тоже как то не очень... И на телевидении выглядело еще более неубедительно....

И писалось выше безотносительно "Доктора", есть и другие отказники, не правда ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И писалось выше безотносительно "Доктора", есть и другие отказники, не правда ли?

Да, есть. Им сложнее :)

Пиар по поводу банкоматного трояна - с опозданием на три месяца после его обнаружения - тоже как то не очень... И на телевидении выглядело еще более неубедительно....

Сам факт того, что это дошло до телевидения, говорит об обратном :) Это пиар, он живёт совсем по другим законам.

Я очень удивился, кстати, когда моя новость по финансовым пирамидам в Интернете тоже дошла до телевидения. Просто заметил на тот момент участившиеся случаи, решили сделать новость, чтобы предостеречь пользователей, а получился пиар на ТВ. И ведь там про вирусы ни строчки не было. Но я бы не сказал, что это тоже было неубедительным и был весьма рад, что непостижимым образом мы снова вышли на уровень ТВ.

Недавно комментил решение ставить "чёрные ящики" во все новые автомобили, которые будут выпускаться в "Евросоюзе", в которых будет сохраняться информация о нескольких десятках параметров движения автомобиля. Комментил с точки зрения ИБ. Тоже чёрт-те его знает, причём тут антивирусы, но попросили коммент, было интересно ответить.

Чего только не приходится комментить. Но любое упоминание в СМИ - это напоминание о нашем существовании потенциальным пользователям. Это всегда хорошо для компании.

Хотя с технической точки зрения часто такой бред в СМИ происходит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ИМХО, важна суть. Это была информация? Вряд ли... Предупреждение пользователям и рекомендации? Как связанному с этой отраслью напрямую говорю - очень неубедительно и на предупреждение непохоже! Предупреждать надо было о простейших действиях кардхолдера, которое практически защищала от кардеров! Вернемся к новости - сэмпл получен через VMS? Обученный банкомат выслал образец? Смешно.... При этом известно. что западные вендоры добавили детект намного раньше.

Хотя согласен, PR живет по иным законам... Но перегибы и вранье не умиляют! По принципу -единожды солгав.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Но перегибы и вранье не умиляют!

Перегибы и враньё - разные вещи. Под перегибами Вы, видимо, понимаете расстановку акцентов. Да, в СМИ часто расстановка акцентов идёт не совсем адекватным образом. Но тут уж ничего не поделать.

В чём заключалось враньё-то? Разве не мог кто-либо отправить сэмпл на [email protected] ? Только банкомат мог это сделать? :)

Предупреждать надо было о простейших действиях кардхолдера, которое практически защищала от кардеров!

Возможно, и надо было, но на тот момент этой информации могло не быть.

ИМХО, важна суть. Это была информация? Вряд ли... Предупреждение пользователям и рекомендации? Как связанному с этой отраслью напрямую говорю - очень неубедительно и на предупреждение непохоже!

Чем эта новость была полезной зрителям? Зрители, по крайней мере, узнали, что такие схемы возможны. И нет гарантий, что подобные схемы будут невозможны в будущем. Зрители узнали, что в банкоматах используется Windows XP со всеми вытекающими проблемами. Многие пользователи эту систему используют дома и знают, что MS постоянно выпускает под неё патчи, связанные с закрытием дыр. Из любой новости можно извлечь что-то полезное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Возможно, и надо было, но на тот момент этой информации могло не быть.

В том - то и дело. что была. Как и была доступна информация о трояне - примерно с января. Причем от производителя :rolleyes: Засим флуд прекращаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

alexgr, ок-ок, значит, всё же расставление акцентов виновато :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Ещё такой вот этюд.

Тестовые лаборатории, показывая на инновационные тестирования, говорят, что антивирусы без HIPS'а и других супер-пупер-современных технологий - дерьмо! Эвристические технологии - вчерашний день!

