Перейти к содержанию
Сергей Ильин

Dr.Web блокирует доступ к сайтам по заявлению правообладателя

Recommended Posts

Сергей Ильин

Вот это Доктора серьезно зашли. Модель такая: клиент платит деньги, чтобы видеть не все сайты, который он хочет?

******************************

Компания «Доктор Веб» обращает внимание пользователей на новые возможности Dr.Web Security Space 9.0 по ограничению доступа к сайтам в связи с обращениями правообладателей, обнаруживших нарушения своих интеллектуальных прав в сети Интернет. С внедрением этой функциональности в Dr.Web у правообладателей появляется возможность обратиться в нашу компанию с информацией о нарушении исключительных прав на использование контента в сети Интернет. После этого заявленные ресурсы могут быть включены в нашу базу сайтов, не рекомендуемых для посещения. Это позволит защитить интеллектуальные права и репутацию правообладателей, а также оградит пользователей Dr.Web от вредоносных программ, которыми зачастую заражены сомнительные сайты, и от невольного соучастия в нарушении чужих интеллектуальных прав.

База данных, в которую вносятся записи с формулировкой: «URL заблокирован в связи с обращением правообладателя», включена в веб-антивирус SpIDer Gate и оперативно пополняется новыми записями. Обеспечить защиту своей интеллектуальной собственности при помощи Dr.Web может любой обладатель исключительного права на данный контент, обратившийся в ООО «Доктор Веб» с информацией о нарушении принадлежащего ему исключительного права на использование контента в сети Интернет.

Для этого на сайте компании «Доктор Веб» создана специальная страница http://antifraud.drweb.com/brand_protection. Обращаем особое внимание, что воспользоваться формой предоставления информации могут только обладатели нарушенных исключительных прав или уполномоченные ими лица, в процессе подачи обращения необходимо предоставить доказательства принадлежности прав на контент.

Приглашаем всех, кто терпит убытки от пиратов в Интернете, воспользоваться новой возможностью Dr.Web, – этим вы не только снизите ущерб для себя, но и поможете оградить пользователей от вредоносных программ, заражающих компьютеры при посещении многих сомнительных ресурсов.

****************************

Как вам такое новшество?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k1k

Good news, everyone! А пиратский контент на компьютерах тоже будет удаляться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Да чего мелочиться с пиратским контентом. Надо сразу комп блокировать полностью до выяснения, винлокеры они хорошо изучили, понимание есть куда двигаться :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Good news, everyone! А пиратский контент на компьютерах тоже будет удаляться?

Отличная идея, но это уже следующий шаг партнерства с правообладателями..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Всего за полторы тысячи рублей мы защитим вас от случайного скачивания "Аватар"!

Лучшая реклама эвер. Люди толпами будут выстраиваться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Angel107

Всего за полторы тысячи рублей мы защитим вас от случайного скачивания "Аватар"!

Лучшая реклама эвер. Люди толпами будут выстраиваться.

:D:D:D

От желающих отбою не будет - точно! Есть пару знакомых которые часто жалуются на то что в ВК у них личные работы присваиваются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Да чего мелочиться с пиратским контентом. Надо сразу комп блокировать полностью до выяснения, винлокеры они хорошо изучили, понимание есть куда двигаться :)

Сразу вспоминается сенатор Хэтч. :) Например: http://www.membrana.ru/particle/5464 от 2003 года.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Ну прям раздули из мухи слона.

Это всего лишь один из дополнительных инструментов. Разве это влючено по умолчанию и не отключается?

Вполне здравое решение. В Avira, например подобная опция давно уже была в модуле Родительский контроль. Там можно было выбрать блокируемые категории сайтов, типа "насилие", "сексуальный контнент", "пиратский контент".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

В РК - это одно, в ВебАВ - другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Но в любом случае опция ведь отключаемая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По умолчанию эта опция включена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mr.triggers

1. Регистрируем лого "паучек на зеленом фоне" в какой-либо заграничной стране

2. Просим (А лучше требуем) забанить сайт drweb за нарушение копирайта на территории страны

3. ???

4. Профит

Можно повторять до тех пор пока не останется Россия и Новая гвинея

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
По умолчанию эта опция включена?

А какая разница? Кому-надо отключит. Или кому-то "религия не позволяет"? Для родителей и работодателей это хорошо - меньше проблем с вирусами.

Я бы для своего ребёнка такую опцию включил бы. До определённого возраста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ты говоришь о функционале родительского контроля. С этим никто не спорит. Тут же речь о веб антивирусе.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ты говоришь о функционале родительского контроля. С этим никто не спорит. Тут же речь о веб антивирусе.

А "Родительский контроль" не является компонентом антивируса? Вообще-то, он входит в комплект поставки Dr.Web Security Space.

Во-первых, пиратские сайты из базы не блокируются, а вместо этого в окне браузера демонстрируется предупреждение о возможном нелегальном контенте с кнопкой "Продолжить". Нажимаешь на кнопку, и наслаждаешься пиратским сайтом, сколько душе угодно :D

И таки да, все отключается одним флажком в настройках спайдергейта.

Так что без паники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Забавны текущие рез-ты опроса по данной теме: https://news.drweb.com/votes/pirates/results/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Этот опрос делал какой-то ламер. Какие вопросы, такие и ответы :)

Вы купили бы антивирус, в котором есть функция информирования о нежелательности посещения пиратских сайтов (которую, правда, можно отключить)?

