Обзор Check Point Abra - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор Check Point Abra

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

approved_by_anti-malware.gif

00.pngCheck Point Abra – это защищенный USB-накопитель, позволяющий развернуть безопасное виртуальное рабочее место на любом компьютере под управлением операционной системы Windows. Для обеспечения безопасности рабочего места Check Point Abra использует аппаратное шифрование данных, контроль запуска приложений и передаваемых данных, встроенный брандмауэр и антивирус, доступ к корпоративной сети через VPN SSL. Использование Check Point Abra открывает пользователям новую грань мобильности – путешествие не с ноутбуком в руках, а со своим рабочим местом «в кармане».

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

Продукт на самом деле интересный. В целом сбылись желания тех, кто мечтал о некотором устройстве, с помощью которого можно будет безопасно работать с любого компьютера, даже потенциально зараженного.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано

Да, но как представлю, что даже, добираясь из своего города в другой город через несколько пересадок, со мной будет только флешка....

Устройство больше подходит (для меня, для других пользователей, вполне возможно, и по-другому) для того, чтобы совершать чартерные рейсы из дома на работу и обратно.

А на работе может случиться так, что что-то не заработает. (запустится этот продукт, скажем, под ограниченной учёткой?)

Но в любом случае это хорошо - больше продуктов и разных. Ниша у этого продукта есть.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
(запустится этот продукт, скажем, под ограниченной учёткой?)

Да, Abra работает под ограниченной учеткой не теряя в функциональности.

Продукт предназначен для использования в "недоверенной" среде, не на своем ПК, где не известно есть ли AV, стоят ли апдейты, есть ли малвара и прочее.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Да, Abra работает под ограниченной учеткой не теряя в функциональности.

Спасибо, тогда вроде как кул.

Кстати, а почему всё же нужно грузиться в чужой недоверенной среде вместо того, чтобы с флешки загрузить свою систему и в ней работать? Проблемы с драйверами и прочим таким образом обходятся? А что, если на чужом компьютере мак-ось или линух?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

strat    275

strat
Опубликовано
Рисунок 12. Информация о программных модулей, входящих в Check Point Abra.
Рисунок 21. Завершения установки соединения с сервером

каким образом был сделан "Рисунок 14. Рабочее пространство Check Point Abra"

если

Check Point Abra также блокирует использование «грабберов» и возможность печати из приложений, запущенных в виртуальной среде.

Исходя из этого:

Хотя компания Check Point регулярно обновляет списки разрешенных для запуска приложений, все же некоторое неудобство вызывает то, что нельзя запускать некоторые привычные программы.

Дисковое пространство (4 или 8 Гб) несколько ограниченно. Это не очень заметно при работе с документами, но если необходимо работать с графикой или видео, то доступное пространство серьезно ограничивает возможности.

непонятно, как можно было бы поработать с видеоредактором, если его нет в списке разрешенных, то ли администратор может внести, то ли надо ждать обновление от компании Check Point

Другой вопрос:

В виртуальной среде запускаются только приложения, находящиеся в «белом» списке, установка и запуск остальных программ блокируется.

что будет, если на зараженном компьютере к IE подгружается зараженная dll и её не увидит антивирус на флешке. Вообще какой-либо доступ к инетрнету возможен, пусть даже через корпоративную сеть и соответственно будет доступ троянца к передаваемым данным. Как-то так ИМХО, т.е. угрозы все же есть.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Kartavenko M.V.    34

Kartavenko M.V.
Опубликовано

Спасибо за выявленные опечатки

каким образом был сделан "Рисунок 14. Рабочее пространство Check Point Abra"

Находясь в самой среде. А потом через экспорт выгружая в основную систему. А из основной системы не получается. Несколькими программами пробовал, как дя захвата изображений, так и для захвата видео

непонятно, как можно было бы поработать с видеоредактором, если его нет в списке разрешенных, то ли администратор может внести, то ли надо ждать обновление от компании Check Point

Список разрешенных программ достаточно большой, можно посмотреть на сайте производителя краткую версию: http://www.checkpoint.com/products/abra/#specs

Однако и администратор в корпоративной сети также может добавить приложение в список доверенных. Так что все честно.

Другой вопрос:

что будет, если на зараженном компьютере к IE подгружается зараженная dll и её не увидит антивирус на флешке. Вообще какой-либо доступ к инетрнету возможен, пусть даже через корпоративную сеть и соответственно будет доступ троянца к передаваемым данным. Как-то так ИМХО, т.е. угрозы все же есть.

После запуска в виртуальной среде запускается новая оболочка explorer.exe. В этот момент она проверяется на наличие различных угроз при помощи встроенных в Abra инструментов. Это позволяет избежать заражения.

А насчет того, что угрозы есть. То тут без сомнения. 100% безопасных решений вроде нет, всегда как минимум 99,99%.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) " Я говорю о том, что процессов не было в "История процессов и задач..."
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd По поводу: 5.0.4 На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] " История процессов и задач... Отобразить цепочку запуска процесса uVS начинает жрать память и... Out of memory. Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти ( и да, твик: 39\40 ) на происходящее не влияет ) ----- Второе, при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) Третье: При проверке системы с Live CD Видим следующее: Загружено реестров пользователей: 6
      Анализ автозапуска...
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TMP ------------- Так это в списке Live CD: ;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
      ; Все ПОДОЗРИТ.  | <%TEMP%>
      ПОДОЗРИТ.  | <%TMP%>
      автозапуск | MMDRV.DLL
      автозапуск | MSCORSEC.DLL
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TMP%>
       \DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%> ------ Четвёртое, по поводу запуска файлов В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent судя по всему сейчас этого нет.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.4
      ---------------------------------------------------------
       o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.  
         Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.

       o Для процессов с внедренными потоками теперь печатается родитель этого процесса.

       o В лог выводится состояние SecureBoot.

       o В лог выводится версия драйвера Ф.

       o Добавлена интеграция с Ф:
         o История процессов загружается из Ф, а не из журнала Windows.
           Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
           то будет доступна лишь история процессов, но не задач.
           Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
         o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
           внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".

       o В меню запуска добавлена опция "Установить драйвер Ф".
         Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
         В отличии от драйвера в Ф эта версия не имеет региональных ограничений. 
         Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
         Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
         Остальной функционал удален.
         Драйвер устанавливается под случайным именем.
         Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
         (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
         (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
         (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
         (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
         (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
         (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.

       o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".

       o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
         к удаленному рабочему столу.

       
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
×