тестирование шлюзовых антивирусов

[ags 0]

Здравствуйте!

Есть задача протестировать несколько антивирусных корпоративных шлюзовых продуктов. Прежде всего интересует способность обнаруживать заразу в динамическом содержимом - в скриптах и т.п.

Может, кто-нибудь подскажет коллекцию URL с активной скриптовой заразой?

Спасибо.

[Сергей Ильин 1538]

Распространение вредоносных программ, статья УК РФ :-)

Коллекцию URL собрать сложно, время жизни часто очень маленькое, что-то есть у нас закрытом разделе для опытов. Пишите в личку, если интересно.

Вообще я сомневаюсь, что такой тест даст что-то покажет, уж больно нерепрезентативной может быть выборка зловредов.

Я бы рекомендовал ориентироваться на тесты качества детектирования (detection rate), так как в любом случае движок один и тот же везде, зловред или ловится или нет.

[Dr.Golova 55]

> Я бы рекомендовал ориентироваться на тесты качества

> детектирования (detection rate), так как в любом случае движок

> один и тот же везде, ...

А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Будьте бдительны и выбирайте правильную защиту :-)

[Сергей Ильин 1538]

А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

[Константин 0]

Очень нужная тема, у нас сейчас как раз собираются ставит шлюзовый продукт, предполагается что он будет от ЛК. Хотелось бы чтобы высказались спецы по поводу этого шлюзового продукта и продуктов других производителей.

[ags 0]

Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

[Mike 125]

Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

CA - это norton или mcafee?

кстати могу скинуть программку,

кототая при отключенном антивирусе за 5 минут загоняет на комп 40–60 троянов,

которые большинство антивирусов не детектят.

[Dexter 20]

CA - это norton или mcafee?

http://ca.com/worldwide/

[Mike 125]

CA - это norton или mcafee?

http://ca.com/worldwide/

с просония не сообразил.

с симантеком и наи перепутал.

ето бывший труст, что–ли?

его в прошлом году на цебите анонсировали как единственный сертифицированный антивирус для suse–линукс

[Maxim 0]

А вот и фигушки - WEB антивирус из KIS ловит сплоеты/скрипты/малвару сразу в трафике. А в пакетах оно выглядит совсем подругому, к тому же многое на диск вобще не попадает по определению, и поэтому уходит из под надзора многих АВ.

Но это персональный продукт, реализованы ли подобные алгоритмы в шлюзовых продуктах ЛК или кого-то еще?

в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

[Mike 125]

в зависимости от того что вы хотите фильтровать. есть продукт под сквид и, в данный момент, научился работать с железками (цыска, блюкот).

там ситуация аналогична - трафик не попадет юзеру.

позволю себе не согласиться.

если зловреда нет в базе касперского,

то юзер получает зловредов на тарелке.

два примера: у менйа касперский

пропустил знаменитую "Vicky Hatchetson",

а также "корейские" линки.

[Maxim 0]

позволю себе не согласиться.

если зловреда нет в базе касперского,

утрировать не надо. если вирья нет в базе, то любой его пропустить. проактивка, блокираторы и прочий хлам на серверном софте бесполезен.

[Mike 125]

утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

[Сергей Ильин 1538]

Уточняю - кто-нибудь что-то может сказать про опыт использования на шлюзе движка от CA?

Забудь об этом проду достойного в этой сфере они никогда не делали ИМХО, купили два антивирусных движка и оба убили по сути, детект просто никакой, реальной худхий показатель по индустрии

[Mike 125]

утрировать не надо. .

да я вроде не утрирую, а опытом делюсь.

чтобы не быть голословным протестировал шлюзовой антивирус касперского, немецкая версия

все вирусы были в базе или были добавлены в базу касперского

9 страниц с вирусами:

Virus ..... http://antimalware.ru..........id=574 gefunden.

Virusname:Virus detected: Trojan-Dropper.Win32.Agent.azx /®£®¢®à¨¬-ª v2.1.exe

Server ..... zugriffsgeschützt.

http://antimalware.ru/.........id=959

Server ...... zugriffsgeschützt.

http://antimalware.ru/..........id=1070

Virus ...... http://antimalware.ru/..........id=1072 gefunden.

Virusname:Virus detected: Trojan.Java.ClassLoader.ao /11f0e733-1ae9601e/BaaaaBaa.class

Server ..... zugriffsgeschützt.

http://antimalware.ru/.......id=710

Virus ..... http://antimalware.ru/.....id=1102 gefunden.

Virusname:Virus detected: Trojan-Downloader.Win32.Agent.brr /xpdx.sys

Virus .... http://antimalware.ru/......id=1104 gefunden.

Virusname:Virus detected: Trojan.Win32.Dialer.qn /wnd2B8.tmp

результат: из 9 страниц с вирусами были заблокированы 9

блокированы также вирусы, заархивированные винраром с паролем.

100% :applause:

краткий перевод:

Virus .....gefunden --- вирус обнаружен

Server ..... zugriffsgeschützt ---- файл с сервера имеет пароль и блокируется

[Михаил Кондрашин 55]

Для шлюзового антивируса важен не только уровень детекта, но и

1. Производительность

2. Особая обработка при загрузке больших файлов

3. Интеграция в существующую инфраструктуру

4. Дополнительные возможности (блокировка порнографии, квотирование трафика, аутентификация пользователей, ...)

Если по какой-то из этих позиция продукт не подходит, то его уровень детекта совершенно не принципиален.

[Mike 125]

Для шлюзового антивируса важен не только уровень детекта, но и Особая обработка при загрузке больших файлов.

это основной недостаток антивируса касперского.

скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

для этой цели необходимо использовать альтернативный доступ в интернет.

по крайней мере у меня для скачивания больших файлов имеется дополнительный выход в интернет минуя шлюз.

[Dr.Golova 55]

> скачивание файлов большого размера через шлюз с антивирусом касперского практически невозможно.

А нука обоснуем, с приведением настроек на шлюзе. Это всетаки не персональный АВ, и настройки очень многое значат!