Ну кто так задает вопрос? Купил бы антивирус с этой функцией вообще, или купил бы антивирус потому, что там эта функция? :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

а по-моему, наборот - составитель достаточно хитер :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
А "Родительский контроль" не является компонентом антивируса?

Нет. В продаже трудно найти вообще Антивирус ХХХХ, в котором есть РК. Но говоря по конкретике, РК не является часть Антивируса Доктор Веб http://products.drweb.com/win/av/?lng=ru

Во-первых, пиратские сайты из базы не блокируются, а вместо этого в окне браузера демонстрируется предупреждение о возможном нелегальном контенте с кнопкой "Продолжить". Нажимаешь на кнопку, и наслаждаешься пиратским сайтом, сколько душе угодно biggrin.gif
Ну ты ведь знаешь, почему галочка согласия установки тулбаров и прочего всегда стоит по умолчанию, а не снята, да? Ты ведь знаешь, почему галочка отправки статистик всегда стоит по умолчанию, а не снята, да?

И таки да, все отключается одним флажком в настройках спайдергейта.

Гик справится, конечно. А домохозяйке теперь лостфильм (рандомное название, я кроме рутрекера и пиратской бухты все равно ничего не знаю) без давления на совесть зайти нельзя будет? Если галка по умолчанию снята - проблема исчезает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Забавны текущие рез-ты опроса по данной теме: https://news.drweb.com/votes/pirates/results/

Судя по всему, именно забавность результатов (сочетание Считаете ли вы, что на сайтах, распространяющих пиратский контент, могут быть вирусы, и поэтому посещение таких сайтов опасно? - Действительно, на таких сайтах вирусы могут быть. 74% и Правообладатель контента в случае нарушения своих прав может вместо возмещения реальных убытков взыскать через суд компенсацию в размере до 5 000 000 рублей. Хотели бы вы использовать дополнительные возможности антивируса во избежание невольного соучастия в преступлении, которое влечет столь серьезное наказание? - Такая помощь от антивируса мне не нужна. 65%) опроса породила... вот такой опус ("Феномен отторжения заботы"). Вообще, подобные эссе напоминают замашки всякого рода христианских святоше-сект, когда они предлагают тебе "поговорить о боге", а ты отвергаешь их "доброту", которая базируется лишь на том, чтобы ты исправно платил сборы в кассу и позволял другим указывать как тебе жить, с кем общаться и тому проч. Видимо, "мясо" не хочет нести сборы в кассу за проявленную заботу.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Собственно, мне кажется неправильным так пунктирно объяснять пользователю, как он должен думать. Комментарии тоже говорят об этом. Особенно заметен комментарий достаточно высокого должностного лица на вопрос, чего курил автор.

Когда-то "политикой партии" компании "Доктор Веб" считалась помощь пользователям. И именно поэтому игнорировалось большинство возможностей для пиара, игнорировались тестирования и прочее. Хотя технологически продукты весьма неплохие.

А сейчас ситуация обратная - закрутили даже доступ к FTP свободный после нескольких переносов (а ведь это было удобно для тех, кому требовалась помощь). Защищают интеллектуальную собственность других и свою (тоже весьма далеко от тех, кому требуется помощь). Что ещё сказать.

А сказать тут можно вот что. Если пользователи не будут ходить на пиратские сайты, где якобы обитает большинство вирусов (хотя это не так, если мы говорим про популярные пиратские ресурсы, но ладно), то платный антивирус им попросту не нужен. У пользователя лицензионные Windows 8.1, лицензионный Office и всё остальное лицензионное. Windows (в который входит MSE, SmartScreen и пр.) и другой софт постоянно обновляется. Пользователь играет в лицензионные игры. Не ходит по пиратским сайтам. Музыка - только в iTunes или на официальных дисках (плюс потоковое интернет-радио).

И у меня напрашивается вывод тогда совсем другой после этого опуса - а зачем нужен домашнему законопослушному пользователю платный антивирус? Т.е. этот опрос, эта функциональность защищающая и этот защищающий опус - это антиреклама антивируса Dr.Web среди пользователей, у которых есть деньги на софт. И мне очень жаль, что так происходит.

Если это воздействие на среднего домашнего пользователя-пирата с XP-хой - то он, опять же, найдёт, как дальше тащить платный контент бесплатно. И денег компании тоже не принесёт.

Я не вижу в этом опусе и в этом опросе искреннего желания помочь пользователям. Или маркетологи не видят свою аудиторию, или это всё делается для чего-то сознательно. В любом случае, мне в данном случае не смешно, а жаль. Урологи и опусы - это то, что было лишнее за последнее время. Тех, кто это всё придумал, нужно лишать премии (в самом мягком варианте).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
И у меня напрашивается вывод тогда совсем другой после этого опуса - а зачем нужен домашнему законопослушному пользователю платный антивирус? Т.е. этот опрос, эта функциональность защищающая и этот защищающий опус - это антиреклама антивируса Dr.Web среди пользователей, у которых есть деньги на софт. И мне очень жаль, что так происходит.

