Скорость реакции или качество? Возможен ли компромис?

[Сергей Ильин 1538]

Может хоть субъективное впечатление есть у кого-нибудь?

Какое мнение у Сергея Ильина?

Мое мнение состоит в том, что те вендоры, которые сейчас показывают наивысшую скорость реакции (и опоследовательно имеют самую большу частоту обновления) сумели максимально оптимизировать по времени свои бизнес процессы. Понятно, что для этого по сравнению с конкурентами, пришлось сильно ужать время на следующих этапах:

1. время анализа вредоносного кода

2. создание сигнатуры

3. тестирование сигнатуры

4. релиз обновления

Т.е. на самом деле борьба за скорость реакции не сводится только к уменьшению цикла тестирования. Можно быстрее проводить анализ кода и быстрее выкладывать для скачивания апдейты (т.е. оптимизация по пунктам 1,2 и 4). Но в любом случа это некая технология, которую нельзя просто так поспроизвести или купить.

Я отнюдь не хочу сказать, что ЛК или Доктора Веба выпускают такие же качественные апдейты как работающий по ISO Trend Micro, но только быстрее. Скорее всего у последних их меньше, но у нас нет реальной статистики пока, я писал выше об этом, зависимость между скорость реакции и количесвом сбоев по причине сырых обновлений неочевидна.

Я читал, как работает система тотального контроля качества на японских предприятиях, это действительно впечатляет, но ведь и у них тоже бывают проколы.

И еще, работа в соответствии с ISO это необходимость для крупных компаний как Trend Micro, Symantec или McAfee, иначе ими просто не получится нормально рулить. Как иначе эффективно руководить одновременно вируслабами на Филиппинах, Германии и т.д. :wink:

В этом плане жизнь дает более мелким вендорам преимущесво в скорости и подвижности, чем и пользуются ЛК, Доктора Веб и т.д. (маленькая рыба должны шустрить, чтобы выжить :-))

P.S. А информацию о крупных сбоях можно все таки собрать, хотя бы лидирующей 4-ке.

[Михаил Кондрашин 55]

Парадоксальный вывод напрашивается (который тянет на отдельную ветку): Более оперативную защиту может предложить только маленький вендор. Кроме этого, маленького вендора не замечают авторы вредоносов и его "эвристика" оказывается лучше (ее не пытаются "пробить")!

Общий вывод такой: В отличии от рынка текстовых редакторов (не что я намекаю, ясно), антивирусный рынок никогда не скоагулирует.

[Олег Рагозин 10]

Общий вывод такой: В отличии от рынка текстовых редакторов (не что я намекаю, ясно), антивирусный рынок никогда не скоагулирует

Простите чего рынок не сделает? Моего русского не хватает, чтобы понять главный вывод

Про офисные программы интересное сравнение, которое напомнило мне одну мою историю.

Известно что с каждым выходом новой версии Office Word становится все глючнее, старые ошибки не исправляют, а новые плодятся постоянно. Терпел я это долго, но работа с Word 2003 стала совсем для меня невыносима. Я стал искать альтернативу, и установил Open Office. Его мне хватило на неделю, сначала я испытывал радость от меньшего числа багов и большей устойчивости, потом разочарование слабой функциональностью, которое постоянно росло. В итоге через неделю пришлось вернуться в Word и молча терпеть его глюкавость.

К чему я веду. Любимый гранд-вендор он как любимый кофе или мужчина (рекламу все помнят про неверную жену?), сколько не изменяй, а возвращаться все равно придется. Так что чтобы сдвинуть гранда из большой пятерки (по определению Gartner в данном случае), нужно очень постараться, и только быстрые обновления здесь не помогут.

[Сергей Ильин 1538]

Общий вывод такой: В отличии от рынка текстовых редакторов (не что я намекаю, ясно), антивирусный рынок никогда не скоагулирует.

Думаю да, потому как антивирус - это не просто софт, это в первую очередь сервис, который за этим софтом стоит. Конечно, будут происходить естественные рыночные явления, насыщение, консолидация и т.д., но чтобы все свернулось скажем до 1-2 крупных производитилей, верится с трудом.

