Unhookers Tests

[Илья Рабинович 521]

Мне интереснее другой взгляд: Можно ли развивать продукты класса HIPS и защищать пользователя от новых угроз не мешая ему.

Это упирается в класс защиты. Всего у нас три базовых вектора продуктов безопасности- blacklisting, whitelisting, sandboxing. Blacklisting- это сигнатурные сканеры, эвристики и поведенческие expert HIPS (типа Cyberhawk, PDM,...). Whitelisting- это всевозможные подписи исполняемых файлов, списки заведомо чистых файлов легитимных приложений, HIPS типа Anti-Executable и грядущий Comodo FW v3 (тут, правда, явно видны уши маркетингового приёма из разряда "если не купите наш товар, вам же потом хуже будет"). Sandboxing- это ограничение полномочий и разделение приложений и процессов.

Самый ненавязчивый тип HIPS- expert HIPS. Но. как и у любой blacklisting-технологии, у него есть врождённые уродства в виде False Positives и False Negatives. Этот вид защиты будут либо обходить из-за недокрученных шаблонов, либо оно будет генерить кучу ложных срабатываний на легитимных приложениях.

Далее идёт sandboxing. Всплывающих окон с вопросами нет, но пользователю придётся помнить о том, в какой именно зоне находятся те или иные исполняемые файлы и инсталляторы. Плюс- некоторые апдейтеры сделаны неправильно с точки зрения концепции безопасности MS (и sandboxing тоже) и нуждаются в переделывании их авторами, но это, я полагаю, лишь вопрос времени.

Следующим (и последним) идет whitelisting. Тут всё пока что плохо- цифровые сертификаты покупают мало (в основном- большие компании), подписанных инсталляторов и приложений тоже немного.

Всплывающие окна с вопросами типа "а действительно ли вы хотите запустить этот файл" будут игнорироваться конечными пользователями.

Про classical HIPS типа SnS, CSA, Entercept писать не буду- эти продукты вообще не для массового рынка.

Очевидно, что будущее за смесью blacklisting+whitelisting+sandboxing в определённой пропорции, взболтать, но не смешивать.

Представь себе, что новая уловка злоумышленников потребует доработки, которая заблокирует работу какого-нибудь вполне легитимного ПО.

Это всё решаемые задачи.

Твой DW, например, в ранних версиях, которые я тестировал, блокировал работу некоторых кодеков.

Каких именно? Я вот пользую универсальный ffdshow- полёт нормальный.