Правильный вывод, особенно в теме такой отстающей по всем фронтам поделки дохторов-урологов :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вот на счёт по всем фронтам отстающей поделки я бы поспорил. Есть у продуктов компании интересные решения. Endpoint-продукт обладает некоторыми интересными свойствами, например. Я не о том писал. Я писал о том, как неумелый маркетинг, причиной которого является чувство собственного превосходства и нежелание слушать окружающих, может само по себе лишать продукт с имеющимися техническими возможностями закономерного представления на рынке. Мне кажется, положение антивируса Dr.Web на рынке хуже, чем он того заслуживает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k1k
... Я не о том писал. Я писал о том, как неумелый маркетинг, причиной которого является чувство собственного превосходства и нежелание слушать окружающих, может само по себе лишать продукт с имеющимися техническими возможностями закономерного представления на рынке. ...

Маркетинг Вам отвечает:

===

Пользователи лицензионных продуктов на подсознательном уровне уважают не только себя, но и труд других людей. Они психологически принимают «правила рыночной игры», ассоциируя себя с полноценными людьми, которые пользуются таким же продуктом, причисляя себя к определённой социальной группе, можно сказать, VIP-пользователей.

===

Источник: http://news.drweb.com/?i=4244&c=5&lng=ru&p=0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Замечательно. Я пользователь лицензионных продуктов. Мне платный антивирус без надобности.

