Сколько вирусных аналитиков на сегодня у каждого из вендоров?

[A. 875]

Раз уж начал наблюдения, для объективности отмечу по замеченному. У доктора Вэба по выходным дежурит один аналитик при условии: Viral danger: low.

То есть и по другим вирлабам, не исключено, что не стоит сильно надеяться по выходным на быструю реакцию.

Только что смотрел в соседнем кабинете - как минимум троих видел

[Сергей Ильин 1538]

Кстати подумал на досуге, что было бы очень занимательно высчитать некий KPI для антивирусных вендоров и их вирусных аналитиков. В первом приближении это может быть:

% среднего детекта (данные нескольких тестлабов)/кол-во вирусных аналитиков

На выходе будем иметь коэффициент эффективности работы, включая имеющуюся автомазиацию

[Kapral 311]

В первом приближении это может быть:

% среднего детекта (данные нескольких тестлабов)/кол-во вирусных аналитиков

Вирлаб 1 - один запрос в сутки - 1 вирус - 1 аналитик - процент как бы 100%

Вирлаб 2 - 10000 запросв в сутки (из них 2 вируса) - 20 аналитиков - процент как бы резко худший становится

1е приближение - уж слишком 1е

[strat 275]

Количество аналитиков - величина второстепенная. Ранее роллс ройс указывали мощность двигателя как "достаточная" или "достаточная +51%". Что толку в аналитиках, если защита общая хромает по тестам? Значит недостаточно аналитиков, прогеров, технологий для борьбы. Что тут еще то считать.

[Сергей Ильин 1538]

Вирлаб 1 - один запрос в сутки - 1 вирус - 1 аналитик - процент как бы 100%

Вирлаб 2 - 10000 запросв в сутки (из них 2 вируса) - 20 аналитиков - процент как бы резко худший становится

Я имел в виду процент детекта в независимых тестах. Сколько там кому приходит самплов и кто их обрабатывает в данном ключе вообще не имеет значения. Там может быть вообще все автоматизировано, а 1-2 аналитика могут быть чисто на обслуживании автодятла Тогда у такого вирлаба эффективность по предложенной мной формуле будет приближаться к 100 [%/человек].

[Kapral 311]

Я имел в виду процент детекта в независимых тестах. Сколько там кому приходит самплов и кто их обрабатывает в данном ключе вообще не имеет значения. Там может быть вообще все автоматизировано, а 1-2 аналитика могут быть чисто на обслуживании автодятла Тогда у такого вирлаба эффективность по предложенной мной формуле будет приближаться к 100 [%/человек].

Честно говоря - что-то не совсем понял технологию подсчета

[ktotama 45]

Количество аналитиков - величина второстепенная.

Понятие относительное - в некотором смысле да. Но не такое уж второстепенное

Что толку в аналитиках, если защита общая хромает по тестам? Значит недостаточно аналитиков, прогеров, технологий для борьбы. Что тут еще то считать.

Сложилось мнение, что те, кто больше замечен в подглядывании детекта друг за другом, делает в общем по отрасли гораздо более оперативно добавление его в свои базы. Другое дело, что нередко делают это практически на автомате, без тщательного разбора, это может быть ложное срабатывание на безвредный файл. Правда чаще пользы или вреда от этого файла мало или нет, хотя хуже, когда иногда под разнос по схожим сигнатурам попадают системный файлы. С другой стороны, периодически на форумах вендоров встречаются посты клиентов, что нет детекта по 2 недели на реальные трояны и фишинг, и нередко когда "малоподглядывающие" вендоры проигрывают по срокам реакции.

Вот если даже у крупных вендоров существенно увеличить количество аналитиков - это послужит прорыву во всеобъемлющей оперативности реакции на zero-day?

Какова динамика по последним годам и предполагаемые планы по численности вирусных аналитиков у крупных вендоров, есть ли некая прогрессия, и насколько ее динамика близка росту численностей угроз?

