Перейти к содержанию
ags

тестирование шлюзовых антивирусов

Recommended Posts

ags

Здравствуйте!

Есть задача протестировать несколько антивирусных корпоративных шлюзовых продуктов. Прежде всего интересует способность обнаруживать заразу в динамическом содержимом - в скриптах и т.п.

Может, кто-нибудь подскажет коллекцию URL с активной скриптовой заразой?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Распространение вредоносных программ, статья УК РФ :-)

Коллекцию URL собрать сложно, время жизни часто очень маленькое, что-то есть у нас закрытом разделе для опытов. Пишите в личку, если интересно.

Вообще я сомневаюсь, что такой тест даст что-то покажет, уж больно нерепрезентативной может быть выборка зловредов.

Я бы рекомендовал ориентироваться на тесты качества детектирования (detection rate), так как в любом случае движок один и тот же везде, зловред или ловится или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Я бы рекомендовал ориентироваться на тесты качества

> детектирования (detection rate), так как в любом случае движок

> один и тот же везде, ...

А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Будьте бдительны и выбирайте правильную защиту :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Константин

Очень нужная тема, у нас сейчас как раз собираются ставит шлюзовый продукт, предполагается что он будет от ЛК. Хотелось бы чтобы высказались спецы по поводу этого шлюзового продукта и продуктов других производителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ags

Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

CA - это norton или mcafee?

кстати могу скинуть программку,

кототая при отключенном антивирусе за 5 минут загоняет на комп 40–60 троянов,

которые большинство антивирусов не детектят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
CA - это norton или mcafee?

http://ca.com/worldwide/

с просония не сообразил.

с симантеком и наи перепутал.

ето бывший труст, что–ли?

его в прошлом году на цебите анонсировали как единственный сертифицированный антивирус для suse–линукс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

позволю себе не согласиться.

если зловреда нет в базе касперского,

то юзер получает зловредов на тарелке.

два примера: у менйа касперский

пропустил знаменитую "Vicky Hatchetson",

а также "корейские" линки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Maxim
позволю себе не согласиться.

если зловреда нет в базе касперского,

утрировать не надо. если вирья нет в базе, то любой его пропустить. проактивка, блокираторы и прочий хлам на серверном софте бесполезен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

Забудь об этом проду достойного в этой сфере они никогда не делали ИМХО, купили два антивирусных движка и оба убили по сути, детект просто никакой, реальной худхий показатель по индустрии :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike

утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

чтобы не быть голословным протестировал шлюзовой антивирус касперского, немецкая версия

все вирусы были в базе или были добавлены в базу касперского

9 страниц с вирусами:

Virus ..... http://antimalware.ru..........id=574 gefunden.

Virusname:Virus detected: Trojan-Dropper.Win32.Agent.azx /®£®¢®à¨¬-ª v2.1.exe

Server ..... zugriffsgeschützt.

http://antimalware.ru/.........id=959

Server ...... zugriffsgeschützt.

http://antimalware.ru/..........id=1070

Virus ...... http://antimalware.ru/..........id=1072 gefunden.

Virusname:Virus detected: Trojan.Java.ClassLoader.ao /11f0e733-1ae9601e/BaaaaBaa.class

Server ..... zugriffsgeschützt.

http://antimalware.ru/.......id=710

Virus ..... http://antimalware.ru/.....id=1102 gefunden.

Virusname:Virus detected: Trojan-Downloader.Win32.Agent.brr /xpdx.sys

Virus .... http://antimalware.ru/......id=1104 gefunden.

Virusname:Virus detected: Trojan.Win32.Dialer.qn /wnd2B8.tmp

результат: из 9 страниц с вирусами были заблокированы 9

блокированы также вирусы, заархивированные винраром с паролем.

100% :applause:

краткий перевод:

Virus .....gefunden --- вирус обнаружен

Server ..... zugriffsgeschützt ---- файл с сервера имеет пароль и блокируется

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Для шлюзового антивируса важен не только уровень детекта, но и

1. Производительность

2. Особая обработка при загрузке больших файлов

3. Интеграция в существующую инфраструктуру

4. Дополнительные возможности (блокировка порнографии, квотирование трафика, аутентификация пользователей, ...)

Если по какой-то из этих позиция продукт не подходит, то его уровень детекта совершенно не принципиален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
Для шлюзового антивируса важен не только уровень детекта, но и Особая обработка при загрузке больших файлов.

это основной недостаток антивируса касперского.

скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

для этой цели необходимо использовать альтернативный доступ в интернет.

по крайней мере у меня для скачивания больших файлов имеется дополнительный выход в интернет минуя шлюз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

А нука обоснуем, с приведением настроек на шлюзе. Это всетаки не персональный АВ, и настройки очень многое значат!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×