Т.е. почему этому учит Dr.Web? Т.е. зачем им эту тему... хотел написать эксплуатировать, но тут же выгоды нет. Просто эскалация темы, которая рекламирует сомнительную функциональность продукта и в итоге логически приводит к отказу от платного антивируса в пользу использования всего лицензионного. Где в этой парадигме место платному антивирусу? Зачем он?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • agrohimrne
      Where is administration?
      It is about advertisement on your website.
      Thank.
    • AM_Bot
      NGFW (Next Generation Firewall) изменили парадигму оперативного контроля внешнего сетевого трафика, предоставив компаниям возможность отсекать пакеты данных из определённых источников, а также анализировать сами передаваемые данные, проверять их на наличие вредоносных сигнатур, ограничивать работу с нежелательными ресурсами. Рассматриваем функции современного межсетевого экрана на примере представителя систем этого класса UserGate Next Generation Firewall.   ВведениеФункциональные возможности UserGate Next Generation Firewall2.1. Фильтрация контента по правилам2.2. Анализ трафика2.3. Защита от DoS2.4. Контроль интернет-приложений2.5. Антивирус2.6. Реагирование2.7. Собственная ОС2.8. Варианты поставкиСценарии использования UserGate Next Generation Firewall3.1. Основные настройки UserGate Next Generation Firewall3.2. Создание политик3.3. Работа со сценариямиВыводыВведениеКлассические межсетевые экраны, или файрволы, предназначены для фильтрации трафика между двумя сегментами сети на основании относительно простых принципов. Получив пакет данных из внешнего, небезопасного, сегмента, межсетевой экран определяет возможность его дальнейшей передачи в локальную сеть на основании IP-адреса и порта источника либо назначения. Такое взаимодействие соответствует третьему, сетевому уровню модели OSI.Использование классического межсетевого экрана, строящего свою работу на списках запрещённых и разрешённых адресов, никак не защищает ото множества других угроз, связанных с сетевым трафиком. Такая система совершенно прозрачна для вредоносных программ, фишинговых писем, трафика связанного с определёнными приложениями и сервисами. Первоначальная концепция предполагала, что купированием этих угроз займутся инструменты информационной безопасности за файрволом: антивирусы, почтовые сканеры, системы предотвращения вторжений и другие средства.Такой подход таит в себе определённые проблемы. Сам факт попадания вредоносной нагрузки за периметр безопасности уже несёт определённые угрозы. При этом значительная часть векторов атаки сегодня вообще не связана с какими-либо нелегитимными инструментами, а базируется на действиях инсайдеров или использовании взломанных аккаунтов. Безусловно, и для таких угроз существуют отдельные средства безопасности, однако не лучше ли предотвращать атаки на рубежах доверенного сетевого окружения?Именно такую концепцию принесли на рынок межсетевые экраны нового поколения (Next Generation Firewall, NGFW). В отличие от классических файрволов, анализирующих только заголовок пакета, NGFW способны разбирать и его содержимое. Это значительно расширяет круг возможностей межсетевого экрана. Современные NGFW представляют собой многофункциональные комплексы сетевой защиты, поскольку могут иметь в своём составе самые разнообразные модули:антивирусы,системы обнаружения и предотвращения вторжений (IDPS),собственный прокси-сервер,средства контроля почтового трафика,инструменты морфологического анализа,средства защиты от DoS-атак.Одним из пионеров разработки межсетевых экранов нового поколения в России является компания UserGate, имеющая 13-летний опыт в этой сфере. Ключевые компетенции UserGate находятся именно в области разбора трафика, в том числе зашифрованного. Флагманский продукт вендора UserGate Next Generation Firewall является основой экосистемы корпоративной кибербезопасности и может служить хорошим примером полнофункционального межсетевого экрана, обеспечивающего комплексную защиту и фильтрацию трафика до его попадания в локальную сеть. В этом материале мы кратко рассмотрим основные возможности системы на примере версии 6, а также познакомимся с несколькими сценариями её использования.Функциональные возможности UserGate Next Generation FirewallНабор функциональных возможностей UserGate Next Generation Firewall охватывает разнообразные потребности в сфере защиты трафика и фильтрации контента. Гибкие механизмы настройки межсетевого экрана позволяют выстраивать сложные логические схемы обработки данных и в автоматическом режиме реагировать на потенциально опасные или нелегитимные действия. Кратко остановимся на наиболее важных аспектах работы UserGate Next Generation Firewall.Фильтрация контента по правиламФильтрование трафика в UserGate Next Generation Firewall основывается на механизме правил — по сути, политик безопасности, описывающих действия системы при наступлении тех или иных заданных условий. Правила фильтрации могут блокировать или, наоборот, разрешать движение данных в зависимости от их типа, источника, получателя, приложения, категории и других параметров. Правила могут применяться к одному или нескольким пользователям и выполняются последовательно, что даёт возможность строить гибкую систему обеспечения кибербезопасности и осуществлять контроль работы сотрудников.При помощи правил можно не только создавать белые и чёрные списки ресурсов, но и контролировать множество параметров передаваемых пакетов, например тип используемого браузера, наличие определённых словоформ или типов информации. Правила используются не только для фильтрации контента, но и в других функциональных блоках системы — межсетевом экране, подсистеме ограничения пропускной способности и пр.Анализ трафикаГлубокий разбор трафика является ключевой функцией NGFW, основным источником данных для других подсистем. UserGate Next Generation Firewall способен детально исследовать нагрузку каждого передаваемого пакета, «на лету» определяя потенциально небезопасное содержимое, а также триггеры, по которым активируются заранее заданные правила и сценарии. Помимо обычного трафика система расшифровывает и защищённые SSL пакеты, работая с протоколами HTTPS, SMTPS и POP3S. При этом сервер NGFW осуществляет подмену оригинального сертификата на собственный, отдавая на сторону пользователя по-прежнему защищённый контент.Защита от DoSОдним из механизмов безопасности в UserGate Next Generation Firewall является функция ограничения числа соединений, открытых одним пользователем. Так же как и многие другие элементы NGFW, она реализована при помощи механизма правил и сценариев, что позволяет гибко настраивать чувствительность системы в соответствии с особенностями конкретной компании. Ограничение на количество одновременно открытых пользователем сеансов обеспечивает эффективное противостояние возможным DoS-атакам (Denial of Service) через пользовательские или гостевые учётные записи.