Перейти к содержанию
Сергей Ильин

West Coast Labs: Application Control and Whitelisting Test

Recommended Posts

Сергей Ильин

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Это очень выстраданный тест - фактически первый тест на Облака и контроль приложений для антивирусных продуктов (да и в вообще).

Мы надеемся что тесты качества облаков будут развиваться и в них будут принимать участие всё новые и новые вендоры и лабы, потому что это - тренд развития индустрии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это очень выстраданный тест - фактически первый тест на Облака и контроль приложений для антивирусных продуктов (да и в вообще).

Олег, а где имена конкурентов то? Я помню эти же данные но с именами показывали журналистам.

Если вы не можете опубликовать от себя, то я могу ЭТО слить? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Вопрос номер три: аудитория данного портала принципиально, прям в упор не признаёт технологию Application Whitelisting, причём без технологических мотивов, просто молясь на привычные [для них] blacklisting-based антивирусные программы. Ситуация вдруг начала меняться? Кто реально пользуется возможностями Application Whitelisting в своей рабочей среде (на предприятии и дома)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

Проценты вычисляются относительно максимально возможного результата. Например, Whitelisting Creation - 740 баллов макс., таким образом Касперский получил за 740 баллов там 100%.

Пикантный момент тестирования - его участники:

• Kaspersky: Security Center 9 & Endpoint Security 8

• Symantec: Endpoint Protection 12.1

• McAfee: Solidcore Application Control 5.2.0 with ePolicy Orchestrator 4.6

A third vendor who participated in the testing but then, subsequent to the testing

being completed, requested to withdraw.

Соответственно под вендорами А и В скрываются McAfee и Symantec ;)

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Тут пока еще до опубликования цифр по эффективности по данному теста дело не дошло даже, а ведь такие данные есть, просто их не включили в отчет. Вероятно, кто-то очень очень не хотел их публикации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Олег, а где имена конкурентов то?

В паблик мы имеем право давать только анонимизированные результаты.

Kaspersky_Lab_Application_Control_Infographic_1920-10-139376.png

Вопрос номер раз: что за проценты такие и как они получены? Вообще хоть какое-то разъяснение можно получить об этой таблице?

В топике ссылка, по ссылке репорт.

Вопрос номер два: как насчёт сравнения Whitelisting-продуктов не только между собой, но и с Blacklisting в том же процентуальном отношении?

Идея была проверить Witelisting, особенно в связке с Defaul Deny - то есть админ запрещает всё, кроме разрешенного, и насколько ему будет удобно эту политику создавать и поддерживать, насколько хорошо срабатывает Witelisting и не мешает ли он нормальной работе.

Задача блеклистить по md5 - странная, поменял байт и заработало. А тесты детекта проводят другие лабы.

Опять же этот тест - первый блин, я надеюсь методология будет развиваться и улучшаться

Что аудитория не любит Вайтлиститнг- думаю вы не правы. Он оправдан при удобном управлении и полноте (завайтлистить все файлы операционки + своевременно добавлять данные по патчам наример) и в определенных условиях - именно закрытое корпоративное окружение. Двигать его в массы- сложно. У себя дома я давно KIS перевел в режим - незнакомое - помещать в "сильно ограниченное" - такой открытый Whitelist, но я - не массы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что аудитория не любит Вайтлиститнг- думаю вы не правы.

Аудитория не то что не любит, а фактически игнорирует этот подход ПОКА. Я лично ни где не видел, чтобы Whitelisting работал. Простые юзеры и компании полагаются на классические средства защиты на базе Blacklisting, ну может быть еще устанавливают ряд политик, урезают права. Но чтобы именно концептуально работал Whitelisting ... нужно менять мозги.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

1. Application Whitelisting работает.

У меня SRP работает на всех компаниях, за которые отвечаю. И во всех домашних системах, которые я делал для других людей. Свои домашние компьютеры — само собой разумеется, тоже. Также, обучаю студентов включать и настраивать SRP в рамках учебных курсов во всех учебных заведениях, где эти курсы провожу. У учеников это тоже работает.

Реальный опыт применения — 5 лет, за это время порядок применения технологии отточил полностью. А Касперский реально приколол, да. "A new approach to enhanced IT Security". Да этот approach встроен в Windows уже более 10 лет, нужно только пойти и пощёлкать галочки.

