Перейти к содержанию
AM_Bot

Trend Micro все еще не может простить Microsoft за Security Essentials

Recommended Posts

AM_Bot

Именно такой вывод напрашивается при ознакомлении с публикацией на сайте V3.co.uk, в которой, согласно заголовку (Trend Micro issues virtualisation security warning), должны освещаться вопросы безопасности виртуальных и "облачных" сред.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Журналисты в данном случае видят то, что хотят видеть. Рассказываю теперь как все на самом деле. В данном случае - это поверхностные выводы в стиле желтой прессы :)

Trend Micro по большему счет наплевать на Microsoft Security Essentials, они не делают больших денег в сегменте персональных пользователей, развивая этот сегмент по остаточному принципу. Хотя последние пару лет делают усилия там потолкаться. И все равно Microsoft Security Essentials не конкурент Trend Micro Titanium (Internet Security и Maximum Security).

А вот с виртуальными средами все очень непросто. Trend Micro на текущий момент единственный вендор, который имеет в своем портфеле специальный продукт для защиты виртуальных сред на базе VMware с поддержкой набора API VMSafe- это Trend Micro Deep Security. Если говорить кратко, то это позволяет производить антивирусную проверку на уровне гипервизора без необходимости ставить на каждый гостевой хост в облаке классический антивирус (безагентская технология). Преимуществ масса: антивирус всегда актуальный, независимо от того какой снепшот поднят; выигрыш в производительности (кеширование на уровне хоста); контроль трафика на одном хосте.

Ничего подобного у конкурентов нет. Все остальные вендоры успешно просрали эту тему с VMware и скоро будут выкинуты на обочину. Только у Symantec скоро выйдет аналогичный продукт, остальные ничего даже не анонсировали.

У Microsoft такие API нет, в этом смысле там ничего аналогичного пока сделать нельзя. Так что Trend Micro с VMware (стратегические партнеры) просто отыгрывают удачную позицию против Microsoft Hyper-V. И какая-то там мелочь типа Microsoft Security Essentials тут совсем не при чем. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

А у меня статья вызвала лишь ощущение что TM решило побить себя пяткой в грудь от бессилия, да и наезд на MSE выглядит комично, поскольку сам TM слабо детектит 0-day в силу пожизненной хилости баз, отсюда и пространные намеки мол сигнатуры никому не нужны, у нас тут облако, у нас тут защита виртуальных сред, мы такие прогрессивные, а всякие бесплатные MSE подрывают уровень защиты... видимо поэтому тот же ОАО РЖД решил что года эпического... "партнерства" с ТМ более чем достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy
видимо поэтому тот же ОАО РЖД решил что года эпического... "партнерства" с ТМ более чем достаточно.

А можно подробности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А можно подробности?

Совершенно очевидно, что имелось в виду совсем иное. Экономико-политический аспект стратегического клиента. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А можно подробности?

В конце 2009-го года ОАО РЖД закупило лицензии на TM OfficeScan, и его проставили на большинство рабочих станций в начале 2010 года... правда отдельные дочерние предприятия не согласились с таким решением и закупили касперского, как выяснилось поступили они очень разумно.

OfficeScan показал себя с очень нехорошей стороны, т.е. все отзывы как от пользователей так от админов были на 99% нецензурными, т.е. он реально пропускает порядка половины свежих зловредов (по данным ShadowServer ~25%) и это еще при том что корп. сеть РЖД официально отрезана от интернета.

Т.е. народ год тупо качал утилиты от касперского от dr.web-а и лечился, соотв. с нового года (по слухам) РЖД собирается переходить на касперского, а как там будет реально я не знаю, пути ржд неисповедимы :)

А вот газпром вроде как собирается переходить на TM в 2011... ржд выдохнул, газпром вдохнул, посмотрим как долго он сможет не дышать :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fоx
Если говорить кратко, то это позволяет производить антивирусную проверку на уровне гипервизора без необходимости ставить на каждый гостевой хост в облаке классический антивирус (безагентская технология).

может я чего путаю, но это не то?

44250219.png

x_3b76b066.jpg

правда в данном случае-на virtualbox ситуация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

to demkd:

Я знаю двух админов банков: 1000 и 4000 компьютеров под Officescan 10.

Люди довольны.

Может дело не в антивирусе, а в руках и мозгах админов? Или в целом в отношении к информационной безопасности на предприятии?

Imho, всё равно какой антивирус установлен на компьютерных предприятия, если к ИБ отношение халатное..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Я знаю двух админов банков: 1000 и 4000 компьютеров под Officescan 10.

Люди довольны.

Я знаю людей, что едят доширак и при этом они довольны, все относительно. :)

Может дело не в антивирусе, а в руках и мозгах админов? Или в целом в отношении к информационной безопасности на предприятии?