Контроль интернет-приложенийUserGate Next Generation Firewall работает с приложениями на седьмом уровне сетевого взаимодействия модели OSI. Система идентифицирует приложения и даёт администратору возможность ограничивать их использование. Например, NGFW способен полностью заблокировать работу мессенджеров, торрент-клиентов и других нежелательных программ. Собственная база обновляемых сигнатур позволяет помимо этого защищать локальную сеть от угроз связанных с теми программами, которые работают с интернетом.АнтивирусВ состав UserGate Next Generation Firewall входит потоковый антивирус, который может проверять внешний трафик на наличие вредоносных программ. Анализ ведётся при помощи собственной базы сигнатур, что обеспечивает достаточную надёжность и блокировку основных угроз до того, как данные пересекут контур безопасности. С другой стороны, использование лёгкого сигнатурного антивирусного ядра минимально нагружает систему, что даёт возможность, при необходимости, проверять весь трафик полностью. Антивирусная защита использует механизм правил безопасности NGFW.РеагированиеВ UserGate Next Generation Firewall встроена система предотвращения вторжений, которая способна в настоящем времени реагировать на атаки киберпреступников, эксплуатирующих известные уязвимости. UserGate Next Generation Firewall даёт администратору возможность создавать различные наборы сигнатур для защиты различных сервисов, а также формировать на базе универсального механизма правил собственные сценарии для каждого типа трафика. Это позволяет не только формировать реакции на кибератаки, но и контролировать вредоносную активность внутри сети.Собственная ОСВ основе UserGate Next Generation Firewall лежит оригинальная операционная система UGOS, оптимизированная для задач быстрой и эффективной обработки трафика. Платформа создана на базе дистрибутива Linux и не использует готовых комплексных модулей: все подсистемы безопасности разработаны программистами UserGate и не содержат стороннего кода. С одной стороны, это позволяет быстро адаптировать её под требования заказчика, а с другой — существенно снижает вероятность атак на систему с использованием общеизвестных уязвимостей.Варианты поставкиUserGate Next Generation Firewall может поставляться как в виде виртуального межсетевого экрана, развёрнутого на одном из гипервизоров (VMware, Hyper-V, Xen, KVM, OpenStack, VirtualBox, отечественные разработки), так и в виде программно-аппаратного комплекса, созданного UserGate. Производитель предлагает несколько вариантов исполнения таких NGFW, предназначенных для организаций разного масштаба — от компаний сегмента СМБ до крупных предприятий и дата-центров.Сценарии использования UserGate Next Generation FirewallОсновные настройки UserGate Next Generation FirewallПервоначальные настройки UserGate Next Generation Firewall не займут много времени и сводятся в общем случае к конфигурации портов для работы с интернетом и локальными ресурсами, добавлению DNS-серверов, определению доменных записей для страниц блокировки и авторизации, а также указанию параметров работы механизма SSL-фильтрации. Кратко рассмотрим каждое из этих действий.Задание параметров портов выполняется в секции «Сеть — Интерфейсы» раздела «Настройки» UserGate Next Generation Firewall. Здесь собраны все физические и виртуальные порты, имеющиеся в системе. Для каждого интерфейса можно выбрать тип («Layer 3» или «Mirror»), назначить ему определённую зону и указать профиль Netflow, который будет использоваться для отправки данных на коллектор, учитывающий сетевой трафик. Тут же задаётся тип IP-адреса порта — динамический, получаемый через DHCP, или заранее определённый, статический. При необходимости можно настроить работу DCHP Relay, который будет раздавать адреса со внешнего сервера устройствам своего сегмента сети. Рисунок 1. Настройка свойств порта в UserGate Next Generation Firewall Для настройки DNS-серверов необходимо выбрать пункт меню «Сеть — DNS» в разделе «Настройки», нажать кнопку «Добавить» и задать адрес соответствующего хоста. При необходимости UserGate Next Generation Firewall может перехватывать DNS-запросы пользователей и изменять их. Для этого следует задать параметры работы DNS-прокси. Важно, что для фильтрации DNS-запросов необходимо приобрести отдельный модуль и создать соответствующие правила. Рисунок 2. Раздел настройки DNS в UserGate Next Generation Firewall Авторизация неизвестных пользователей (не идентифицированных Windows или агентами терминальных серверов либо не имеющих явно указанного IP-адреса в свойствах) осуществляется в UserGate Next Generation Firewall при помощи перехватывающего портала. Применяются правила заданные администратором, однако для корректной работы сервиса следует настроить доменные имена страниц аутентификации, блокировки и выхода из системы. Этот шаг можно пропустить, если в качестве DNS-сервера используется сервер UserGate Next Generation Firewall. Если же применяется собственный DNS-сервер, то необходимо создать на нём три соответствующие A-записи и указать в них IP-адрес и порт подключения к локальной зоне.Корректная работа системы фильтрации контента UserGate Next Generation Firewall возможна только при настроенной инспекции данных передаваемых по шифрованным протоколам, таким как HTTPS, SMTPS или POP3S. Файрвол дешифровывает указанный трафик, после чего анализирует его на предмет наличия ограничений, заданных правилами. После дешифровки и анализа данные повторно кодируются при помощи собственного сертификата. Обязательно нужно добавить его в список доверенных корневых сертификатов, иначе браузеры пользовательских устройств будут сигнализировать о возможной подмене SSL-удостоверения. Рисунок 3. Раздел «Инспектирование SSL» в UserGate Next Generation Firewall Чтобы настроить режим проверки шифрованного трафика, необходимо перейти в пункт «Политики безопасности — Инспектирование SSL» раздела «Настройки» и добавить новое правило, описывающее процесс работы с SSL-трафиком. Для каждого трафика, среди прочего, можно задать:Пользователя, группу пользователей или тип пользователей, для которых применяется правило.Список доменов, чей трафик подлежит инспектированию.Списки IP-адресов источников и назначения трафика.Возможность блокировки внешних сертификатов, не вызывающих доверия (самоподписанных, отозванных, с истекшим сроком действия).Создание политикОсновным инструментом фильтрации контента в UserGate Next Generation Firewall являются правила, объединённые в политики безопасности. Это универсальный механизм, который может инициировать определённые действия системы по ряду заданных параметров. Файрвол анализирует трафик, после чего блокирует его (или, наоборот, разрешает передачу данных) при срабатывании одного из триггеров. Правила применяются последовательно, в соответствии с очерёдностью, установленной их списком. Такой подход даёт возможность гибко настраивать обработку данных по разным параметрам.