[Ego1st 95]

Думаю да, потому как антивирус - это не просто софт, это в первую очередь сервис, который за этим софтом стоит. Конечно, будут происходить естественные рыночные явления, насыщение, консолидация и т.д., но чтобы все свернулось скажем до 1-2 крупных производитилей, верится с трудом.

почему-то мне кажеться что рынок антивирусов скоро вообще отомрёт..

[Михаил Кондрашин 55]

Простите чего рынок не сделает? Моего русского не хватает, чтобы понять главный вывод

см. ru.wikipedia.org

Я имел в виду, что фраза из Горца --- "останется только один" --- не применима к антивирусному рынку.

Добавлено спустя 2 минуты 20 секунд:

почему-то мне кажеться что рынок антивирусов скоро вообще отомрёт..

Это уже тянет на новую ветку!

Почему отомрет? Он вообще-то уже умер - его поглотил рынок SCM (Secure Content Managment), который включает в себя и рынок антитроянцев и рынок антишпионов и антиспам и прочее.

Если вы не в этом смысле, то давайте выкладывайте свои соображения подробнее.

[Сергей Ильин 1538]

ли вы не в этом смысле, то давайте выкладывайте свои соображения подробнее.

Только в новой ветке плиз :off:

За 2006 год, если пробежатся по горячим следам, какие серьезные сбои из-за обновлений были у вендоров?

Я лично из последенего помню только сбой у ЛК: Проблемные обновления привели к падению KAVKIS 6.0

Скидывайте ссылки, если есть инфа про других вендоров.

[E.K. 100]

Долго не хотел влезать в форум - но не сдержался. По причине того, что никто так и не догадался о существовании еще одного фактора, влияющего на частоту выхода апдейтов. А именно - о стоимости поддержки системы апдейтов. То бишь, чем чаще выпускает компания апдейты - тем больше платит денег за трафик и обслуживание инфраструктуры. Начинает выпускать в два раза чаще - платит в два раза больше. В четыре - в четыре с половиной раза больше (поскольку стоимость поддержки растёт нелинейно).

Я не хочу утверждать, что этот фактор главный, но исключать его нельзя. Итого, на частоту выпуска апдейтов влияют:

- желание компании-производителя (понимание важности частых апдейтов).

- качество тестирования апдейтов.

- затраты на поддержку инфраструктуры.

И ISO здесь ни при чём.

[Николай Терещенко 0]

E.K.

Полностью согласен, но ISO напрямую связано с требованиями к качеству. Т.е. фактически ISO тут причем, и на частоту выпуска апдейтов влияют:

- желание компании-производителя (понимание важности частых апдейтов);

- качество тестирования апдейтов (требования к качеству ISO);

- затраты на поддержку инфраструктуры.

[Ego1st 95]

тем больше платит денег за трафик

я может что-то не понимаю, трафик это гоняймые туда сюда киломайты, мегабайты, гигабайты и т.д.? или нет?

какое различие между тем что один раз вечером скачано или несколько раз день, если базы только докачиваються?

Добавлено спустя 37 минут 55 секунд:

Если вы не в этом смысле, то давайте выкладывайте свои соображения подробнее.

с радостью бы ответил но не в этой теме..

[Mr. Justice 771]

Высокий уровень реакции хорош для всяческих тестов. Для защиты реальной сети важна надежность продукта, так как сбои могут обойтись дороже (удаление lsass.exe, как вируса...), чем ущерб от вредоносного кода (какой-нибудь не обнаруженный вовремя dialer).

А может случиться и прямо противоположное: ущерб от "кражи" конфиденциальной информации, осуществленной с помощью троянской программы может значительно превысить размер потенциального ущерба от повреждения системных файлов.

[Dexter 20]

А может случиться и прямо противоположное: ущерб от "кражи" конфиденциальной информации, осуществленной с помощью троянской программы может значительно превысить размер потенциального ущерба от повреждения системных файлов.

Быстрая реакция возможна только при массовости распространения.

Какая конфиденциальная инфа крадётся массовыми троянами?

Пароли к почте, аське, форумам и т.п.

Какой финансовый ущерб может быть от этого в большинстве случаев?

Почти в большинстве никакой.

Падение же сети чревато реальными финансовыми потерями.

