Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Vsevolod

Бывает, что об уязвимости известно, а авторы программы затягивают с ее закрытием, помню случаи, до месяца или даже чуть больше, с каким-то браузером вроде или какая-то иная, возможно с Адобфлешем или MS, точно сейчас не скажу.

Всегда ли у антивирусных компаний есть условия и возможность противодейстовать угрозам, когда уязвимость известного и популярного программного обеспечения заявлена официально, но патч производителем почему-то долго не выпускается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
К размышлению: у некоторых заявлена возможность эмуляции и анализа поведения в облаке, у некоторых этого нет.

Извините конечно, но я вот который день наблюдаю тут ваши высказывания и уже окончательно потерял нить вашей мысли.

Какое отношение к рассматриваемому тесту имеет вот то что вы сейчас сказали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Извините конечно, но я вот который день наблюдаю тут ваши высказывания и уже окончательно потерял нить вашей мысли.

Какое отношение к рассматриваемому тесту имеет вот то что вы сейчас сказали ?

При активном облаке может быть дополнительная защита, поскольку давно известна угроза, но локально данный функционал защиты производителем программы может быть не задуман, полагаясь в этом на облако. То есть по тесту программа может так донабрать баллов.

Это к разговору об облаках и степени неизвестности угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
При активном облаке может быть дополнительная защита, поскольку давно известна угроза, но локально данный функционал защиты производителем программы может быть не задуман, полагаясь в этом на облако.

Как вы себе это на практике представляете ? Облачный файрволл ? Берем входящие сетевые пакеты, шлем их в облако, ждем ответа ?

А кто же их берет на входе, если "локально" функционала нет ? А если есть - то зачем облако ?

У кого такое есть или вы просто теоретизируете ?

Вы вообще что под "угрозой" понимаете ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Как вы себе это на практике представляете ? Облачный файрволл ? Берем входящие сетевые пакеты, шлем их в облако, ждем ответа ?

А кто же их берет на входе, если "локально" функционала нет ? А если есть - то зачем облако ?

У кого такое есть или вы просто теоретизируете ?

Вы вообще что под "угрозой" понимаете ?

Про файлы конечно речь. Про всех не знаю. Например, у Comodo есть возможность анализа поведения неопознанных файлов в облаке даже при незадействовании компонента "антивирус".

Увлекся в том числе в счет обсуждения будущего теста, раз пошла речь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Про файлы конечно речь. Про всех не знаю. Например, у Comodo есть возможность анализа поведения неопознанных файлов в облаке даже при незадействовании компонента "антивирус".

То что вы описываете - сто лет в обед как есть у всех мало-мальских приличных ав. Но это всё совершенно другие компоненты и другие тесты, никак не пересекающиеся с темой этого теста. И не решающие проблем с сетевыми атаками. Анализировать поведение того, что уже проникло в систему - это другой уровень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
То что вы описываете - сто лет в обед как есть у всех мало-мальских приличных ав. Но это всё совершенно другие компоненты и другие тесты, никак не пересекающиеся с темой этого теста. И не решающие проблем с сетевыми атаками. Анализировать поведение того, что уже проникло в систему - это другой уровень.
Мне вчера подкинули идею доработки этого теста до "боевого варианта", когда на комп. будет попытка загрузки вредоносного файла и его дальнейшей установки. Вот эту идею можно было бы заточить и под эксплойты для активного режима.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
То что вы описываете - сто лет в обед как есть у всех мало-мальских приличных ав.

у Kасперского функционал по KSN или UDS позволяет дать мгновенный онлайн вердикт и сигнал проактивной защите при команде к выполнению неопознанного файла именно или в том числе путем анализа его поведения в облаке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

У кого в принципе облако работает на IDS/IPS? - вот в чем вопрос. Например, в McAfee уверяют, что у них сигнатуры атак должны подтягиваться из облака.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Например, в McAfee уверяют, что у них сигнатуры атак должны подтягиваться из облака.

= загружаться обновлениями с сервера :) ну ты знаешь, это теперь модно - вставлять слово "облака" во все дыры

у Kасперского функционал по KSN или UDS позволяет дать мгновенный онлайн вердикт и сигнал проактивной защите при команде к выполнению неопознанного файла именно или в том числе путем анализа его поведения в облаке?

Вы чего спрашиваете-то ? Загружается ли файл из компьютера куда-то в облако и где-то там он анализируется? и все это в реалтайме ? Нет конечно. Мне кажется до такого идиотизма ни одна приличная компания не дойдет.

Можете попробовать просветлиться например этим http://eugene.kaspersky.ru/2011/09/15/fich...idimogo-fronta/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Вы чего спрашиваете-то ? Загружается ли файл из компьютера куда-то в облако и где-то там он анализируется? и все это в реалтайме ? Нет конечно. Мне кажется до такого идиотизма ни одна приличная компания не дойдет.

Возможность активации 2 галок в Comodo CIS даже при неустановленном компоненте антивирус:

раздел: Защита+

подраздел: Настройки Проактивной Защиты

Настройки контроля исполнения приложений, кроме всего прочего:

+"Анализировать в облаке поведение неопознанных файлов"

+"Автоматически сканировать в облаке неопознанные файлы"

Кому не нравится этот "идиотизм"? В чем "неприличность"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Прошу прощения, но неизвестные инасталляторы весят десятки мегабайт. Тянуть _файлы_ во вне - вот идиотизм.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Прошу прощения, но неизвестные инасталляторы весят десятки мегабайт. Тянуть _файлы_ во вне - вот идиотизм.