Для создания нового правила необходимо выбрать пункт «Политики безопасности — Фильтрация контента», находящийся в разделе «Настройки». Каждая политика может выполнять одно из трёх действий:Блокировать доступ к веб-странице («Запретить»).Предоставить доступ к веб-странице («Разрешить»).Показать пользователю предупреждение о нежелательности посещения этой страницы («Предупредить»).Рисунок 4. Настройка правила фильтрации контента в UserGate Next Generation Firewall Частным случаем действия «Запретить» является проверка трафика встроенным антивирусом. Если в передаваемых данных будет обнаружена сигнатура вредоносной программы, содержащая её страница не будет открыта.После выбора действий необходимо указать одно или несколько условий, которые будут инициировать срабатывание правила. Каждое условие добавляется в правило через логическое «И», то есть правило выполняется только при срабатывании всех указанных в нём условий. Например, можно ограничить трафик определённой категории сайтов для определённого пользователя. При этом для всех остальных категорий передача данных этому пользователю будет разрешена. Ниже приведена краткая характеристика основных условий, доступных в правилах фильтрации контента UserGate Next Generation Firewall.Источник трафика: список IP-адресов или доменов, откуда идёт трафик. Разрешение доменных имён в IP-адреса производится каждые пять минут, а результат хранится в течение жизни DNS-записи.Назначение трафика: список IP-адресов или доменов, являющихся получателями трафика. Порядок работы системы с ними — такой же, как для источников.Пользователи или группы пользователей, для которых применяется правило. Допускается использование таких масок, как «Any» (любой пользователь), «Known» (известный, то есть идентифицированный, пользователь), «Unknown» (неидентифицированный пользователь).Категории электронных ресурсов. Трафик проверяется по крупнейшей базе электронных ресурсов, разбитых на более чем 70 категорий. Например, правило может срабатывать на социальные сети, порнографию, онлайн-казино и другие сайты. Администратор может переопределить категорию любого сайта. Для фильтрации по категориям необходима отдельная лицензия на базу данных UserGate URL Filtering.Списки URL: чёрные и белые. Администратор может создавать собственные списки или приобрести готовые.Тип контента. Данное условие срабатывает при передаче аудио, видео, исполняемых файлов и пр. Для описания видов контента используется формат MIME. Морфологические базы для проверки передаваемого контента на наличие определённых слов, словоформ и выражений.Кроме того, можно задавать время работы правила, значение User-Agent, HTTP-метод и рефереры открываемой страницы.Работа со сценариямиДля определённых типов правил можно использовать дополнительные условия, сценарии. Однако прежде чем перейти к описанию работы с ними, кратко остановимся на базовых свойствах правил межсетевого экрана и правил пропускной способности, где, собственно, и используются сценарии.Правила межсетевого экрана регулируют обработку транзитного трафика, проходящего через UserGate Next Generation Firewall. В качестве условий, при срабатывании которых система блокирует или, наоборот, разрешает передачу данных, могут выступать пользователи, сервисы, приложения, а также зоны и IP-адреса источника трафика или его назначения. Правила пропускной способности, основываясь на тех же параметрах, способны ограничивать канал передачи данных. Рисунок 5. Окно свойств правил межсетевого экрана в UserGate Next Generation Firewall Сценарии позволяют UserGate Next Generation Firewall реагировать не только на одномоментные события, но и на произошедшие за некоторый интервал времени — например, несколько попыток использования одного приложения. Для создания нового сценария необходимо нажать кнопку «Добавить» в меню «Политики безопасности — Сценарии» раздела «Настройки». Сценарий может действовать только для того пользователя, на котором он сработал, или распространяться на всех пользователей, указанных в правиле. Можно также задать срок работы сценария после его активации. После создания сценария его необходимо указать в том правиле, для которого он будет применяться. Рисунок 6. Окно настройки сценария в UserGate Next Generation Firewall В качестве условий сценария может выступать срабатывание системы обнаружения вторжений или появление следующих сущностей в трафике пользователя:URL заданных категорий.Вирусы.Приложения.Определённые типы контента.Пакеты данных, превышающие определённый размер.Количество сессий с одного IP-адреса, превышающее некоторое значение.Объём трафика за единицу времени, превышающий определённое значение.Доступность определённого ресурса.С таким перечнем удобно выстраивать логику регулирования трафика. Например, при помощи сценариев можно переключить сеть на работу с запасным шлюзом, в случае недоступности основного.ВыводыUserGate Next Generation Firewall представляет собой полнофункциональный комплекс защиты внешних периметров сети и управления сетевым трафиком. Система даёт возможность построить сложные сценарии обработки и анализа сетевых пакетов на основе универсальных политик безопасности. С её помощью специалисты по информационной безопасности могут фильтровать поступающие извне данные на основе вердиктов антивирусного ядра, морфологического анализа, информации о приложении и других параметров. Различные триггеры можно собирать в цепочки, связанные логическим «И» (условия в рамках одного правила), а также логическим «ИЛИ» (последовательность нескольких правил).Ещё одним средством кибербезопасности является система ограничения количества одновременных сеансов, что полезно для эффективного противодействия DoS-атакам. При этом простой фиксацией проблем возможности UserGate Next Generation Firewall не ограничиваются. Используя тот же механизм правил и сценариев, можно настроить варианты реагирования NGFW на определённые события в информационной безопасности или нелегитимную сетевую активность.Помимо защитных функций UserGate Next Generation Firewall предоставляет администратору возможность контролировать сетевую активность пользователей, запрещая работу с определёнными ресурсами или приложениями. Это важно не только для ИБ, поскольку позволяет отсекать нерабочую активность персонала — использование соцсетей, игровых платформ, торрентов. Дополнительно NGFW может ограничивать пропускную способность канала при достижении пользователем определённых объёмов трафика, а также переключаться между разными интернет-провайдерами при выполнении заданных условий.UserGate Next Generation Firewall занимает передовые позиции в секторе NGFW российского рынка информационной безопасности и может конкурировать с ведущими зарубежными аналогами. Компетенции компании UserGate в сфере анализа сетевого трафика позволили ей создать зрелый продукт, способный стать существенным препятствием для кибератак, универсальным инструментом первой необходимости, который сможет обезопасить компанию от большого числа инцидентов даже при частичной недоступности других инструментов информационной безопасности.Читать далее
