Перейти к содержанию
Сергей Ильин

Сравнительный анализ антивирусного ПО

Recommended Posts

Сергей Ильин

Автор статьи: Иван Стогов (мы знаем его как просто Ивана)

Статья масштабная, делается обзор всех существующих антивирусных тестов. Копировать сюда всю статью не буду, так как она очень большая. Она доступна по ссылке http://www.pcmag.ru/library/sub_detail.php...&SUB_PAGE=1

Краткое содержание:

1. Известное неизвестное

2. Ложные срабатывания страшнее вирусов

3. Лечим то, что не поймали

4. Интегрируем оценки

Результаты всех тестов были сгруппированы по тематитикам и интегрированы в суммарный рейтинг. Вот что из этого получилось.

sravnitelnii_analiz_antivirusnogo_po_9.g

Построение интегрированных рейтингов мне лично видится интересным тем, что в антивирусной защите важны различные аспекты и их все нужно учитывать, что и делается в статье.

Интересно было бы услышать ваши мнения о материале. :?:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сергей Ильин, спасибо за ссылку.

Идея интегральных тестов весьма интересна и привлекательна, но не в такой топорной реализации.

На самом деле статья небольшая, и я её внимательно прочитал с карандашом в руке.

Обнаружились следующие дефекты:

1. Противоречие в преамбуле статьи. Сначала автор говорит:

Цель данной статьи – “разоблачить” тесты различных исследовательских лабораторий

а потом говорит:

попробовать, основываясь на результатах разнообразных тестов, выработать некую общую интегрированную оценку антивирусов.

Так разоблачить он хочет известные тесты или просто собрать их результаты в кучу?

2. Avira снова получилась в тройке (как и в большинстве тестов, как пишет автор, которые он хочет разоблачить). Не смотря на то, что по ложным срабатываниям она находится на втором месте, а "ложные срабатывания хуже вирусов". Кхм.

3. Снова тест AV-Comparatives за август 2007 года. Была выбрана бета-версия, которая лажанулась. Да, возможно, виноват тот, кто выдал эту версию для тестирования, но данный конкретный тест всё же спорный и я бы его не брал в этот интегральный тест.

4. В тестах "Моделируем реального пользователя" и "Время реакции", судя по графикам, Dr.Web не участвовал. При этом берётся средняя оценка по проведённым тестам для данного продукта. А если бы Dr.Web в этих тестах повёл себя выше среднего?

5. Брались только последние тесты. Я бы брал по несколько тестов каждого типа. Несколько тестов каждого типа Клементи, несколько тестов на время реакции. Ибо в конкретном тесте антивирус может провалиться, и причины тут могут быть совсем не в качестве исследуемого антивируса по данному параметру. Интегральные тесты должны быть интегральными не только по типам тестирования, но и данные по каждому параметру должны быть интегральными по времени.

6. (в качестве шутки) Цитата:

Авторам неизвестна только одна группа исследователей, которая проводит тесты на лечение активного заражения – это команда российского портала Anti-Malware.ru.

Описка по Фрейду? ;)

В общем, мне не понравилось. Слишком много недочётов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Валера, спасибо за комменты, я думаю статья не понравится не только вам.

Обнаружились следующие дефекты:

1. Противоречие в преамбуле статьи. Сначала автор говорит:
Цель данной статьи – “разоблачить” тесты различных исследовательских лабораторий

а потом говорит:

попробовать, основываясь на результатах разнообразных тестов, выработать некую общую интегрированную оценку антивирусов.

Так разоблачить он хочет известные тесты или просто собрать их результаты в кучу?

я в статье постарался рассказать о тестах подробно, чтобы простые люди понимали что стоит за криками, диаграммами и значками предлагаемыми вендорами в своих материалах.

Мне показалось я с этой задачей справился. Цель свести все тесты вместе и рассказать о них, затем постраться сделать интегральную оценку.

2. Avira снова получилась в тройке (как и в большинстве тестов, как пишет автор, которые он хочет разоблачить). Не смотря на то, что по ложным срабатываниям она находится на втором месте, а "ложные срабатывания хуже вирусов". Кхм.

