Иван

Symantec - поведенческий блокиратор

В этой теме 11 сообщений

узнал тут, что у Симантек стал говорить о наличии у них поведенческих механизмов обнаружения, зашел в настройки

галочка и правда такая есть, но на 150 новых самплах реакции дождался тока в 2% случаев

suspicious.JPG

symantec_alert.jpg

post-10-1193986652.jpg

post-1-1193986652.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот только недавно любовался, как машина с 10 корпоративным Симантеком пыталась рассылать спам тоннами, а их хвалёный "анализатор, ищущий вредоносные рассылки" и не чесался...

Судя по всему, эвристика и поведенческий анализ - далеко не сильная черта Symantec...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот только недавно любовался, как машина с 10 корпоративным Симантеком пыталась рассылать спам тоннами, а их хвалёный "анализатор, ищущий вредоносные рассылки" и не чесался...

Судя по всему, эвристика и поведенческий анализ - далеко не сильная черта Symantec...

Ситуация улучшилась в NIS 2008 и Endpoint Protection 11. Но ничего не могу сказать про "анализатор, ищущий вредоносные рассылки". Могу только сказать, что следить за изменениями в критичных областях системы Symantec научились неплохо. Однако, с более интеллектуальным проактивным детектом видимо по-прежнему проблемы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Могу только сказать, что следить за изменениями в критичных областях системы Symantec научились неплохо.

Факт. И очистка системы от ошмётков заразы становится всё лучше - и сервисы сносит, и записи в реестре, и даже, по-моему, драйверы.

Однако, с более интеллектуальным проактивным детектом видимо по-прежнему проблемы...

Про Endpoint Protection 11 пока ничего сказать не могу - внешне набор функций как будто остался аналогичен Corporate 10, но кто его знает, как был переделан движок? Симантек говорит прямо-таки о технологическом прорыве... Посмотрим. В 10-ке проактивка была никакая, её было выгоднее отключить - снижение расхода системных ресурсов окупало снижение защищённости.

Что мне в 11-м действительно понравилось - так это удобная возможность блокировать доступ к съёмным устройствам, а также блокировать запуск определённых программ. Идеальной вирусной базы ни у кого не бывает, но запрет на съёмные устроства даёт некоторую защиту как от заражения, так и, кстати, от кражи информации. Безусловно, есть и другие решения, позволяющие это - но когда весь софт в конторе легальный, такие вот комбайны становятся выгодными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Про Endpoint Protection 11 пока ничего сказать не могу - внешне набор функций как будто остался аналогичен Corporate 10, но кто его знает, как был переделан движок? Симантек говорит прямо-таки о технологическом прорыве... Посмотрим. В 10-ке проактивка была никакая, её было выгоднее отключить - снижение расхода системных ресурсов окупало снижение защищённости.

Нет, там ещё много вкусного добавилось.

Во-первых, их продвинутый SONAR добавился. В 10-ке поведенческого анализа не было как класса. Только их мало чего стоящий эвристик. Теперь же он умеет сканировать критические области на предмет изменений и плюс немного умеет ловить в реальном времени - подобно последним домашним версиям (впрочем, это у него плохо получается).

Во-вторых, всё что касается сетевой безопасности. Фаерволл, IPS, эвристическая технология GEB (Generic Exploits Blocking).

В-третьих, анти-руткитовый движок. Хотелось бы увидеть тесты...

В-четвёртых, что касается движка, то он опять же ближе к последним домашним версиям, посему должен быть шустрее.

Поправьте, если в чём-то ошибся.

Добавлено спустя 1 минуту 59 секунд:

Что мне в 11-м действительно понравилось - так это удобная возможность блокировать доступ к съёмным устройствам, а также блокировать запуск определённых программ. Идеальной вирусной базы ни у кого не бывает, но запрет на съёмные устроства даёт некоторую защиту как от заражения, так и, кстати, от кражи информации.

Угу. Для Enterprise-организаций это замечательный функционал. Очень и очень ценно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но на 150 новых самплах реакции дождался тока в 2% случаев

Да, результат конечно чересчур скромный

Судя по всему, эвристика и поведенческий анализ - далеко не сильная черта Symantec...