А я прихожу на одну из работ каждый день и в течение дня наблюдаю, как без шума, без пыли мой старенький серверок, с позволения сказать (450МГц, 256МБ), под управлением ASPLinux 12 и Dr.Web Enterprise Suite складывает потихоньку статистику в течение дня со 150 компьютеров о вставляемых флешках, о посещаемых интернет-ресурсах, о ломящихся с незащищённых компьютеров сетевых червях. И так уже не первый год. И всё стоит, и не ломается, и работает. Не сказать, что заражений не было. Но их было так мало, единицы за 4 года... И ни одной глобальной эпидемии с начала использования Dr.Web ES. Даже и не знаю, захотел бы я тратить ресурсы этих морально устаревших компьютеров на HIPS-технологии ради такой мелочи.

30%, говорите? Не-а, никогда не поверю.

Валера, блин, ты вроде умный человек, а несешь чушь с умным видом. Твой личный опыт никого не интересует, это твой субъективный опыт, твои 150 компьютеров - это ничто по-сравнению со всей вселенной. Так вот, все зависит от пользователя. Что он посещает, как он посещает, на что нажимает и так далее. Количество факторов для заражения огромно, невероятно огромно, например, заточка под обход конкретных антивирусов (я видел ТЗ на разработку вирья, дрвеп там нет). Я тебя уверяю, что ходить по "порно" и кликать с удовольствием можно и с дрвеп и 30% (а то и еще меньше). Поверь мне, это так. И что самое интересное, то 0day мало кто вообще поймает. Так что ты можешь верить, а можешь не верить, мне пофигу, НО я тебя уверяю, что сигнатуры, эвристика, FLY-CODE (госпади, зачем так убого называть эмулятор и данные из него...) и унылые Origins тебя не спасут. Просто вы отстали и это факт.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

sww, спасибо за мнение. Для противовеса сойдёт.

То, что Вы назвали чушью, я назвал этюдом. Это не доказательство чего-либо. Это жизнь. Впечатление от работы продукта без HIPS и без сканирования 200МБ файлов за 3 секунды ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
sww, спасибо за мнение. Для противовеса сойдёт.

То, что Вы назвали чушью, я назвал этюдом. Это не доказательство чего-либо. Это жизнь.

Я часто вижу от тебя этюды, но к объективной ситуации они вообще никак не относятся, а особенно к жизни.

Впечатление от работы продукта без HIPS и без сканирования 200МБ файлов за 3 секунды ;)

А у меня сам знаешь что больше :P

Опять же, не понимаю причем тут это? Неужели ты думаешь, что ХИПСы придумали только для того, чтобы "пирожки" продавались круче? Только без этюдов плз - лишняя софистика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На самом деле, если пиарится "и только Dr.Web лечит от самых новых руткитов" или "и только Dr.Web может вылечить от Polipos к 12 часам 15 минутам прошлого вторника" (к примеру), то доказать это не так сложно. И после этого со спокойным сердцем можно вполне применять превосходные степени прилагательных. Не всегда нужен какой-то навороченный тест для того, чтобы заявить о некоторых характеристиках антивируса. А вот под некоторые заявления нужна довольно сложная методика, чтобы "достать" эти преимущества и показать публике.

Софистика, Валера.

Впрочем, мы с тобой эту тему здесь затрагивали (концовка поста и дале по тексту). В дополнение могу тебе сказать, что то, что я тебе пытался донести до твоего сознания, подтвердилось на практике в нескольких организациях -- не можете предоставить документального подтверждения своего главного тезиса, значит, не о чем говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Миш, ты правда считаешь, что результаты тестирования на Anti-Malware являются документальным подтверждением чего-либо?

Да ну. Администрация портала сама признаёт, что до идеальных тестов ещё далеко.

Но почему-то считается, что лучше такие, чем никакие.

Да, я могу принять существование такого мнения, что для кого-то такие тесты лучше, чем ничего, хотя не и не разделяю эту точку зрения.