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.26.
    • demkd
      ---------------------------------------------------------
       4.13
      ---------------------------------------------------------
       o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
         (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
         Для создания дисков требуются установить следующие пакеты:
         o Три компонента из Windows ADK для Windows 10 версии 2004
           o средства развертывания
           o средства миграции (USMT)
           o набор средств оценки производительности Windows
         o Windows надстройка PE для ADK версии 2004
         (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
         (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
            то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.  o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.  
    • AM_Bot
      Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения событий по информационной безопасности с функциями поведенческого анализа. Программный комплекс получает данные от СЗИ и информационных систем, формирует контент для помощи в расследовании киберинцидентов и анализирует поведение пользователей и компонентов корпоративной сети. У продукта появились новые возможности, расскажем о них.    ВведениеИнтерфейс Ankey ASAPМодуль UEBA3.1. Анализатор терминальных команд3.2. Анализатор первых действий3.3. Анализатор базовой линии3.4. Работа анализаторов в действии3.5. Возможности по разработке собственного UEBA-контентаВыводыВведениеУвеличивающиеся риски целевых атак, новые требования регуляторов вместе с уходом иностранных вендоров с российского рынка заставили отечественные компании существенно пересмотреть подход к существующим внутри организаций средствам и методам обеспечения информационной безопасности. Не менее острой за прошедший год стала проблема определения и предотвращения инсайдерских атак. В некоторых случаях детектировать их имеющимися СЗИ представляется почти невозможным, так как во многих случаях это требует детального анализа пользовательского поведения внутри корпоративной сети, что, несомненно, влечёт за собой значительное увеличение затрат на обеспечение ИБ в организации. Одним из возможных решений проблемы можно назвать внедрение системы поведенческого анализа пользователей (UEBA).Ankey ASAP — программный комплекс, являющийся аналитической платформой кибербезопасности с функциями поведенческого анализа. Основываясь на данных, которые поставляются в систему в нормализованном виде из SIEM и иных средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, других систем корпоративной сети с целью выявить признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров. С момента последней публикации на Anti-Malware.ru статьи об Ankey ASAP платформа была комплексно переработана: от интерфейса до функциональных решений. Рассмотрим подробнее эти изменения.Интерфейс Ankey ASAPUX- / UI-дизайн системы претерпел комплексный рефакторинг, начиная от страницы аутентификации и заканчивая панелью визуализации инцидентов. Минимизация рабочей нагрузки на операторов системы (администраторов ИБ, аналитиков) путём частичного перекладывания ряда рабочих задач на платформу является одним из главных принципов при разработке системы. В этом Ankey ASAP помогают расширенные средства визуализации, навигации и работы со внутренним контентом. Рисунок 1. Панель визуализации инцидентов Удобная навигация между карточками позволяет легко ориентироваться во всех активах, а также связанных с инцидентами событиях. Система способна получать скоррелированные события изо внешних систем типа SIEM и выявлять ИБ-инциденты, происходящие в корпоративной сети, на основе алгоритмов поведенческого анализа. Благодаря средствам расширенной визуализации и обновлённым виджетам оператор платформы может выделить для себя наиболее значимые объекты анализа. В определении наиболее значимых инцидентов ему призваны помочь система гибкого скоринга и тесно связанная с ней система генерации уведомлений. Не стоит забывать и о постоянно растущем списке поддерживаемых системой источников.Модуль UEBAБыла существенно переработана функциональная часть Ankey ASAP. Изменения коснулись как отдельных компонентов архитектуры проекта, так и принципов работы ряда анализаторов, входящих в технологический блок UEBA-системы. О действующей функциональности этих анализаторов и пойдёт речь далее в статье. Рисунок 2. Подробные сведения об инцидентах Анализатор терминальных командЗа детектирование аномального поведения объектов наблюдения в Ankey ASAP отвечает ряд анализаторов, разделяемых по функциональному назначению. Одним из них является анализатор терминальных команд, призванный в первую очередь детектировать попытки реализации атак типа «Living-off-the-Land», то есть выявлять выполнение деструктивных терминальных команд при использовании легитимных или встроенных системных утилит (CMD, PowerShell, netcat и другие). На вход анализатора подаются события запуска процесса, а он по обученной заранее модели проводит классификацию: похоже это на LotL-атаку или нет. Рисунок 3. Принцип работы анализатора терминальных команд При сравнении методов работы существующих решений по безопасности следует особо отметить, что детектировать LotL-атаки возможно также и сигнатурными методами, однако там основой служат константные выражения в терминальных командах. Иначе говоря, для детектирования с помощью SIEM LotL-атаки с применением netcat необходимо, чтобы введённая команда содержала «nc» и некоторые определённые флаги. Переименовываем «netcat» в «моя секретная программа» — правила SIEM перестают работать; в ASAP же модель для классификации лишь немного потеряет в степени уверенности, что применяется именно netcat. Она также вынесет вердикт по оставшейся информации — например, по тем же самым флагам, которые были переданы в качестве аргументов.Анализатор первых действийГоворя о сигнатурных методах определения злонамеренной пользовательской активности, стоит также упомянуть, что рассматриваемые решения обычно позволяют детектировать уже реализованную угрозу. Однако одной из основных задач системы поведенческой аналитики является определение и пресечение потенциальной угрозы на более ранних этапах киберцепочки угроз (Cyber Kill Chain). Частично за выполнение этой задачи в Ankey ASAP отвечает анализатор первых действий сущностей. Внутренний контент платформы содержит в себе уже описанные аналитиками триггеры первых пользовательских действий, которые по всем своим признакам могут соответствовать легитимной модели поведения, однако их нетипичность применительно к определённым временным промежуткам свидетельствует об определённой степени «аномальности» подобного поведения.