А у кого из большой тройки это сильная черта? Symantec как раз в новых версиях продуктов в этом сейчас опережает своих ближайших конкурентов, очень осторожно, так как эти технологии несут как плюсы, так и огромные минусы. А 10 версия SAV уже давно морально и технологически устарела, знали об этом все, в том числе и сама компания Symantec, поэтому так и торопилась с выпуском 11 версии, которая получилась к сожалению пока не очень стабильной, но по технологиям опережает все существующие на рынке антивирусные продукты

Ситуация улучшилась в NIS 2008 и Endpoint Protection 11 ...

Если быть точнее, то начиная с NIS 2007, что касается проактивной защиты, поживем увидим как покажет себя SEP, как раз на проактивку в нем пока особых нареканий нет, что-то он даже ловит

Про Endpoint Protection 11 пока ничего сказать не могу - внешне набор функций как будто остался аналогичен Corporate 10, но кто его знает, как был переделан движок? Симантек говорит прямо-таки о технологическом прорыве... Посмотрим. В 10-ке проактивка была никакая, её было выгоднее отключить - снижение расхода системных ресурсов окупало снижение защищённости.

Ну тут Вы загнули, 11 и 10 версия отличаются настолько сильно, что их практически невозможно сравнивать. Что касается именно Антивирусного модуля, то там изменения действительно минимальны, основное - это использование технологий Veritas для сканирования на более низком уровне и работы с файлами резервных копий. Проактивной защиты в 10 версии вообще не было, BloodHound технология - это чистая эвристика, к тому же довольно слабая. В 11 же версии BloodHound остался в АВ модуле без изменений, а в отдельном модуле появиласт именно проактивная защита, основанная на анализе поведения процессов и приложений, которая называется Bloodhound SONAR

В-третьих, анти-руткитовый движок. Хотелось бы увидеть тесты...

Опять же если быть точнее, то никакого антируткит движка там не появилось, просто обычный АВ движок с ипользованием технологий Veritas получил возможность сканировать там, где обычно и находятся РутКиты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В-третьих, анти-руткитовый движок. Хотелось бы увидеть тесты...
Опять же если быть точнее, то никакого антируткит движка там не появилось, просто обычный АВ движок с ипользованием технологий Veritas получил возможность сканировать там, где обычно и находятся РутКиты

Это мы и проверим в ближайшее время ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум, а вы можете объяснить все таки что такое Sonar?

то что я читаю в новостях это какой-то полный бред.

С одной стороны галочка Sonar есть в настройках сканирования по требованию персональных продуктов, при этом пишется, что это технология основанная на поведении...уже непонятно

А в пресрелизах по новым продуктам написана ваще какая-то бредятина, уже каким-то боком и к фаерволу приплели:

В Norton Internet Security 2008 SONAR будет выполнять полное сканирование всякий раз, когда приложение пытается установить связь с внешним миром, еще надежнее защищая персональную информацию благодаря повышенной эффективности межсетевого экрана при защите от неизвестных угроз.

Кирилл Керценбаум можете все таки объяснить как это все работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Иван, расшифровывается это так SONAR: Symantec Online Network for Advanced Response, эту технологию они не придумали, это интеграция продуктов купленной компании WholeSecurity.

Работает это по двум направлениям: во-первых, как только в системе порождается новый процесс, он заносится в определенную таблицу, с него делается слепок и начинается за ним слежение, точнее за теми действими, которые он производит с критически важными областями операционной системы и на этом основании производит бальную оценку этих действий. Во-вторых, по заданному расписанию или по расписанию заданному по-умолчанию, происходит пересканирования всех процессов и обновление слепков, на данный момент существует четыре условных сигнатры системы SONAR в зависимости от типа: это Bloodhound.SONAR.1 - Bloodhound.SONAR.4.

Примерно вот так :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум спасибо

т.е. сканируются значит процессы в памяти, а не файлы на диске?

а эта странная фраза "В Norton Internet Security 2008 SONAR будет выполнять полное сканирование всякий раз, когда приложение пытается установить связь с внешним миром" означает, что будет просканирован процесс приложения, которое лезет в сеть?

если так, то какая-то ясность наступает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...