Но эти тестирования также и не документальное подтверждение.

Исследования лаборатории не стандартизованы, не сертифицированы, не подтверждены независимой аудиторской проверкой (да и практически невозможно сейчас такую квалифицированный аудиторский контроль и создать). Тесты также вызывают множество вопросов, как по методике проведения, так и по представлению результатов широкой публике.

То же самое можно сказать про квалификацию людей, которые проводят тестирования. Руководят тестированием вроде бы люди адекватные, но их квалификация также ничем не подтверждена, кроме нашей веры в их квалификацию. (Здесь я не про администрацию веду речь, а про более квалифицированных, опять же, по моему мнению, людей, которые фактически руководят тестированием). Непосредственное тестирование проводят люди, которые, скажем, тоже не вызывают доверия лично у меня, у меня нет сведений, подтверждающих, что эти люди способны провести тестирование, избежав ошибок и ляпов.

Для себя, для СМИ - да, тесты представляют некоторый интерес.

В качестве документального подтверждения чего-либо - нет.

И заявления Ильи о том, что эти тестирования сначала вызывают бурю недовольства, а затем становятся классикой, кажутся... слишком самоуверенными.

Вера в собственные силы - это хорошо. Но этого недостаточно для получения результатов, которые можно использовать в процессах, требующих документального подтверждения.

А т.к. эти результаты не могут являться документальным подтверждением качеств продуктов, они имеют такую же ровно силу, как и заявления вендоров, сделанные на собственном опыте и мировосприятии.

Поэтому все вендоры (как вот ESET недавно) стремятся получить различные сертификаты от госслужб. Вот их можно показывать крупным заказчикам. Это - документальное подтверждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, речь идёт не о качестве тестов в данном случае, а об их юридической силе, о возможности применять их результаты для документального доказательства чего-либо. И моё сообщение было ответом на другое сообщение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

полагаю, что не так. И это просто до очевидности. Какой вендор скажет - да, тут мы отстаем, тут недокрутили, тут просто не успели? Как то слышать такое не приходилось.....

Приходилось слышать - х64 будет скоро, прям на неделе.... (Год прошел, релиза нет :D . Здесь не акценты, а откровенная ложь!). Приходилось комментировать аргумент - мы лучшие в лечении. В ответ вопрос - чем можете подтвердить? Ответ, как вы понимаете, был уклончивый до полного молчания. Голословное утверждение выглядит как попытка обмана, а повторяя персонаж известного фильма - "маленькая ложь рождает большое недоверие"...

Отказ от участия в тестах как раз и ставит вопрос подтверждения. Люди, которые так или иначе вынуждены слушать маркетинговый бред, обычно подготовлены и предварительно оценили некоторые продукты и те минимальные требования, которым они должны удовлетворять. А им двигают - цитирую "вендорскую похвальбу" (с) не я. И их "мировосприятие" оценено - "очень денег хочется" (с) не я.

Это мое восприятие от общения с администраторами, которые так или иначе причастны к закупкам АВ продуктов в Украине.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
Поэтому все вендоры (как вот ESET недавно) стремятся получить различные сертификаты от госслужб. Вот их можно показывать крупным заказчикам. Это - документальное подтверждение.

Валерий, документальное подтверждение чего? :)

Того, что ПО соответствует ТУ и не содержит НДВ? Это, безусловно, важные вещи, но, пардон, при чем тут тестирование на качество?

Или появились новые сертификаты, подтверждающие качество работы с точки зрения ловли вирусов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Какой вендор скажет - да, тут мы отстаем, тут недокрутили, тут просто не успели? Как то слышать такое не приходилось.....

Если бы видели, сколько раз в день в техподдержке пишут примерно так: "К сожалению, у нас нет сейчас продукта, полноценно поддерживающего 64-битную платформу Windows...". Можете сами соответствующий вопрос задать, получите подобный ответ.