Безусловно, халатность в таких больших структурах есть и неизбежно присутствует в массштабах пропорциональных размеру структуры (в случае ржд, единая сеть огромна и уступает по размеру лишь рунету) однако это никак не отменяет того, что TM плохо ловит 0-day, в данном случае он очевидно слабое звено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Fоx

Не отсюда. Все АВ, имеющие ВебАВ делают то, о чем чувак со скрина только узнал. Сергей же говорил о более серьезных технологиях

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy

to demkd:

На счёт 0-day - продукты основных производителей антивирусов предотвращают 95-98% 0-day угроз. Каждый для этого использует что-то своё: Sonar, KSN, SmartScan или другую облачную технологию и те 2-5% угроз, что остались, лежат на совести администраторов.

По данным shadowserver.org (статистика за последний месяц) TrendMicro определяет 63.60% 0-day malware, а именно 1,097,955 из 1,726,310 образцов непонятной хрени..., а MacAfee 17.57% (303,392 из 1,726,310)

в тоже время лучший результат - AntiVir 83.41%

Качество эвристического детекта на данный момент не может быть основным критерием при выборе корпоративного антивируса.

ps. Мнение пользователей при выборе корпоративного антивируса учитываться вообще не должно, они его даже видеть не должны :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
и те 2-5% угроз, что остались, лежат на совести администраторов.

Оптимистично :)

TrendMicro определяет 63.60% 0-day malware

А я про че?

Если мне не изменяет склероз то %% на ShadowServer отражают реальный детект + возможно смелые предположения эвристики... о чем кстати нигде не написано, что эвристика учитывается, однако есть строчка в описании о том что в тесте используются сэмплы, которые точно являются зловредами, из чего может следовать что хотябы один антивирус его опознал и присвоил имя :) Соотв. ТМ имеет 64% на момент, когда зловред уже опознан .. и как тогда эти самые оптимистичные 2-5% пропущенных волшебным образом превращаются в 36%?

в тоже время лучший результат - AntiVir 83.41%

Вот оно у меня он и стоит уже год. :)

Качество эвристического детекта на данный момент не может быть основным критерием при выборе корпоративного антивируса.

Согласен, эвристика на рабочем месте мягко говоря мешает рабочему процессу, некоторые пользователи не с превого раза отличают право от лева и мышку от коврика... какая уж тут эвристика :)

Вот тут и выплывает необходимость в том чтоб антивирус умел детектить свежую малварь по качественной базе, а это и означает что выбор аутсайдеров вроде TM ни разу не оправдан прежде всего финансово, ибо нарушение рабочего процесса на лечение вируса крайне дорогое удовольствие.

Нет, можно конечно пойти путем Центробанка РФ, где безопасность на высоком уровне, где флешки запрещены и пользователи включая программеров лишены админских прав, где перетыкание сетевого шнурка в соседнюю розетку карается немедленно и страшно, а операторы на местах вообще работают на опечатанных компах... оданко почему то центробанк использует касперского, еще и сканирование принудительно и ежедневно, может боятся этих 2-5% процентов или уже просто научены горьким опытом? :)

Мнение пользователей при выборе корпоративного антивируса учитываться вообще не должно, они его даже видеть не должны

И снова согласен, но в случае с TM пользователи сильно озабочены его присутствием и самый популярный вопрос "как же его удалить?" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У McAfee тоже вроде что-то для виртуалок есть

Немного не то, не вижу там в описании аналогичных Trend Micro Deep Security возможнотей. Даже парни из VMware на прошедшем форуме открытым текстом говорили, что пока есть только один антивирусный продукт поддерживающий VMSafe, который работает из под SVM (Security Virtual Machine - спициальный виртуальный appliance).

А у меня статья вызвала лишь ощущение что TM решило побить себя пяткой в грудь от бессилия, да и наезд на MSE выглядит комично, поскольку сам TM слабо детектит 0-day в силу пожизненной хилости баз, отсюда и пространные намеки мол сигнатуры никому не нужны, у нас тут облако, у нас тут защита виртуальных сред, мы такие прогрессивные, а всякие бесплатные MSE подрывают уровень защиты... видимо поэтому тот же ОАО РЖД решил что года эпического... "партнерства" с ТМ более чем достаточно.

Я бы не сказал, что у Trend Micro все очень плохо с антивирусами. Да, они пошли в облака и попрос в том, что эти возможности текущие клиенты в России почти не используют (может я не знаю такие внедрения). Да и много ли внедрений того же OfficeScan 10 вообще?

Что касается РЖД, то там все равно не весь он был под Trend Micro и вопросы выбора решения там явно решается далеко не по рыночным критериям. Все знают, как у нас закупки и тендеры проводятся ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy
отв. ТМ имеет 64% на момент, когда зловред уже опознан .. и как тогда эти самые оптимистичные 2-5% пропущенных волшебным образом превращаются в 36%?

