Перейти к содержанию
Сергей Ильин

West Coast Labs: Application Control and Whitelisting Test

Recommended Posts

Сергей Ильин

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Это очень выстраданный тест - фактически первый тест на Облака и контроль приложений для антивирусных продуктов (да и в вообще).

Мы надеемся что тесты качества облаков будут развиваться и в них будут принимать участие всё новые и новые вендоры и лабы, потому что это - тренд развития индустрии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это очень выстраданный тест - фактически первый тест на Облака и контроль приложений для антивирусных продуктов (да и в вообще).

Олег, а где имена конкурентов то? Я помню эти же данные но с именами показывали журналистам.

Если вы не можете опубликовать от себя, то я могу ЭТО слить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Вопрос номер три: аудитория данного портала принципиально, прям в упор не признаёт технологию Application Whitelisting, причём без технологических мотивов, просто молясь на привычные [для них] blacklisting-based антивирусные программы. Ситуация вдруг начала меняться? Кто реально пользуется возможностями Application Whitelisting в своей рабочей среде (на предприятии и дома)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

Проценты вычисляются относительно максимально возможного результата. Например, Whitelisting Creation - 740 баллов макс., таким образом Касперский получил за 740 баллов там 100%.

Пикантный момент тестирования - его участники:

• Kaspersky: Security Center 9 & Endpoint Security 8

• Symantec: Endpoint Protection 12.1

• McAfee: Solidcore Application Control 5.2.0 with ePolicy Orchestrator 4.6

A third vendor who participated in the testing but then, subsequent to the testing

being completed, requested to withdraw.

Соответственно под вендорами А и В скрываются McAfee и Symantec ;)

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Тут пока еще до опубликования цифр по эффективности по данному теста дело не дошло даже, а ведь такие данные есть, просто их не включили в отчет. Вероятно, кто-то очень очень не хотел их публикации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Олег, а где имена конкурентов то?

В паблик мы имеем право давать только анонимизированные результаты.

Kaspersky_Lab_Application_Control_Infographic_1920-10-139376.png

Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

В топике ссылка, по ссылке репорт.

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Идея была проверить Witelisting, особенно в связке с Defaul Deny - то есть админ запрещает всё, кроме разрешенного, и насколько ему будет удобно эту политику создавать и поддерживать, насколько хорошо срабатывает Witelisting и не мешает ли он нормальной работе.

Задача блеклистить по md5 - странная, поменял байт и заработало. А тесты детекта проводят другие лабы.

Опять же этот тест - первый блин, я надеюсь методология будет развиваться и улучшаться

Что аудитория не любит Вайтлиститнг- думаю вы не правы. Он оправдан при удобном управлении и полноте (завайтлистить все файлы операционки + своевременно добавлять данные по патчам наример) и в определенных условиях - именно закрытое корпоративное окружение. Двигать его в массы- сложно. У себя дома я давно KIS перевел в режим - незнакомое - помещать в "сильно ограниченное" - такой открытый Whitelist, но я - не массы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что аудитория не любит Вайтлиститнг- думаю вы не правы.

Аудитория не то что не любит, а фактически игнорирует этот подход ПОКА. Я лично ни где не видел, чтобы Whitelisting работал. Простые юзеры и компании полагаются на классические средства защиты на базе Blacklisting, ну может быть еще устанавливают ряд политик, урезают права. Но чтобы именно концептуально работал Whitelisting ... нужно менять мозги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

1. Application Whitelisting работает.

У меня SRP работает на всех компаниях, за которые отвечаю. И во всех домашних системах, которые я делал для других людей. Свои домашние компьютеры — само собой разумеется, тоже. Также, обучаю студентов включать и настраивать SRP в рамках учебных курсов во всех учебных заведениях, где эти курсы провожу. У учеников это тоже работает.

Реальный опыт применения — 5 лет, за это время порядок применения технологии отточил полностью. А Касперский реально приколол, да. "A new approach to enhanced IT Security". Да этот approach встроен в Windows уже более 10 лет, нужно только пойти и пощёлкать галочки.