Приходилось слышать - х64 будет скоро, прям на неделе....

Официальных заявлений по этому поводу не было. То, что пишется на форумах, не стоит брать в рассчёт. И в техподдержке не говорили, что через неделю будет в релизе 64 бита.

Приходилось комментировать аргумент - мы лучшие в лечении. В ответ вопрос - чем можете подтвердить?

Тут можно приводить факты по актуальным руткитам, с которыми одни продукты справляются, а другие - нет. Зависит от того, кто хочет подтвердить и что конкретно.

Подтверждает ли тест АМ на активное заражение, что Dr.Web противодействует всем существующим руткитам? Нет, тоже не подтверждает.

Этот результат говорит о том, что при данной методологии для отобранных образцов, которые авторы тестирования считают достаточно репрезентативными, были получены такие-то результаты.

Кто это сказал? Независимая лаборатория, квалификация и результаты которой ничем не подтверждены.

Если подобный эксперимент проведёт тестовая лаборатория вендора, то юридически этот результат при прочих равных (публикация методики, возможность воспроизвести тестирование и пр.) будет иметь большую доказательную силу.

Люди, которые так или иначе вынуждены слушать маркетинговый бред, обычно подготовлены и предварительно оценили некоторые продукты и те минимальные требования

Так зачем им тогда результаты тестов АМ, если они могут и сами оценить "некоторые продукты"?

Такие люди не будут пользоваться информацией, которая не имеет юридической силы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
Если подобный эксперимент проведёт тестовая лаборатория вендора, то юридически этот результат при прочих равных (публикация методики, возможность воспроизвести тестирование и пр.) будет иметь большую доказательную силу.

Это не так.

Именно потому, что это будет делать лаборатория конкретного вендора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, документальное подтверждение чего? smile.gif

Того, чего могут подтвердить документально, того и оформляют, и показывают.

Да, сертификатов, подтверждающих юридически качество продуктов на данный момент нет. К сожалению для корпоративных и госзаказчиков.

Это не так. Именно потому, что это будет делать лаборатория конкретного вендора.

Это так, потому что квалификация этих людей как тестеров антивирусных продуктов официально подтверждена. И тест можно воспроизвести по предоставленной методике всем желающим аудиторским конторам, которые пожелают проверить эту информацию, например, по запросу заказчика. Этой аудиторской конторе будет хоть что оспаривать - конкретный документ, имеющий юридическую силу. Оспаривать же тесты АМ можно только с позиции выявления в результатах тестирований сведений, которые не соответствуют действительности и порочат деловую репутацию компании. Но это практически нереально, потому что "мы провели собственное тестирование по нашей методологии и назвали это тестирование так, нам так захотелось, и наши результаты мы не позиционируем как результаты, за которые мы можем/хотим юридически отвечать". Т.е. тестирование на АМ проводится на правах независимого журналистского расследования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
квалификация этих людей как тестеров антивирусных продуктов официально подтверждена

Ого, это чем же? Трудовой книжкой? Не надо сюда приписывать контроль качества (QA) это совсем разные темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ого, это чем же? Трудовой книжкой?

Ну да, хотя бы книжкой. Выпиской из трудовой биографии об опыте работы по теме.

Это лучше, чем ничего.

Если спортсмен установил мировой рекорд на домашней тренировке, он не будет признан. Даже если оборудование, которое использовалось для замера, удовлетворяет международным стандартам. Примерно такие мысли меня посещают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Официальных заявлений по этому поводу не было. То, что пишется на форумах, не стоит брать в рассчёт. И в техподдержке не говорили, что через неделю будет в релизе 64 бита.

Это не форум, а заявление одного из топ-менеджеров компании. Поэтому ответ не в тему. Заявление топ - менеджмента многие обоснованно считают официальным заявлением.