Валера, а что же делать с тем, что у авиры ложных срабатываний на самом деле меньше чем у Доктора Веба, но при этом детект лучше Доктора? :D Тут вот и есть как раз смысл средней оценки. Я мог бы конечно еще каждому тесту свой вес задать, а не просто усреднять, но тогда бы меня обвинили в неправильном выборе весов.

3. Снова тест AV-Comparatives за август 2007 года. Была выбрана бета-версия, которая лажанулась. Да, возможно, виноват тот, кто выдал эту версию для тестирования, но данный конкретный тест всё же спорный и я бы его не брал в этот интегральный тест.

ну эти ваши оханья и аханья мы все прекрасно помним. Я в принципе не знаю тестов, которые не вызывали споров. Поэтому следуя вашей логике тесты бесполезны как явление. Пов ашему конкретному случаю в статье приведен еще тест AV-Test на общий детект, там положение Доктора не лучше.

4. В тестах "Моделируем реального пользователя" и "Время реакции", судя по графикам, Dr.Web не участвовал. При этом берётся средняя оценка по проведённым тестам для данного продукта. А если бы Dr.Web в этих тестах повёл себя выше среднего?

Нет не берется Валера, среднее берется только по тем тестам, в которых продукт участвовал. В противном случае это была бы полная дурь ставить неучаствовавшему продукту 0 и усреднять потом - так бы Доктор был бы еще ниже.

В принципе я вполне допускаю, что высокий результат по скорости реакции преподнял бы Доктора, но не в тройку лидеров. Более того, если вы оставите в рассмотрении только те тесты, в которых Доктор участвовал, то место Доктора в лучшую сторону не измениться.

5. Брались только последние тесты. Я бы брал по несколько тестов каждого типа. Несколько тестов каждого типа Клементи, несколько тестов на время реакции. Ибо в конкретном тесте антивирус может провалиться, и причины тут могут быть совсем не в качестве исследуемого антивируса по данному параметру. Интегральные тесты должны быть интегральными не только по типам тестирования, но и данные по каждому параметру должны быть интегральными по времени.

очень может быть, но во-первых, это бы усложнило понимание и логику статьи, а во-вторых по большинству тестов, которые я привел, по сравнению с их предыдущими версиями изменений мало. И они бы не повлияли на расстановку сил. Например, укажите мне тест с Доктором, где бы в НЕДАЛЕКОМ прошлом он показывал изумительные результаты, а вот в последнем провалился?

6. (в качестве шутки) Цитата:
Авторам неизвестна только одна группа исследователей, которая проводит тесты на лечение активного заражения – это команда российского портала Anti-Malware.ru.

Описка по Фрейду? ;)

нет по Юнгу :D

В общем, мне не понравилось. Слишком много недочётов.

очень может быть, но не тех что вы, Валера, привели здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
я в статье постарался рассказать о тестах подробно, чтобы простые люди понимали что стоит за криками, диаграммами и значками предлагаемыми вендорами в своих материалах.

Что конкретно стоит под словом "разоблачить" и почему оно в статье стоит в кавычках? Я не понял, к чему это там вообще. Никакие тесты вы не разоблачали. Вы их взяли как есть. Ваш анализ можно повторить на других тестах со своей методикой тестирования любой пользователь и получить если не совершенно другие, то непохожие результаты.

Мне показалось я с этой задачей справился.

Мне показалось, что не справились. Но я не прошу всех принимать моё мнение.

Валера, а что же делать с тем, что у авиры ложных срабатываний на самом деле меньше чем у Доктора Веба, но при этом детект лучше Доктора? Very Happy

Это было бы более обоснованно, если бы Вы просмотрели несколько тестов на фолсы, а не один. Иначе несерьёзно.

ну эти ваши оханья и аханья мы все прекрасно помним. Я в принципе не знаю тестов, которые не вызывали споров.

Поэтому нужно брать несколько тестов каждого типа, чтобы я не мог такое сказать.

Нет не берется Валера, среднее берется только по тем тестам, в которых продукт участвовал. В противном случае это была бы полная дурь ставить неучаствовавшему продукту 0 и усреднять потом - так бы Доктор был бы еще ниже.