Почему говорю про крупных в первую очередь - потому что считаю, что все в конечном итоге друг за другом "подглядывают", и более мелкие по финансовым показателям - чтобы выжить и быть рентабельными - другое дело, что кто-то это делает почти всегда на автомате, а кто-то реже, вдумчивее, тщательнее разбирая и аккуратнее, в том числе, кто-то шифрует имена угроз по непохожей классификации, чтобы меньше нарываться на критику.

[strat 275]

Перезагрузка.

Для чего это знать? Что это даст?

Пример

v1 - аналитиков много

v2 - аналитиков мало

v3 - аналитиков средне

один из вариантов:

v1 имеет отвратительную защиту по тестам

v3 - отличная защита

v2 - отличная защита

Ну и какие выводы будем делать?

v1- не справляются, набирают много аналитиков, автодятлы имеют низкую производительность

v2- отличные автодятлы, отличная технология

v3 - как v2 или хуже

Ну и что это даст? ничего... все равно будет все тестами определяться, и никто не отбрехается своимм количеством аналитиков. Если у кого-то будут косяки, то ему скажут набирай больше или лучше, делай технологии качественнее, но они и сами должны знать свои проблемы.

[ktotama 45]

Ну и что это даст? ничего... все равно будет все тестами определяться, и никто не отбрехается своимм количеством аналитиков. Если у кого-то будут косяки, то ему скажут набирай больше или лучше, делай технологии качественнее, но они и сами должны знать свои проблемы.

Вендоры знают да, но мало в том числе об этой стороне знает конечный пользователь. А для кого-то и этот показатель будет иметь дополнительное значение, за кого проголосовать рублем-долларом-евро- и таким образом повлиять на производителя, и кому-то в том числе поэтому будет ясно, что наблюдающая относительно невысокая результативность - не временное явление, а системное, и кто-то в очередной раз задумается о том, чтобы уйти от ставшего привычным вендора к более достойному, в том числе и потому, что кто-то при нехилых финансовых показателях держит количественный показатель по аналитикам на уровне "на плаву", а не на опережение рынка, и не настолько, насколько может себе позволить, в затылок к zero-day угрозам. Что в итоге может повлиять на пересмотр вендором своего мнения о необходимой численности.

[Kapral 311]

Перезагрузка.

Для чего это знать? Что это даст?

Ну и что это даст? ничего... все равно будет все тестами определяться, и никто не отбрехается своимм количеством аналитиков. Если у кого-то будут косяки, то ему скажут набирай больше или лучше, делай технологии качественнее, но они и сами должны знать свои проблемы.

Согласен

Допустим мы получим какойто показатель - что он даст

ИМХО тут надо учитывать

1. Общая загруженность вирлаба

2. Загруженность в указанный промежуток времени

3. Количество сотрудников вирлаба

4. Мощность автодятла (правда в каких показателях ?)

5. какие именно образцы идут (малварь, мусор, прочее в виде кряков и другого, что одни вендоры определяют, а другие нет) - ну тут уж не проблема . опыт то есть

6. Количество фолсов/правильных детектов

Но опять таки

Допустим мы получим какойто показатель - что он даст

[Dale Northrop 11]

Если логически, то Symantec имеет самое высокое количество аналитиков в вирлабе, по всему миру есть операционные центры и датчики, которых у них также больше, чем у кого-либо ещё, так как самое большое(огромное) кол-во сотрудников и средств. "Восемь центров Symantec Security Response, четыре центра Symantec Security Operations, 120 млн систем и свыше 40 тыс. датчиков, развернутых в 180 странах."

P.S. Тема спорная, точной информации нет. Следует хотя бы чётко знать схему работы вирлаба вендора и как влияют многие факторы на его работу итд. Подобную информацию можно узнать только у представителей данных вирлабов - аналитиков.

Отредактировал Январь 31, 2012 Dale Northrop