Это так, потому что квалификация этих людей как тестеров антивирусных продуктов официально подтверждена. И тест можно воспроизвести по предоставленной методике всем желающим аудиторским конторам, которые пожелают проверить эту информацию, например, по запросу заказчика. Этой аудиторской конторе будет хоть что оспаривать - конкретный документ, имеющий юридическую силу.

Как то вы очень небрежно об аудиторах.... Так чем подтверждается квалификация - сертификатами каких компаний, центров, органов? У меня вот есть несколько международных - поверьте, я, даже имея их, не бросался бы на амбразуру. Второе - любой аудитор оценит методику и проведет тест, сравнит результаты - и, просто представим себе (хотя таких примеров море) результаты не подтвердились? Гнать в шею тестеров? Нет, они работают на конкретного начальника, которому надо кроме объективных данных всегда показать, где они сильнее :D Кроме того, я сомневаюсь, что компания выложить из кармана несколько тысяч евро для подтверждения результатов внутренних тестов. Как пример - материалы сравнения ES и ePO. С какого бодуна орхестратор попал в антивирусы? Я б дальше и не читал - как аудитор, кстати :D

Это типа сравним лимузин и пикап. Вроде как ездят, а то, что назначение у них разное - это ж можно опустить для красоты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Так чем подтверждается квалификация - сертификатами каких компаний, центров, органов?

Вот независимые лаборатории сейчас и процветают потому что этих институтов нет, пользуются моментом. Обвинять их в этом сложно, молодцы.

Вернее, эти институты начинают создаваться, но, к сожалению, очень медленно идёт процесс. Не всем далеко вендорам выгодно проведение объективных тестирований, имеющих юридическую силу. Многим хочется выбирать из нескольких лабораторий ту, тестирования которой им кажется "правильными".