В принципе я вполне допускаю, что высокий результат по скорости реакции преподнял бы Доктора, но не в тройку лидеров. Более того, если вы оставите в рассмотрении только те тесты, в которых Доктор участвовал, то место Доктора в лучшую сторону не измениться.

Тут Вы меня поняли неправильно. Я понял, что Вы берёте среднее значение по тем тестам, которые были проведены и не берёте за 0 результат тестов, если антивирус его не проходил. Проблема в другом. Если бы с Dr.Web эти тесты всё же провели (которые у Вас не проводились с этим продуктом), то результаты по ним моглы бы быть выше, чем средний результат Dr.Web по проведённым тестам. Т.е. в итоге мог получиться больший балл. Теперь понятно? Для корректности проведения такого интегрального теста все антивирусы должны проходить все тесты. Иначе получаются пробелы и средняя температура по палате. Даже если у тестов одинаковые веса (что, конечно, опять же, неправильно).

очень может быть, но во-первых, это бы усложнило понимание и логику статьи,

Чем же? Привели бы вместо конкретных тестов интегральные графики, например, по последним трём проведённым тестам этого типа.

Например, укажите мне тест с Доктором, где бы в НЕДАЛЕКОМ прошлом он показывал изумительные результаты, а вот в последнем провалился?

Вопрос не в Ваших результатах. Я их не пытаюсь оспаривать. Но выводить их нужно на правильных основаниях.

очень может быть, но не тех что вы, Валера, привели здесь.

Это Ваше мнение, и я его тоже ценю, но придерживаюсь своего.

Вы замахнулись на слишком сложное исследование и слишком громко его озаглавили.

Но я заметил, что Вы потратили на достижение соответствующего названию исследования качества слишком мало времени и усилий, подошли к исследованию недостаточно серьёзно.

Я не в коей мере не хочу принизить значимость Вашего исследования. Я лишь надеюсь, что следующее Ваше подобное исследование будет лишено перечисленных мной недостатков.

Удачи Вам в дальнейшей работе.

P.S. И прошу, не называйте меня Валера. Мне кажется это излишним панибратством, а мы тут вроде на форуме "на Вы" общаемся. Вы - Иван, а не Ваня, моё имя - Валерий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Иван, я решил поисследовать Ваше исследование дальше. И обнаружил ещё несколько любопытных фактов. Не забавы ради, а для размышлений при подготовке будущих исследований.

У вас баллы, выставленные антивирусу по каждому тесту соответствуют месту, занятому антивирусу в этом тесте. Но ведь это же неправильно. Хоть бы раз "Евровидение" посмотрели, где используется нелинейная шкала подсчёта баллов при большом количестве стран-участников. Или Вы только КВН смотрите, где шкала оценок линейна, 3 команды и 5 судей? Так там больше юмора и на оценки там не сильно обижаются.

Но это так, отвлечение.

Смотрим на "Количество успешно пройденных тестов VB100". Согласен, что между 11 наградами и 10 можно в итоговой таблице проставить разницу в 1 балл. А вот между MS и Пандой разрыв в 2 награды, а в результатах - 1. Несоответствие? Конечно.

Посмотрим на другие тесты. "Общий уровень обнаружения ПО". Между Авастом и AVG у вас в итоговой таблице разница в 1 балл, а разница на графике в 0,18%. Между Dr.Web и Пандой в итоговой таблице разница также в 1 бал, но разница на графике - 2,33%. Т.е. промежутки на самом деле отличаются в 13 раз. Возмутительно? Не то слово.

И так дальше по всем тестам. Итого, шкала выставления баллов была выбрана неправильно. Нужно было нормировать результаты каждого теста, чтобы они попали в промежуток от 0 (лучший результат) до 1 (худший результат). Хотя бы так, если сложнее не хотите.

Дальше видим, что у нас 3 теста на детект вирусов (с VB - 4, хотя "количество наград" я бы не стал брать в качестве хорошего критерия вообще. Уровень детекта и фолсов оттуда по-хорошему нужно было вытянуть для продуктов, которые не прошли тест и опять же пронормировать, ибо те, кто не прошли - это не нулевой результат, и не клеймо на антивирусе). Ну так вот. Все эти тесты должны иметь вес 0,25 от остальных тестов - время реакции и эвристик. Хотя бы так, приблизительно. Потому что одинаковые по сути тесты без этого имеют в 4 раза больший вес, не так ли?