2. Да, нужно менять мозги. Посмотрите пример дискуссии http://www.anti-malware.ru/forum/index.php?showtopic=21186

sergbt: "помогите, моя антивирусная программа не защищает от вируса, постоянно его пропускает"

WindowsNT: "примените whitelisting"

sergbt: "знаю я эти ваши whitelisting-и, моя антивирусная программа надёжна и все блокирует как надо"

Смешно, да. Зачем приходил жаловаться на проникновение, если антивирус работает отлично? А в рекомендации даже вдумываться не нужно. Думать вредно, от этого лысеют.

3. Не то, что не любит? http://www.anti-malware.ru/forum/index.php...20641&st=20

Anmawe: "Как защититься от malware, которых нет в антивирусных базах?"

WindowsNT: "работайте только с ограниченными привилегиями, сделайте whitelisting, ставьте апдейты"

A: "Duqu/Stuxnet смотрят на эти советы с улыбкой. Ну и еще Рабинович, наверное, тоже."

Каков же рецепт счастья? Два простых шага.

1. Найти изъян в реализации технологии whitelisting и смотреть на неё с улыбкой.

2. Установить заведомо менее эффективный антивирусный blacklisting и (вычеркнуто: "радоваться жизни") продолжать заражаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
У меня SRP работает на всех компаниях, за которые отвечаю. И во всех домашних системах, которые я делал для других людей. Свои домашние компьютеры — само собой разумеется, тоже.

Подтверждаю, работает, я сам видел :)

WindowsNT: "работайте только с ограниченными привилегиями, сделайте whitelisting, ставьте апдейты"

A: "Duqu/Stuxnet смотрят на эти советы с улыбкой. Ну и еще Рабинович, наверное, тоже."

Тут есть один момент на который намекал А. - это закладки по сути. Допустим, клиент использует Whitelisting, он поставил какой-то софт. А через N месяцев троян проснулся и начал работать на хозяина. При этом приложение уже как бы доверенное. Клиент при таком подходе никогда не узнает об аномалии и о трояне в системе. Если конечно не будет использовать что-то дополнительно к Whitelisting, например, тот же HIPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Тут есть один момент на который намекал А. - это закладки по сути. Допустим, клиент использует Whitelisting, он поставил какой-то софт. А через N месяцев троян проснулся и начал работать на хозяина. При этом приложение уже как бы доверенное. Клиент при таком подходе никогда не узнает об аномалии и о трояне в системе. Если конечно не будет использовать что-то дополнительно к Whitelisting, например, тот же HIPS.

Так от закладок ничего не спасёт. Не существует надёжных методов обнаружения и блэклистинга программ с закладками. Но это не повод отвергать метод гарантированной защиты от винлокеров и вирусов с флешек. Антивирусные программы от этого защитить не могут, а whitelisting может.

Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности, которым Рабинович смеётся в лицо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности, которым Рабинович смеётся в лицо.

Полагаю, что стоит уже начать отвечать за свои слова. Приведите, пожалуйста, точные цитаты, где я "смеюсь в лицо" нормам безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT

Спросите А., пусть скажет, что он этими словами имел в виду. Тема тут: http://www.anti-malware.ru/forum/index.php...20641&st=20

Из той цитаты мне вообще не было понятно, что есть какой-то реальный Рабинович. Думал, аллюзия на какой-то анекдот. Лично я здесь никого не знаю, если у вас какие-то собственные варки между собой — разбирайтесь сами и пишите так, чтобы посетителям со стороны не приходилось потом разжёвывать, кто есть кто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Аудитория не то что не любит, а фактически игнорирует этот подход ПОКА. Я лично ни где не видел, чтобы Whitelisting работал. Простые юзеры и компании полагаются на классические средства защиты на базе Blacklisting, ну может быть еще устанавливают ряд политик, урезают права. Но чтобы именно концептуально работал Whitelisting ... нужно менять мозги.