Подумайте, AMTSO ведь создали не от хорошей жизни. Что-то же движет этими людьми? Чему противодействует эта организация? Не многочисленным ли независимым лабораториям? Не прямой ли это ответ на Вашу аргументацию?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • mirkosmetik
      Спасибо, полезно.  
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
    • AM_Bot
      Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM. В конце 2020 года состоялся релиз новой, 9-й версии; слоганом презентации стало «Дальше только космос». Рассмотрим, какие изменения произошли по сравнению с предыдущей, 8-й версией.    ВведениеНовые возможности Ideco UTM 9Системные требования Ideco UTM 9 для разного количества пользователейПреимущества Ideco UTM 9 перед конкурентамиКонцепция постоянных обновлений Ideco UTM 9Принцип «всегда на связи»ВыводыВведениеIdeco UTM представляет собой шлюз безопасности типа Unified Threat Management (система единообразной обработки угроз) российского разработчика «Айдеко». Предыдущая, 8-я, версия этого шлюза рассматривалась на нашем сайте весьма подробно. Новая редакция продукта обладает широкими функциональными возможностями за счёт использования таких модулей и механизмов, как защита от несанкционированного доступа и внешних угроз (межсетевой экран, WAF, контроль приложений и другие), контроль доступа, контентная фильтрация, антивирусная проверка трафика, антиспам (на основе технологий «Лаборатории Касперского»), возможности работы в качестве VPN-, DNS-, DHCP- и даже почтового сервера.Исходя из перечисленных функций можно сказать, что Ideco UTM уже вышел за рамки привычного класса устройств для сетевой безопасности и представляет собой экосистему, работающую не только для организации и защиты сети, но также для частичного построения серверной инфраструктуры.За прошедшие 15 лет это решение стали использовать такие компании и ведомства, как Федеральная таможенная служба, холдинг «Вертолёты России», ArcelorMittal. В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.Ещё одним преимуществом рассматриваемого решения является его наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных. Это позволяет использовать Ideco UTM 9 для целей обеспечения государственных и муниципальных нужд в соответствии с постановлением Правительства Российской Федерации № 1236 от 16 ноября 2015 г., а также в рамках программы импортозамещения, что важно в свете планируемого перевода субъектов КИИ на российские продукты.Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11. В этой версии обновлены многие системные пакеты, увеличена производительность, включена поддержка новых платформ.Переработан веб-интерфейс администратора. Теперь он ещё удобнее с точки зрения структуры и работает быстрее, чем раньше. Рисунок 1. Интерфейс администратора Ideco UTM 9 Добавлена ролевая модель администраторов. Теперь благодаря ей доступ разделён на две категории: полный доступ и только чтение, что позволяет предоставлять его обучающимся или неопытным пользователям. Рисунок 2. Добавление учётной записи администратора Реализован раздельный доступ в консоль по SSH под логинами администраторов. Это позволяет настроить сети, из которых возможен доступ по SSH. Раньше была возможность подключаться только к веб-интерфейсу шлюза. Рисунок 3. Управление доступом по SSH В обновлённой версии шлюза безопасности добавлена установка пароля администратора при развёртывании сервера. Данная возможность исключает использование стандартных паролей и делает необходимой их ручную смену после установки продукта. Это позволяет избавиться от типичной проблемы использования нестойких и подверженных взлому паролей в привилегированных учётных записях.В межсетевой экран добавлены счётчики срабатывания правил, что позволяет эффективнее управлять правилами, удаляя или дорабатывая правила файрвола не имеющие срабатываний. Рисунок 4. Управление правилами файрвола В Ideco UTM 9 появился почтовый узел («релей») с возможностью работы в качестве полноценного почтового сервера с модулем антиспама от «Лаборатории Касперского». Рисунок 5. Основные настройки почтового релея Почтовый релей может подписывать исходящие письма DKIM-ключом, который используется почтовыми сервисами для идентификации и классификации электронной почты. Рисунок 6. Включение функции DKIM В продукте обновлён модуль системы предотвращения вторжений. Теперь он более эффективен в выявлении и предотвращении атак.Добавлена возможность отправки оповещений о событиях на сервере с помощью телеграм-бота. Рисунок 7. Настройка телеграм-бота Системные требования Ideco UTM 9 для разного количества пользователейIdeco UTM — это программное решение, что весьма выгодно с точки зрения отсутствия необходимости покупать продукт вместе с аппаратной частью. Достаточно выделить соответствующие ресурсы из уже имеющихся. Несмотря на новые функции, появившиеся в версии 9, требования к аппаратному обеспечению не изменились по сравнению с 8-й версией. Таблица 1. Минимальные системные требования, предъявляемые Ideco UTM 9Минимальные системные требованияПримечаниеПлатформаОбязательна поддержка UEFI Гипервизор2-е поколение виртуальных машин HyperV (с отключённым SecurityBoot) ПроцессорIntel Pentium G / i3 / i5 / Xeon E3 / Xeon E5 с поддержкой инструкций SSE 4.2Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов, таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Для работы системы требуется минимум два, лучше четыре ядра процессора.