Далее. Видим, что у Софоса не пройдено 5 из 8 тестов. Что за ерунда? Что он тогда вообще в таблице делает? Как можно учитывать его результаты? Вот и я не знаю.

Вот Вам и "Интегрируем оценки".

"А в попугаях-то я гораздо длиннее" (с) Удав.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Цитата:

2. Avira снова получилась в тройке (как и в большинстве тестов, как пишет автор, которые он хочет разоблачить). Не смотря на то, что по ложным срабатываниям она находится на втором месте, а "ложные срабатывания хуже вирусов". Кхм.

Валера, а что же делать с тем, что у авиры ложных срабатываний на самом деле меньше чем у Доктора Веба, но при этом детект лучше Доктора? Very Happy Тут вот и есть как раз смысл средней оценки. Я мог бы конечно еще каждому тесту свой вес задать, а не просто усреднять, но тогда бы меня обвинили в неправильном выборе весов.

Я Вам скажу, что делать. Правильно расставлять веса. То, что Авира, находясь на втором месте с конца по фолсам (мы сейчас не берём в расчёт то, что брался всего один тест по фолсам), оказалась в тройке лидеров, говорит, как раз, о неправильно расставленных весах по каждому тесту. 4 теста на детект вытянули Авиру в тройку, а 1 тест на фолсы не смог запихнуть обратно, а должен был бы по всем правилам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Валера, я все понял. :D

Я полностью с Вами согласен что все можно было бы делать по другому и интегрировать не так и тесты разоблачать по другому.

Спорить с Вами по каждому из ваших пунктов времени нет, ибо по прошлому опыту процесс сильно затяжной и довольно бесполезный. У меня к Вам другое предложение, у Вас столько ценных идей и замечаний, что в пору сделать правильную оценку с правильной методикой и весами - займитесь?

Если Вы проделаете именно такую работу с карандашем в руках - будет очень полезно, от этого выиграют все!

P.S. выражение "Валера, Вы..." вполне общепринято, я и не думал Вас называть на ты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Интересная статья. Согласен со многими пунктами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Я полностью с Вами согласен что все можно было бы делать по другому

Нет, я говорил не то, что делать надо по-другому. Я говорил, что так делать нельзя.

Спорить с Вами по каждому из ваших пунктов времени нет, ибо по прошлому опыту процесс сильно затяжной и довольно бесполезный.

В данной дискуссии я пытаюсь быть достаточно конструктивным.

У меня к Вам другое предложение, у Вас столько ценных идей и замечаний, что в пору сделать правильную оценку с правильной методикой и весами - займитесь?

Я провёл соответствующие расчёты и получил более точные результаты.

Сразу скажу, что и мои результаты меня не устраивают, т.к., как мне кажется, тесты были выбраны неудачно и их было отобрано мало - это работа для будущих исследований, т.к. получившийся результат неустойчив.

Например, что касается Dr.Web, я бы немного подождал и взял все тесты по версии 4.44. Я думаю, что у меня это получится сделать, когда очередной цикл различных тестов по релизу 4.44 произойдёт, тем более, что в последнее время появляется больше _разнообразных_ интересных тестов, а не только тестов на детект.

Пока же я сделал следующее: пронормировал результаты каждого теста от 0 до 1 и взял от 4 тестов на детект среднюю оценку (т.е. считал их за 1 тест).

У меня получились следующие результаты:

Kaspersky 0,838450112

NOD32 0,66903215

Avira 0,650324964

F-Secure 0,565637568

Symantec 0,561489068

Avast! 0,558879084

BitDefender 0,530453476

McAfee 0,504633189

Microsoft 0,471013469

AVG 0,455206937

Panda 0,423199258

Sophos 0,419046294

Dr.Web 0,395981728

Trend Micro 0,317145136

(вверху лучший результат - внизу худший).