Пока игнорирует, но я уверен что скоро все изменится. Уже очевидно что подход "Черных списков" себя изжил, ну невозможно обновлять сигнатуры даже каждые 5 минут, а новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше. Да, есть проактивные и поведенческие технологии, но и их можно обойти при большом желании. Конечно подход "Белых списков" тоже не является идеальным, особенно в свете все учащающихся случаев использование нелегитимным ПО легитимных цифровых подписей. Однако только этот подход показывает наиболее высокое соотношение параметров "производительность/эффективность". С течением времени все больше и больше антивирусных продуктов в той или иной форме будут предлагать подобный функционал и у пользователей, особенно тех кому есть что защищать (корпоративный сегмент) не останется ничего другого, как менять свое отношение и политики информационной безопасности для того, чтобы в полной мере использовать подход "Белых списков"

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше

"Производственные" мощности и численность киберзлодеев ограничена, пропорционально населению Земли. И когда-то темп прироста должен остановиться, если только не будет изобретены и массово внедрены самоклепающие каждый раз Разных зловредов боты, в чем сильно сомневаюсь :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

ktotama, так в общем-то это уже случилось. В большинстве случаев, тестированием и пересбором при высоком уровне детекта вредоносного кода занимаются специализированные программно-аппаратные комплексы, а не люди. Так что не переживайте, у них уже все неплохо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Загляните в раздел "Помощь в лечении", там же 100% (сто процентов) вопросов вызвано нарушением тех самых трёх (трёх) норм безопасности

Согласен, от подавляющего большинства инцидентов у обычных пользователей белыее списки бы помогли. Просто этот подход на подкорке ассоциируется с неудобством, вынужденными лишениями степеней свободы.

Если человеку чтобы посмотреть порнушку онлайн просят поставить плагин, а ему система не дает, то он обвинит систему в недружелюбности, если вообще не снесет сразу же. Другой вопрос, что потом надо будет личиться, но в тот момент об этом мало кто будет думать - "Скачать, запустить, быстрее!" :)

Пока игнорирует, но я уверен что скоро все изменится. Уже очевидно что подход "Черных списков" себя изжил, ну невозможно обновлять сигнатуры даже каждые 5 минут, а новые варианты вредоносного кода появляются каждые 1,5 минуты и уверен скоро этот интервал сократится еще больше. Да, есть проактивные и поведенческие технологии, но и их можно обойти при большом желании. Конечно подход "Белых списков" тоже не является идеальным, особенно в свете все учащающихся случаев использование нелегитимным ПО легитимных цифровых подписей.

От черных списков ИМХО нельзя отказаться будет полностью по одной простов причине. Часто надо не только предотвратить или удалить угрозу, но еще и понять что это было. Поэтому идентификация вредоносного кода нужна все равно хотя бы для пост-анализа инцидента. Важно знать, кто меня атакует и как меня атакуют.

Я думаю, что на самом деле белые списки должны неизбежно обзавестить функционалом логирования и анализа событий, информацию о которых потом можно будет проаналировать различными методами, в том числе и по черным спискам прогнать заблокированные программы и т.д. Отчасти это уже происходит в некоторых продуктах, в том же Касперском персональном.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.WA

Боюсь, что в Symantec Insight Network около 3 млрд файлов, догадывайтесь сколько в белом списке? В KSN меньше 1 млрд, ну максимум 1,5 млрд, если Symantec врёт. Оно и так ясно, что в Symantec больше, коль юзеров там на порядок больше. Другое дело, что методология оценки какая-то чудная. У Insight белый список=хорошие файлы 2 видов и надёжные файлы. А что в данном тесте считалось за While List? Не тест, а очередная реклама.

Если точнее, то в Symantec Insight 3 группы хороший файлов: Good, VeryGood, Trusted. Чтобы попасть в Trusted нужно иметь очень много пользователей (+100000 (цифра не точная, в некоторых случаях может быть меньше), телеметрия должна подтвердить надёжность ПО), доверенные ЦП и производитель. А Касперский имеет 2 группы, "плохие" (UDS), "хорошие" (White). Группы Контроля программ здесь не причём, если кто будет об этом. Не однократно видел, как в "Хорошие" попадают вирусы. Чего не скажешь о списке Symantec, где само наличие "групп белизны файла" помогает расставить приоритеты, одна оптимизация сканирования на базе репутации чего стоит. Так что, тест однообразен, упор был сделан на ЛК и методология под неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Какой фантазер ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme

Мощный некропостинг. Почти три года.

Чтобы попасть в Trusted нужно иметь очень много пользователей (+100000 )

Мне добавляли в Trusted мою программку с десятком пользователей. Достаточно было отправить ее как фолс WS.Rep

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×