Такими триггерами могут быть:первое переключение пользователя в «root»;подключение к ИС нового съёмного носителя;обращение изо внутренней сети к новому внешнему хосту и др.Такие события вызывают в системе значительное изменение скоринга карточки анализируемого актива. Обо всех резких изменениях скоринга, а также о превышении определённого «безопасного» порога система сигнализирует соответствующими уведомлениями на информационной панели, что помогает оператору платформы своевременно реагировать и детектировать нетипичное для пользователя поведение.Анализатор базовой линииНа основе множества показателей, к которым относятся как собственное типичное поведение (например, учёт рабочего времени, проводимого конкретным пользователем за рабочим местом), так и признаки свойственные определённым группам сущностей (администратор, внешний нарушитель, вредоносные программы), анализатор формирует так называемые профили поведения для каждого объекта анализа. Так, любое отклонение поведения объекта от базового будет вызывать рост его скоринга в соответствии с описанной для данного сценария моделью.Анализатор позволяет предотвращать и детектировать инциденты в информационной безопасности, основываясь, например, на:нетипичном времени входа в систему;нетипичных операциях с сетевыми папками;нетипичных действиях по управлению политиками и др.Работа анализаторов в действииДля наглядности описания продемонстрируем работу анализаторов в одном из возможных сценариев. Находясь в разделе «Мониторинг» или «Инциденты», оператор платформы обнаруживает созданный системой инцидент о превышении скоринга для учётной записи «barbar». Рисунок 4. Раздел «Инциденты» в Ankey ASAP Перейдя к самой карточке учётной записи и установив фильтр по датам на интересующий нас временной промежуток, видим зафиксированные сигналы об аномальном поведении учётной записи, а также о начислении скоринга по каждому из них. Рисунок 5. Карточка инспектируемой учётной записи Обратимся к началу списка уведомлений, зарегистрированных для данной учётной записи. Рисунок 6. Список сгенерированных уведомлений для учётной записи Анализатор базовой линии фиксирует вход в нетипичное для данного пользователя время, о чём свидетельствует соответствующий сигнал. Затем уже следующий анализатор (первых действий) фиксирует просмотр и копирование содержимого сетевых папок, с которыми прежде пользователь не взаимодействовал. Уже на данном этапе система создаёт инцидент о резком росте скоринга в сутки (выше допустимых 100 баллов). Рисунок 7. Результат работы анализатора первых действий Двигаемся дальше: видим сгенерированное уведомление о попытке отправки архива через электронную почту. Инцидент, поступивший из SIEM, свидетельствует о том, что это действие было зарегистрировано DLP-системой, вследствие чего произошла блокировка отправки данных. Затем система отмечает подключение USB-накопителя, совершаемое впервые. Следующая за ним попытка копирования данных на съёмный носитель также зарегистрирована и блокирована DLP-системой. Больше никаких инцидентов от SIEM не поступало, поэтому можно посчитать, что отправка данных была успешно заблокирована.Однако, обращаясь к следующим сигналам, можно увидеть результат работы анализатора базовой линии: пользователь скопировал нетипичное для себя количество данных. Рисунок 8. Результат работы анализатора базовой линии Сразу за ним следует уведомление от анализатора терминальных команд. Видим, что пользователь всё же отправил данные во внешний репозиторий в обход DLP-защиты, применяя низкоуровневые механизмы взаимодействия (в данном случае — при помощи утилиты datasvcutil). DLP-система не регистрирует это событие, так как используемая утилита является штатной, что в данной ситуации эквивалентно «легитимной». Поскольку каждый сгенерированный системой сигнал вызывал своим появлением увеличение скоринга пользователя, Ankey ASAP создаёт инцидент по превышению скоринга, с чего и начинается расследование.Таким образом, в примерах из этого сценария мы можем разглядеть поведение типичного инсайдера. Анализируя события и инциденты в области безопасности раздельно, администратор ИБ может не получить полноценной картины проводимой атаки, особенно в тех случаях, когда злонамеренные действия пользователя сильно размыты во времени. Ситуация может быть осложнена тем, что некоторые СЗИ, использующие в своей работе сигнатурные методы обнаружения, порой упускают важный контекст из обрабатываемой информации, как, например, в описанном выше методе реализации LotL-атаки. Используемые в Ankey ASAP технологии машинного обучения, возможность подключения различных источников, аккумулирующий эффект скоринга способны значительно снизить подобные риски.Возможности по разработке собственного UEBA-контентаОтдельное внимание разработчики уделили созданию собственного внутреннего контента для платформы. Её функциональность может расширяться со стороны не только разработчика системы, но и пользователей. Для просмотра и редактирования существующего контента в платформе используется внутренний редактор конфигурационных правил. При необходимости администратор может править существующие модели, поставляемые вместе с платформой, а также на основе уже имеющихся создавать свои собственные. В этом разработчику контента способен помочь набор внутренних функций, используемых анализаторами. Все доступные функции подробно описаны в эксплуатационной документации.ВыводыИспользование платформ наподобие Ankey ASAP администраторами или аналитиками по ИБ способно значительно оптимизировать их рабочие процессы. Ankey ASAP помогает администратору выявлять аномальные или вредоносные действия пользователей или устройств: платформа может быть как инструментом активного мониторинга защищённости сети, так и конечной точкой аккумуляции всех сведений, которые необходимы для проведения расследований.В настоящее время активно ведётся работа по расширению уже имеющейся функциональности Ankey ASAP. Из планов на ближайшее будущее стоит выделить:поддержку новых источников данных, в частности — программного комплекса для мониторинга рабочего времени сотрудников StaffCop (ООО «Атом Безопасность»);расширение библиотеки анализаторов поведения;расширение имеющейся библиотеки виджетов панели мониторинга;реализацию отдельного дашборда по матрице MITRE ATT&CK;интеграцию с продуктами ООО «Газинформсервис» (линеек Ankey и Efros).Авторы:Андрей Шабалин, аналитик ИБ, компания «Газинформсервис»Расул Манкаев, инженер-аналитик, компания «Газинформсервис»Читать далее
×