Правда же, ситуация уже несколько другая? Конечно, выбранный неудачный и невсеобъемлющий (по моему мнению) набор тестов даёт о себе знать. Но методика подсчёта влияет на результат весьма сильно. Вы с этим согласны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
5. Брались только последние тесты. Я бы брал по несколько тестов каждого типа. Несколько тестов каждого типа Клементи, несколько тестов на время реакции. Ибо в конкретном тесте антивирус может провалиться, и причины тут могут быть совсем не в качестве исследуемого антивируса по данному параметру. Интегральные тесты должны быть интегральными не только по типам тестирования, но и данные по каждому параметру должны быть интегральными по времени.

На мой взгляд лучше брать только последние тесты. Какое имеет значение результат полугодовй давности, старой версии? Потом результаты продукта, скажем по детекту, могут серьезно меняться и старые заслуги в проекции на настоящее время значения не имеют.

Что конкретно стоит под словом "разоблачить" и почему оно в статье стоит в кавычках? Я не понял, к чему это там вообще. Никакие тесты вы не разоблачали. Вы их взяли как есть. Ваш анализ можно повторить на других тестах со своей методикой тестирования любой пользователь и получить если не совершенно другие, то непохожие результаты.

Мне показалось, что правильнее было бы не учитывать "разоблаченные" тесты в итоговых подсчетах. Если они плохие и ничего не показывают, то их и учитывать не стоит. Я не прав?

Добавлено спустя 3 минуты 37 секунд:

Я провёл соответствующие расчёты и получил более точные результаты.

Количество VB тоже учитывалось? Если да, то зачем? Сто раз уже обсуждали, что их значки ничего не показывают ровным счетом.

Добавлено спустя 59 секунд:

Dr.Web 0,395981728

Trend Micro 0,317145136

Перерасчет вышел не в пользу DrWeb :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

В виде графика:

Добавлено спустя 3 минуты 40 секунд:

На мой взгляд лучше брать только последние тесты. Какое имеет значение результат полугодовй давности, старой версии? Потом результаты продукта, скажем по детекту, могут серьезно меняться и старые заслуги в проекции на настоящее время значения не имеют.

Если мы говорим об интегральном тесте, то он должен быть усреднённым и по времени. Если полгода назад детект был хороший, 3 месяца назад просел, то больше вероятность того, что в будущем он снова может возрасти.

Мне показалось, что правильнее было бы не учитывать "разоблаченные" тесты в итоговых подсчетах. Если они плохие и ничего не показывают, то их и учитывать не стоит. Я не прав?

Т.е. попробовать учесть все тесты, кроме детекта? Какие выкинуть? Могу сделать.

Количество VB тоже учитывалось? Если да, то зачем? Сто раз уже обсуждали, что их значки ничего не показывают ровным счетом.

Выкинуть только VB или все тесты на детект? Или какой-то оставить? Или заменить другим тестом? Предлагайте.

Перерасчет вышел не в пользу DrWeb Wink

Я не ставил целью "поднять" Dr.Web. Это к вопросу об объективности и беспристрастности. Моя цель была показать, что методика сильно влияет на результаты. Например, когда будет проведено 4 теста на лечение активного заражения, и если я возьму эти тесты, прибавлю 1 тест на детект (какой сам захочу) и 1 тест на фолсы (какой сам захочу), то по методологии Ивана Dr.Web будет входить в тройку лидеров.

test.jpg

post-322-1195202775.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Выкинуть только VB или все тесты на детект? Или какой-то оставить? Или заменить другим тестом? Предлагайте.

Я бы осталивил все кроме VB, так как коллекция WildList морально устарела и теперь это признают все. Что касается тестов на детект Маркса и Клименти, то их выбрасывать нельзя, иначе этот важный критерий вообще не будет учитываться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

спасибо, Валерий, вот это конструктивный вариант. Хотя в Вашей идее нормирования тоже есть недостатки.

Но я человек тоже конструктивный и пошел по примерно такому же пути улучшения как и Вы, но учел больше Ваших замечаний: исключил из рассмотрения все тесты на детект кроме AV-Test.org - поскольку в этом тесте Доктор Веб брался со своей полнофункциональной (а не бета версией). Тесты VB100% Вы Валера в принципе не рекомендовали использовать в качестве критерия, не используем.