Объём оперативной памяти8 ГБ (16 ГБ при количестве пользователей более 75)Дисковая подсистемаЖёсткий диск (магнитный или SSD) объёмом 64 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID. В случае использования почтового сервера — второй жёсткий диск.Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет или материнскую плату). При использовании аппаратных RAID-контроллеров настоятельно рекомендуется использовать плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива. Не поддерживаются диски объёмом выше 2 ТБ.Сетевые адаптерыДва сетевых адаптераРекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek со скоростью 100/1000 Mбит/с.ДополнительноМонитор, клавиатураДля установки и работы Ideco UTM не требуются предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты. Ниже в таблице представлены несколько типов конфигураций, которые зависят от количества пользователей. Таблица 2. Минимальные характеристики сервера для Ideco UTM 9 в зависимости от количества пользователей в сетиКоличество пользователей2550–200200–50010002000Модель процессораIntel Pentium Gold G5400 или совместимыйIntel i3 8100 или совместимыйIntel i5, i7, Xeon E3 от 3 ГГц или совместимыйIntel Xeon E3, E5 или совместимыйIntel Xeon E5 или совместимый 8-ядерныйОбъём оперативной памяти4 ГБ (рекомендуется 8 ГБ)8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБHDD 500 ГБ либо SSD 256 ГБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБСетевые адаптерыДва сетевых адаптера Преимущества Ideco UTM 9 перед конкурентамиIdeco UTM имеет немало особенностей и отличий. Как было сказано выше, это — программное решение, поддерживаемое всеми гипервизорами, без привязки к конкретным аппаратным платформам. Благодаря этому можно разворачивать продукт как на собственных мощностях, так и в облаке.Настройка шлюза упрощена за счёт большей автоматизации процесса. Рисунок 8. Настройка контроля приложений Время внедрения системы в организации минимизировано благодаря интеграции с Active Directory, SIEM, DLP-системами, а также предпродажной (presale) поддержке от производителя решения. Рисунок 9. Настройка интеграции с Active Directory Рисунок 10. Настройка отправки отчётов в SIEM Рисунок 11. Настройка интеграции Ideco UTM с сервисами ICAP (DLP, антивирусы и т. д.) В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.Одна из концепций «Айдеко» — использование опенсорс-продуктов в совокупности со своими разработками. Компания не скрывает факта использования программ с открытым исходным кодом: ядра Linux, Suricata, Nginx, Squid и других. «Айдеко» дорабатывает их и делится этими доработками с сообществом. Собственные разработки «Айдеко» касаются создания правил для определения и предотвращения атак.Отметим усовершенствованную систему справки — рядом с каждым пунктом меню веб-интерфейса продукта есть иконка, нажав на которую администратор перейдёт к соответствующему пункту документации. Рисунок 12. Иконка вызова документации Рисунок 13. Переход в документацию Быстрые релизы и постоянное развитие продукта — принцип «agile» в действии. Также отдельного упоминания заслуживают мгновенные ответы техподдержки по различным каналам коммуникации.Давайте рассмотрим последние два принципа чуть подробнее.Концепция постоянных обновлений Ideco UTM 9Компания «Айдеко» уделяет огромное внимание управлению изменениями своего продукта. С момента выхода 9-й версии в конце 2020 года выпущено уже 8 релизов. Средний интервал между ними составляет около 2 недель.Обновления касаются не только исправления выявленных ошибок, но и улучшения используемых модулей (например, в редакции от 19 марта обновлён модуль системы предотвращения вторжений Suricata до версии 6.0.2), а также ввода новой функциональности (в релизе от 5 февраля добавлены новые возможности, касающиеся учёта и отчётов по веб-трафику).Таким образом, компания заботится о том, чтобы решение было удобно для организаций и действительно работало так, как это нужно пользователям.Принцип «всегда на связи»Забота о клиентах проявляется не только в том, что компания регулярно обновляет свой продукт, но и в том, что она обеспечивает его поддержку и собирает обратную связь для выявления потребностей используя абсолютно разные каналы связи. Это — классическая почта и портал технической поддержки, многоканальный телефон, телеграм-бот и канал в Telegram, чат в веб-интерфейсе самого продукта. Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.ВыводыIdeco UTM 9 — это постоянно развивающееся отечественное решение, включившее в себя не только функциональную часть как таковую, но и современный подход к разработке и сопровождению продукта. С одной стороны, это IPS, межсетевой экран, почтовый релей и т. д., а с другой стороны — постоянная обратная связь с производителем решения, регулярные релизы и обновления.С каждой версией производитель всё больше заботится об администраторах с базовыми знаниями сетевых технологий, упрощая процесс настройки шлюза безопасности, структурируя веб-интерфейс и принудительно заставляя уходить от «пустых» паролей и паролей «по умолчанию», что важно для бюджетных организаций и компаний с маленьким штатом ИТ-сотрудников. Читать далее
×