Кстати хотел бы напомнить.

Тема: "Скорость реакции или качество? Возможен ли компромис?"

Естественно, хотелось бы и скорости и качества.

Но вряд ли это полноценно возможно.

И поэтому вторая часть темы приобретает особый животрепещущий смысл.

[Mr. Justice 771]

Какая конфиденциальная инфа крадётся массовыми троянами?

Пароли к почте, аське, форумам и т.п.

Какой финансовый ущерб может быть от этого в большинстве случаев?

Во-первых, любой троян, "ворующий" конфиденциальную информацию можно использовать дважды, трижды и т.д. в условиях низкой скорости реакции на новые угрозы. Низкая скорость реакции - питательная почва для

неоднократного использования вирусов.

Во-вторых, не следует пренебрегать "паролями к почте, аське" и т.д. Этот способ также может быть использован для передачи конфиденциальной информации.

Почти в большинстве никакой.

Падение же сети чревато реальными финансовыми потерями.

Я бы не стал рассуждать так однозначно.

[Сергей Ильин 1538]

- затраты на поддержку инфраструктуры.

Тут сразу интересный вопрос возникает, какая зависимость от количества клиентов у вендора?

Если скажем маленький Eset начнет апдейты выкладывать каждый час и большой Symantec?

Я предполагаю, что последнему придется очень серьезно раскошелиться, гораздо больше (в отношении количеству клиентоы) чем маленькому Eset :-)

[Иван 290]

Долго не хотел влезать в форум - но не сдержался. По причине того, что никто так и не догадался о существовании еще одного фактора, влияющего на частоту выхода апдейтов. А именно - о стоимости поддержки системы апдейтов. То бишь, чем чаще выпускает компания апдейты - тем больше платит денег за трафик

гм..у меня обывательский вопрос

количество вирей появившихся за день это некий факт никак не зависящий от антивирусного вендора. Предположим в день появилось примерно 100 зловредов.

Вендор может выпустить обновления 20 раз в день, в каждом из которых 5 сигнатур

А может выпустить одно обновление в день, в котором 100 сигнатур.

Но простите, если база сигнатур грамотно сделана, то трафик за день должен быть одинаков для первого и второго случая.

Вполне возможно я туплю и чего не понимаю, но час уж поздний.

Что же касается ISO, то как уже говорилось выше, ошибки, которые совершают и Симантек и ТРенд с обновлениями и фолсами, а также уязвимости, которые постоянно находят в их продуктах не позволяют мне думать, что в ISO надо искать спасение.

Возможно без ISO было бы все совсем плачевно у симантека с трендом, т.к. разработка и вирлабы у этих компаний монстровидно большие, а значит без строгих регламентов не обойтись

Но думается мне в ISO надо им искать спасение, а в автоматизации работы. ISO как и другие строгие регламенты зачастую замедляют процессы - это факт. А автоматизация их ускоряет.

[Dexter 20]

Во-вторых, не следует пренебрегать "паролями к почте, аське" и т.д

Разумеется.

Я бы не стал рассуждать так однозначно

И я о том же.

Не думаю, что мои разухабистые фразы намного дальше от истины, чем страшилки некоторых антивирусных вендоров, цитаты из которых расходятся по форумам и становятся для многих истиной.

В этих страшилках безусловно можно почерпнуть много полезного, но только если отбросить рекламно-пропагандисткую шелуху, а подобная фильтрация возможна только при наличии личного опыта.

Мой же опыт подсказывает мне, что убийство svchost опасней трояна нулевого уровня.

И здесь снова всплывает вопрос о реализации или мультивендорной защиты или нахождении компромисса в виде стабильного и быстрореагирующего АВ.

[A. 875]

Это вам не удаление lsass.exe! Это не настолько критическая неполадка. Поле нее система качества доработана и больше подобного не повторится.

Bad Trend Micro signature

Published: 2008-02-13

Luke, Charles, Paul and others reported a bad signature update of Trend Micro today. The effects seem to vary from blocking IBM's Domino to blocking the entire collection of machines.

The bad signature seems to be revision 4.995. Version 4.997 is supposed to not exhibit the problem any longer.