Кроме того я исключил из рассмотрения всех вендоров, которые хотя бы в одном из тестов не участвовали.

Получилась вот такая таблица.

1_122.png

Далее нормирую от 0 до 1, получаю

2_810.png

Результат опять несколько другой. Но что интересно, как не крути Авира высоко, а Доктор низко. А что касается неправильного подбора тестов...давайте другие подберем, предлагайте.

____2.PNG

____1.PNG

post-10-1195203647.png

post-1-1195203647.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Если VB выкинуть, получается так:

Kaspersky 0,840256968

Avira 0,669332807

NOD32 0,648394858

F-Secure 0,584129185

BitDefender 0,560066938

Symantec 0,547430603

Avast! 0,544425042

Microsoft 0,482154563

McAfee 0,474314468

AVG 0,455085414

Panda 0,429974326

Dr.Web 0,379867253

Sophos 0,35005431

Trend Micro 0,313157895

Конечно, снова видим другую картину. Соответственно, мы доказали, что и от выбранных тестов при той же методологии результат меняется, а не только от выбранной методологии при тех же исходных данных.

Виде графика:

Добавлено спустя 5 минут 37 секунд:

Хотя в Вашей идее нормирования тоже есть недостатки.

Они есть везде. Вот видите - 4 разных подхода - 4 разных результата. Какой из них верный? Есть ли среди них верный вообще? Это большой вопрос. СтОит ли по любому из этих 4 вариантов делать выбор неискушённому пользователю? Тоже большой вопрос. Лично я говорю пользователям: "Не смотрите на тесты. Есть демо-версии у любого антивируса. Поставьте, попробуйте, расскажите о проблемах - ведь часто они не стоят и выеденного яйца, мы вам поможем их преодолеть за 5 минут". И когда это происходит, у нас становится на одного пользователя больше.

Поэтому ещё в качестве минуса интегрального теста - нет опросов пользователей о качестве техподдержки, об эргономичности антивирусов, о качестве продуктов. И этим опросам я бы поставил бОльший вес в интегральном тесте. Ибо для кого стараемся?

Вот такие мысли.

test1.jpg

post-322-1195204003.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

результат меняется не спорю, но некие общие мотивы явно прослеживаются

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
результат меняется не спорю, но некие общие мотивы явно прослеживаются

Ну почему же? Вон НОД с середины таблицы до второго места прыгает. Софос - середины таблицы до конца. Всё относительно. Кроме того, набор тестов один и тот же. Да, на этом наборе какие-то общие закономерности видны. Но пройдёт пару месяцев, и эти результаты можно будет выкинуть в мусорку. А у интегрального теста они должны быть, ИМХО, устойчивыми. Поэтому _обязательно_ нужно интегрировать и по времени. Чтобы результаты менялись более плавно. Иначе какая польза, если мы каждый месяц будем пользователю предлагать покупать разный антивирус, если среднее время срока покупаемой лицензии - 1 год?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
результат меняется не спорю, но некие общие мотивы явно прослеживаются

Проследживаются такие:

1. Касперский всегда первый

2. В лидерах всегда Авира

3. Где-то рядом Symantec, F-Secure и Avast

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Я мог бы конечно еще каждому тесту свой вес задать,

Я тут недавно зимние шины покупал, перед этим посмотрел кой-какие тесты, например, такой.

Меня удивило, что люди тормозные свойства взвешивают на уровне разгонной динамики, а управляемость порой ниже разгона.

Лично мне нужно, что машина тормозила хорошо и была управляемой, а не то как я могу со сфетофора стартануть. :)

Это я к тому, что веса, конечно, трудно правильно расставить, но лично для меня могут быть важны скорость реакции и(или) проактивные свойства детекта и "правильные" ложные срабатывания, т.е. те, которые не трут svchost или руссификатор аськи.

А марксов и энгельсов вместе с ВБ надо вообще убрать как не имеющих никакого отношения к реальной жизни и реальным заражениям или незаражениям или же их надо как-то интегрировать с тестом на лечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel
результат меняется не спорю, но некие общие мотивы явно прослеживаются

Проследживаются такие:

1. Касперский всегда первый

2. В лидерах всегда Авира

3. Где-то рядом Symantec, F-Secure и Avast

Тоже заметил, что Касперский всегда первый. Если добавить, как предлагал Валерий, опросы о качестве техподдержки, об эргономичности антивирусов, о качестве продуктов, думаю, ситуация у Каспера не ухудшится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit
Перерасчет вышел не в пользу DrWeb

1) У Валерия произошел поворот в мировоззрении.