а всё очень просто. Эти 36% никогда не попадут на компьютер пользователя с включенной службой web-reputation.

Какой смысл добавлять в базу 100 тыс сигнатур в день если можно заблокировать 100 сайтов в месяц?

Вы по одной и той же ссылке можете получать каждый раз по новому закриптованый зловред.

А если включать эвристику на максимум, то вырастет процент ложных срабатываний, что для бизнеса очень критично.

Если антивирус прибьёт у пользователя очередную Зуму или Веселую ферму никто не умрёт, а если это будет какое-нибудь корпоративное приложение, развернутое на 10 тыс. рабочих мест..... это обойдётся очень дорого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lepa
Немного не то, не вижу там в описании аналогичных Trend Micro Deep Security возможнотей. Даже парни из VMware на прошедшем форуме открытым текстом говорили, что пока есть только один антивирусный продукт поддерживающий VMSafe, который работает из под SVM (Security Virtual Machine - спициальный виртуальный appliance).

Возьмем потестировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Что касается РЖД, то там все равно не весь он был под Trend Micro и вопросы выбора решения там явно решается далеко не по рыночным критериям. Все знают, как у нас закупки и тендеры проводятся ....

Тотально весь, те кто использовал симантек и др.веб перешли на TM, вот только пара дочерних предприятий "крутило носом" (сеть РЖД использует не только само РЖД), а что не по рыночным... вот это вполне возможно.

а всё очень просто. Эти 36% никогда не попадут на компьютер пользователя с включенной службой web-reputation.

Какой смысл добавлять в базу 100 тыс сигнатур в день если можно заблокировать 100 сайтов в месяц?

Вы по одной и той же ссылке можете получать каждый раз по новому закриптованый зловред.

Опять же оптимистично, значение блокировки сайтов сильно преувеличино :)

В случае же ржд бесполезно, в основном заражение происходило с помощью съемных носителей + кучка свежайщих почтовых червей, что пропускал почтовый антивирь, поэтому качество антивирусных баз по прежнему остается крайне важным фактором влияющим на надежность антивируса, именно в корп. аспекте, а песни о эвристике, облаках, белых и пушистых лошадках на безопасных лугах так и остаются рекламными песнями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Yablonskiy
заражение происходило с помощью съемных носителей + кучка свежайщих почтовых червей,

Сменные носители: блокировка autorun + блокирование запуска исполняемых файлов со сменных носителей (Device Control в Officescan 10.5)

Свежайшие почтовые черви: блокирование на уровне почтового сервера возможности передачи исполняемых файлов, в том числе и в архиве. также возможно карантинить файлы защищённые паролями.

Всё упирается в ручки администраторов.

Безопасность это процесс и антивирус всего лишь маленький, хоть и важный кирпичик.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Всё упирается в ручки администраторов.

Согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Сменные носители: блокировка autorun + блокирование запуска исполняемых файлов со сменных носителей (Device Control в Officescan 10.5)

Автозапуск отключен принудительно всем машинам входящим в единый домен, однако меньше заразы от этого не стало, я думаю все помнят дыру в shell и "волшебные" lnk. Насчет 10.5 то эта версия появилась в конце лета 2010 года(?) почему раньше не было такой полезной фичи?

блокирование на уровне почтового сервера возможности передачи исполняемых файлов

Это сделано на основной части почтовых серверов, но к сожалению далеко не на всех, тут действительно виноваты отдельные почтовые админы.

Безопасность это процесс и антивирус всего лишь маленький, хоть и важный кирпичик.

Вот и плохо когда кирпичек-то "маленький" и хиленький. Впрочем не важно, маленький просто заменят на большой, а в TM будет над чем подумать. :)

Насчет процесс - это конечно правильно и вполне реализуемо... с полностью подконтрольной сетью, в данном же случае надо учитывать размеры и структуру сети и подсчитать затраты, это не какой-то там банк с парой тысяч рабоих мест, это как рунет сделать чистым, безопасным и полностью подконтрольным, реализуемо?

Вполне реализуемо - всего лишь вопрос цены ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Trend Micro на текущий момент единственный вендор, который имеет в своем портфеле специальный продукт для защиты виртуальных сред на базе VMware с поддержкой набора API VMSafe- это Trend Micro Deep Security.
Ничего подобного у конкурентов нет.

Сергей, вот я бы тут не согласился, подобные продукты на рынке есть - их немного, но есть, Trend Micro утверждает что их продукт уникальный - но это не так, вот примерный список (http://www.virtualizationsecuritygroup.ru/):

Reflex VMC

Security Code vGate

Check Point Security Gateway Virtual Edition

IBM Security Virtual Server Protection for VMware

McAfee Total Protection for Virtualization

Только у Symantec скоро выйдет аналогичный продукт, остальные ничего даже не анонсировали

Ну-ну :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×