Полностью на возможность выбора пользователя, поступать ли так.

Чего не скажешь о UDS, которая не отключается без танцев с бубном. О которой на вашем форуме нередко пишут, что трафик порой бывает совсем не мал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Настройки контроля исполнения приложений, кроме всего прочего:

+"Анализировать в облаке поведение неопознанных файлов"

+"Автоматически сканировать в облаке неопознанные файлы"

С чего вы взяли что файлы куда-то передаются ?

передаются хеши, доп инфа, паттерны поведения. но не сами же файлы, головой думать надо. И не головой пользователя - а разработчика. Если на сервер Комода можно таким образом засылать сотни террабайт треша - вы так и скажите, мы придумаем как это "использовать" :)

И вообще, предлагаю вам или свернуть тут обсуждение непойми чего не по теме топика или придется модераторов начать уже просить принимать меры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
С чего вы взяли что файлы куда-то передаются ?

передаются хеши, доп инфа, паттерны поведения. но не сами же файлы, головой думать надо. И не головой пользователя - а разработчика. Если на сервер Комода можно таким образом засылать сотни террабайт треша - вы так и скажите, мы придумаем как это "использовать" :)

И вообще, предлагаю вам или свернуть тут обсуждение непойми чего не по теме топика или придется модераторов начать уже просить принимать меры.

Ваш коллега по фирме тоже, судя по его посту, посчитал, что передаются файлы в том числе.

Сначала естественно снимают хэш, чаще этого достаточно.

Как по вашему, если файл неизвестен вирлабу, только по хэшу реакция чтоли в этом случае?

К обсуждению вы проявили и разогрели интерес, сделав это с эпитетами.

Вообще вопрос облаков давний, и кое-кто его очень не любит. И отношение он к теме, судя по посту Ильина, имеет.

Ну да просите, чего уж. Немало кто уже обсуждение себе сохранил.

Заодно лишний раз проверим вопрос причастности сайта к кое-кому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Vsevolod, как у кого работает облако это именно к этому тесту имеет опоследовательное отношение. Судя по всему, это подтвердил A., сигнатуры сетевых атак в облако не выносится. Подозреваю, что тут все упирается в технологические ограничения. Если доли секунд на связь с облаком при открытии файлы простительны и пользователь может не заметить их, то в случае трафика сделать это как? Передавать куски трафика на анализ в обратно в интернет? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vsevolod
Vsevolod, как у кого работает облако это именно к этому тесту имеет опоследовательное отношение. Судя по всему, это подтвердил A., сигнатуры сетевых атак в облако не выносится. Подозреваю, что тут все упирается в технологические ограничения. Если доли секунд на связь с облаком при открытии файлы простительны и пользователь может не заметить их, то в случае трафика сделать это как? Передавать куски трафика на анализ в обратно в интернет? :)

Про возможность и необходимость анализа пакетов флуда атаки в облаке я ничего не писал.

По внедряемым и исполняемым файлам в процессе атаки, полагаю - есть или возможен облачный анализ, в том числе возможность облачного исполнения и анализа у того же Comodo.

Это в том числе к вашей усовершенствованной идее теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Прошу прощения, но неизвестные инасталляторы весят десятки мегабайт. Тянуть _файлы_ во вне - вот идиотизм.

Вот не далее, как вчера MSE захотел, чтобы я отправил файл MaxPayne3.exe (~24МБ).

По крайней мере, написано, что он хотел, чтобы я отправил файл (см. скрин). Интересно, он отправляет файл или какую-то информацию о нём? :)

01.png

post-322-1338739754_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Valery Ledovskoy

Думаю, могли бы узнать из заявления о конфидециальности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Думаю, могли бы узнать из заявления о конфидециальности.

В заявлениях о конфиденциальности обычно пишется о том, что переданная информация не будет передана третьим лицам и т.п. Обычно у MS информация о том, что отправляется, открывается по ссылкам типа "состав отправляемого отчёта" или что-то подобное. В данном случае этого нет. При этом явно говорится, что отправляется файл.

Вот мне интересно, сколько пользователей успели отправить этот файл в MS до того, как они добавили его в базу? Я устанавливал Max Payne 3 где-то через сутки после релиза. Т.е. я думаю, успели отправить многие :)

В общем-то, стоит заметить, что MSE с такими вопросами обращается _крайне_ редко. Значит, что-то там действительно в этом файле есть подозрительное. И в таких редких случаях - почему бы не попросить сам файл и почему бы его не передать? Возможно, не всегда это идиотизм... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
В общем-то, стоит заметить, что MSE с такими вопросами обращается _крайне_ редко. Значит, что-то там действительно в этом файле есть подозрительное.

Gameshield там - навесная DRM.

Возможно, что MS не так уж и тупо выпрашивает файлы, а как-нить в виде правила: "большой процент пользователей за некоторое время + подозрительный вердикт эвристики на файл". Таким правилом вполне можно отслеживать эпидемии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Евгений Касперский в свлоем блоге написал про некий Automatic Exploit Prevention (AEP)

http://eugene.kaspersky.ru/2012/05/25/expl...ays-protection/

Очень в тему данного теста

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин

Что-то маловато комментариев от партнёров. И где комментарий от одного из самых активных на данном ресурсе, но неудачно выступивших в этом тесте - Agnitum?

Кстати, а что многие от комментариев воздержались или, Илья, ты просто не успел опубликовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Друзья, давайте заканчивать с оффтопом! :flood:

Тут не курилка, а обсуждение результатов конкретного теста!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Trend Micro и McAfee порадовал результатами, снова их зауважал. Спасибо за тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×