I've not found an official or public word from Trend Micro yet.

---

Its night an most of our PCs are off, but I did notice that over night there have been 2 updates to the pattern file. This is unusual as I was not expecting any updates last night. This is going to mess up my low bandwidth site updates.

Это я не злорадствую, поймите правильно. Я предлагаю снова вернуться к теме этого старого топика, потому как реальность все-таки показывает, что ни один из подходов, обсужденнных здесь тогда - не работает. А ведь год прошел ...

[Kokunov Aleksey 20]

На сколько я знаю например у ЛК в пректике иметь отдельный сервер обновления, с которого обновляются бета-тестеры. На этом сервере обкатываются "критические" обновления, и не только...

Др.Веб тоже имеет подобную практику по мойму.

Есть ли такое у других вендоров?

[Сергей Ильин 1538]

A., может ли кардинально решить проблему фалсов сервис типа того, что предоставляет Bit9?

Спрашиваю потому, что слишком много новых версий, апдейтов, патчей и т.д. выходит каждый день. Все это хорошо бы оперативно выкачивать для тестирования новых сигнатур.

[A. 875]

A., может ли кардинально решить проблему фалсов сервис типа того, что предоставляет Bit9?

Спрашиваю потому, что слишком много новых версий, апдейтов, патчей и т.д. выходит каждый день. Все это хорошо бы оперативно выкачивать для тестирования новых сигнатур.

Кардинально ? Мое личное мнение - нет. То есть - теоретически конечно да, но на практике это никогда не будет реализовано.

[Кирилл Керценбаум 671]

может ли кардинально решить проблему фалсов сервис типа того, что предоставляет Bit9?

Ничто не сможет решить эту проблему, можно только увеличивать ресурсы (людские и технически) на тестирование новых сигнатур, но до определенных пределов, иначе затраты будут просто космическими: хороший пример - при изготовлении всего, что связано с космосом существуют совсем другие стандарты качества, соответственно появляются очень надежные аппараты, но и они выходят из строя - но при этом мы хорошо знаем во сколько все это обходится.

Решить нельзя, но минимизировать такую возможность можно, один из путей примерно такой как описал Kokunov Aleksey: разделять сроки выпуска обновлений в зависимости от точки применения; например, у компании Symantec, для почтовых и шлюзовых продуктов график выхода обновления - один раз в 40-60 минут, а для продуктов для файловых серверов и рабочих станций - один раз в 6-8 часов. Этот вариант достаточно эффективен, так как последствия ошибочной блокировки передачи файла значительно меньше, чем результат ошибочной блокировки приложений или ОС.

[А.Щеглов 6]

Коллеги, возможно не совсем по теме данного форума, но меня это заинтересовало.

На своем компьютере я настроил механизм обеспечения замкнутости программной среды (здесь и далее наименований средств не привожу, не хочу рекламы и анти-рекламы). Суть весьма проста - разрешил запускать процессы только с системного диска из определенных папок - только системные процессы и установленные в соответствующие папки приложения. Предотвратил возможность модификации их исполняемых файлов. Поставил на этот же компьютер пару антивирусов (еще раз, без названий). Проводил исследования в течение двух дней (в конце этой недели).

Как проводил исследование. По аудиту отслеживал обращения на запуск (на выполнение) файлов, которые предотвращались замкнутостью программной среды. Затем проверял найденные "сомнительные" файлы (попытка запуска которых предотвращалась) антивирусами.

Результаты. Обнаружил три несанкционированных попытки запуска файлов. Один из файлов при проверке не был отнесен к вредоносным ни одним антивирусом, один только одним из двух антивирусов (было сообщение о возможном "заражении" файла, один - обоими.

Не могу утверждать, что данное исследование корректно в полной мере (над этим нужно еще подумать), не утверждаю, что применил наиболее эффективные антивирусные средства (да, и что применял их в полном объеме - по сути, лишь проверил наличие вируса в файле - сигнатурный анализ), но первый результат таков.

Почему пишу и что заинтересовало. Сам подход к оценке эффективности антивирусных средств, позволяющий проводить тестирование не по какому-либо набору вирусов, а в реальном времени.

Интересно, коллеги, ваше мнение.