2. Да, нужно менять мозги. Посмотрите пример дискуссии http://www.anti-malware.ru/forum/index.php?showtopic=21186

sergbt: "помогите, моя антивирусная программа не защищает от вируса, постоянно его пропускает"

WindowsNT: "примените whitelisting"

sergbt: "знаю я эти ваши whitelisting-и, моя антивирусная программа надёжна и все блокирует как надо"

Смешно, да. Зачем приходил жаловаться на проникновение, если антивирус работает отлично? А в рекомендации даже вдумываться не нужно. Думать вредно, от этого лысеют.

3. Не то, что не любит? http://www.anti-malware.ru/forum/index.php...20641&st=20

Anmawe: "Как защититься от malware, которых нет в антивирусных базах?"

WindowsNT: "работайте только с ограниченными привилегиями, сделайте whitelisting, ставьте апдейты"

A: "Duqu/Stuxnet смотрят на эти советы с улыбкой. Ну и еще Рабинович, наверное, тоже."

Каков же рецепт счастья? Два простых шага.

1. Найти изъян в реализации технологии whitelisting и смотреть на неё с улыбкой.

2. Установить заведомо менее эффективный антивирусный blacklisting и (вычеркнуто: "радоваться жизни") продолжать заражаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У меня SRP работает на всех компаниях, за которые отвечаю. И во всех домашних системах, которые я делал для других людей. Свои домашние компьютеры — само собой разумеется, тоже.

Подтверждаю, работает, я сам видел :)

WindowsNT: "работайте только с ограниченными привилегиями, сделайте whitelisting, ставьте апдейты"

A: "Duqu/Stuxnet смотрят на эти советы с улыбкой. Ну и еще Рабинович, наверное, тоже."

Тут есть один момент на который намекал А. - это закладки по сути. Допустим, клиент использует Whitelisting, он поставил какой-то софт. А через N месяцев троян проснулся и начал работать на хозяина. При этом приложение уже как бы доверенное. Клиент при таком подходе никогда не узнает об аномалии и о трояне в системе. Если конечно не будет использовать что-то дополнительно к Whitelisting, например, тот же HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Тут есть один момент на который намекал А. - это закладки по сути. Допустим, клиент использует Whitelisting, он поставил какой-то софт. А через N месяцев троян проснулся и начал работать на хозяина. При этом приложение уже как бы доверенное. Клиент при таком подходе никогда не узнает об аномалии и о трояне в системе. Если конечно не будет использовать что-то дополнительно к Whitelisting, например, тот же HIPS.

Так от закладок ничего не спасёт. Не существует надёжных методов обнаружения и блэклистинга программ с закладками. Но это не повод отвергать метод гарантированной защиты от винлокеров и вирусов с флешек. Антивирусные программы от этого защитить не могут, а whitelisting может.

Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности, которым Рабинович смеётся в лицо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности, которым Рабинович смеётся в лицо.

Полагаю, что стоит уже начать отвечать за свои слова. Приведите, пожалуйста, точные цитаты, где я "смеюсь в лицо" нормам безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Спросите А., пусть скажет, что он этими словами имел в виду. Тема тут: http://www.anti-malware.ru/forum/index.php...20641&st=20

Из той цитаты мне вообще не было понятно, что есть какой-то реальный Рабинович. Думал, аллюзия на какой-то анекдот. Лично я здесь никого не знаю, если у вас какие-то собственные варки между собой — разбирайтесь сами и пишите так, чтобы посетителям со стороны не приходилось потом разжёвывать, кто есть кто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Аудитория не то что не любит, а фактически игнорирует этот подход ПОКА. Я лично ни где не видел, чтобы Whitelisting работал. Простые юзеры и компании полагаются на классические средства защиты на базе Blacklisting, ну может быть еще устанавливают ряд политик, урезают права. Но чтобы именно концептуально работал Whitelisting ... нужно менять мозги.

Пока игнорирует, но я уверен что скоро все изменится. Уже очевидно что подход "Черных списков" себя изжил, ну невозможно обновлять сигнатуры даже каждые 5 минут, а новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше. Да, есть проактивные и поведенческие технологии, но и их можно обойти при большом желании. Конечно подход "Белых списков" тоже не является идеальным, особенно в свете все учащающихся случаев использование нелегитимным ПО легитимных цифровых подписей. Однако только этот подход показывает наиболее высокое соотношение параметров "производительность/эффективность". С течением времени все больше и больше антивирусных продуктов в той или иной форме будут предлагать подобный функционал и у пользователей, особенно тех кому есть что защищать (корпоративный сегмент) не останется ничего другого, как менять свое отношение и политики информационной безопасности для того, чтобы в полной мере использовать подход "Белых списков"

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше

"Производственные" мощности и численность киберзлодеев ограничена, пропорционально населению Земли. И когда-то темп прироста должен остановиться, если только не будет изобретены и массово внедрены самоклепающие каждый раз Разных зловредов боты, в чем сильно сомневаюсь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

ktotama, так в общем-то это уже случилось. В большинстве случаев, тестированием и пересбором при высоком уровне детекта вредоносного кода занимаются специализированные программно-аппаратные комплексы, а не люди. Так что не переживайте, у них уже все неплохо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности

Согласен, от подавляющего большинства инцидентов у обычных пользователей белыее списки бы помогли. Просто этот подход на подкорке ассоциируется с неудобством, вынужденными лишениями степеней свободы.

Если человеку чтобы посмотреть порнушку онлайн просят поставить плагин, а ему система не дает, то он обвинит систему в недружелюбности, если вообще не снесет сразу же. Другой вопрос, что потом надо будет личиться, но в тот момент об этом мало кто будет думать - "Скачать, запустить, быстрее!" :)

Пока игнорирует, но я уверен что скоро все изменится. Уже очевидно что подход "Черных списков" себя изжил, ну невозможно обновлять сигнатуры даже каждые 5 минут, а новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше. Да, есть проактивные и поведенческие технологии, но и их можно обойти при большом желании. Конечно подход "Белых списков" тоже не является идеальным, особенно в свете все учащающихся случаев использование нелегитимным ПО легитимных цифровых подписей.

От черных списков ИМХО нельзя отказаться будет полностью по одной простов причине. Часто надо не только предотвратить или удалить угрозу, но еще и понять что это было. Поэтому идентификация вредоносного кода нужна все равно хотя бы для пост-анализа инцидента. Важно знать, кто меня атакует и как меня атакуют.

Я думаю, что на самом деле белые списки должны неизбежно обзавестить функционалом логирования и анализа событий, информацию о которых потом можно будет проаналировать различными методами, в том числе и по черным спискам прогнать заблокированные программы и т.д. Отчасти это уже происходит в некоторых продуктах, в том же Касперском персональном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA

Боюсь, что в Symantec Insight Network около 3 млрд файлов, догадывайтесь сколько в белом списке? В KSN меньше 1 млрд, ну максимум 1,5 млрд, если Symantec врёт. Оно и так ясно, что в Symantec больше, коль юзеров там на порядок больше. Другое дело, что методология оценки какая-то чудная. У Insight белый список=хорошие файлы 2 видов и надёжные файлы. А что в данном тесте считалось за While List? Не тест, а очередная реклама.

Если точнее, то в Symantec Insight 3 группы хороший файлов: Good, VeryGood, Trusted. Чтобы попасть в Trusted нужно иметь очень много пользователей (+100000 (цифра не точная, в некоторых случаях может быть меньше), телеметрия должна подтвердить надёжность ПО), доверенные ЦП и производитель. А Касперский имеет 2 группы, "плохие" (UDS), "хорошие" (White). Группы Контроля программ здесь не причём, если кто будет об этом. Не однократно видел, как в "Хорошие" попадают вирусы. Чего не скажешь о списке Symantec, где само наличие "групп белизны файла" помогает расставить приоритеты, одна оптимизация сканирования на базе репутации чего стоит. Так что, тест однообразен, упор был сделан на ЛК и методология под неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Какой фантазер ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme

Мощный некропостинг. Почти три года.

Чтобы попасть в Trusted нужно иметь очень много пользователей (+100000 )

Мне добавляли в Trusted мою программку с десятком пользователей. Достаточно было отправить ее как фолс WS.Rep

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×