2) Если что - так можно сказать, что методика выставления баллов правильная, но сам анализ по таким-то причинам в корне не верен.

Согласен с Валерием в том, что при методике оценки баллов, избранной Иваном, выводить среднее не совсем корректно.

И еще обидно, что BitDefender не "участвовал" во всех "конкурсах", иначе мог занять место значительно выше.

З.Ы: а в общем и целом за анализ Ивану спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Raven_River

Ребята, вот в списках всяких тестов постоянно присутсвует "Microsoft". Какой продукт ? One Care или Windows Defender?

Если Дефендер то это не антивирус - это antispyware , естественно у него будет детект вируса близиться нулю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сообщения на тему "Интерактивного помощника по выбору антивируса" выделены в отдельную тему

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3806

Добавлено спустя 16 минут 20 секунд:

Ребята, вот в списках всяких тестов постоянно присутсвует "Microsoft". Какой продукт ? One Care или Windows Defender?

Если Дефендер то это не антивирус - это antispyware , естественно у него будет детект вируса близиться нулю.

Если речь идет об антивирусах, то OneCare Live однозначно. Windows Defender - это не антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chaman
На мой взгляд лучше брать только последние тесты. Какое имеет значение результат полугодовй давности, старой версии? Потом результаты продукта, скажем по детекту, могут серьезно меняться и старые заслуги в проекции на настоящее время значения не имеют.

Не согласен, довольно часто, ссылаются на старые тесты (годовой и более давности), "мол, смотрите, какие мы крутые". Учетом прошлых заслуг можно нивелировать результаты выскочек-однодневок.

На предпоследние результаты можно выставить коэффициент 0.5, так не сильно будут видны скачки, если у какого из вендоров будет благоприятная ситуация или неблагоприятная.

К примеру, как когда то лажанулась ЛК с обновлениями и за что не получила VB100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Проследживаются такие:

> 1. Касперский всегда первый

> 2. В лидерах всегда Авира

> 3. Где-то рядом Symantec, F-Secure и Avast

А Dr.Web ниразу не попал в TOP-5 (а в большинстве случаев и в TOP-10). Странно? Наверняка это происки империалистов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков.    ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
    • AM_Bot
      Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM. В конце 2020 года состоялся релиз новой, 9-й версии; слоганом презентации стало «Дальше только космос». Рассмотрим, какие изменения произошли по сравнению с предыдущей, 8-й версией.    ВведениеНовые возможности Ideco UTM 9Системные требования Ideco UTM 9 для разного количества пользователейПреимущества Ideco UTM 9 перед конкурентамиКонцепция постоянных обновлений Ideco UTM 9Принцип «всегда на связи»ВыводыВведениеIdeco UTM представляет собой шлюз безопасности типа Unified Threat Management (система единообразной обработки угроз) российского разработчика «Айдеко». Предыдущая, 8-я, версия этого шлюза рассматривалась на нашем сайте весьма подробно. Новая редакция продукта обладает широкими функциональными возможностями за счёт использования таких модулей и механизмов, как защита от несанкционированного доступа и внешних угроз (межсетевой экран, WAF, контроль приложений и другие), контроль доступа, контентная фильтрация, антивирусная проверка трафика, антиспам (на основе технологий «Лаборатории Касперского»), возможности работы в качестве VPN-, DNS-, DHCP- и даже почтового сервера.Исходя из перечисленных функций можно сказать, что Ideco UTM уже вышел за рамки привычного класса устройств для сетевой безопасности и представляет собой экосистему, работающую не только для организации и защиты сети, но также для частичного построения серверной инфраструктуры.За прошедшие 15 лет это решение стали использовать такие компании и ведомства, как Федеральная таможенная служба, холдинг «Вертолёты России», ArcelorMittal. В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.Ещё одним преимуществом рассматриваемого решения является его наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных. Это позволяет использовать Ideco UTM 9 для целей обеспечения государственных и муниципальных нужд в соответствии с постановлением Правительства Российской Федерации № 1236 от 16 ноября 2015 г., а также в рамках программы импортозамещения, что важно в свете планируемого перевода субъектов КИИ на российские продукты.Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11. В этой версии обновлены многие системные пакеты, увеличена производительность, включена поддержка новых платформ.Переработан веб-интерфейс администратора. Теперь он ещё удобнее с точки зрения структуры и работает быстрее, чем раньше. Рисунок 1. Интерфейс администратора Ideco UTM 9 Добавлена ролевая модель администраторов. Теперь благодаря ей доступ разделён на две категории: полный доступ и только чтение, что позволяет предоставлять его обучающимся или неопытным пользователям. Рисунок 2. Добавление учётной записи администратора Реализован раздельный доступ в консоль по SSH под логинами администраторов. Это позволяет настроить сети, из которых возможен доступ по SSH. Раньше была возможность подключаться только к веб-интерфейсу шлюза. Рисунок 3. Управление доступом по SSH В обновлённой версии шлюза безопасности добавлена установка пароля администратора при развёртывании сервера. Данная возможность исключает использование стандартных паролей и делает необходимой их ручную смену после установки продукта. Это позволяет избавиться от типичной проблемы использования нестойких и подверженных взлому паролей в привилегированных учётных записях.В межсетевой экран добавлены счётчики срабатывания правил, что позволяет эффективнее управлять правилами, удаляя или дорабатывая правила файрвола не имеющие срабатываний. Рисунок 4. Управление правилами файрвола В Ideco UTM 9 появился почтовый узел («релей») с возможностью работы в качестве полноценного почтового сервера с модулем антиспама от «Лаборатории Касперского». Рисунок 5. Основные настройки почтового релея Почтовый релей может подписывать исходящие письма DKIM-ключом, который используется почтовыми сервисами для идентификации и классификации электронной почты. Рисунок 6. Включение функции DKIM В продукте обновлён модуль системы предотвращения вторжений. Теперь он более эффективен в выявлении и предотвращении атак.Добавлена возможность отправки оповещений о событиях на сервере с помощью телеграм-бота. Рисунок 7. Настройка телеграм-бота Системные требования Ideco UTM 9 для разного количества пользователейIdeco UTM — это программное решение, что весьма выгодно с точки зрения отсутствия необходимости покупать продукт вместе с аппаратной частью. Достаточно выделить соответствующие ресурсы из уже имеющихся. Несмотря на новые функции, появившиеся в версии 9, требования к аппаратному обеспечению не изменились по сравнению с 8-й версией. Таблица 1. Минимальные системные требования, предъявляемые Ideco UTM 9Минимальные системные требованияПримечаниеПлатформаОбязательна поддержка UEFI Гипервизор2-е поколение виртуальных машин HyperV (с отключённым SecurityBoot) ПроцессорIntel Pentium G / i3 / i5 / Xeon E3 / Xeon E5 с поддержкой инструкций SSE 4.2Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов, таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Для работы системы требуется минимум два, лучше четыре ядра процессора.Объём оперативной памяти8 ГБ (16 ГБ при количестве пользователей более 75)Дисковая подсистемаЖёсткий диск (магнитный или SSD) объёмом 64 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID. В случае использования почтового сервера — второй жёсткий диск.Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет или материнскую плату). При использовании аппаратных RAID-контроллеров настоятельно рекомендуется использовать плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива. Не поддерживаются диски объёмом выше 2 ТБ.Сетевые адаптерыДва сетевых адаптераРекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek со скоростью 100/1000 Mбит/с.ДополнительноМонитор, клавиатураДля установки и работы Ideco UTM не требуются предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты. Ниже в таблице представлены несколько типов конфигураций, которые зависят от количества пользователей. Таблица 2. Минимальные характеристики сервера для Ideco UTM 9 в зависимости от количества пользователей в сетиКоличество пользователей2550–200200–50010002000Модель процессораIntel Pentium Gold G5400 или совместимыйIntel i3 8100 или совместимыйIntel i5, i7, Xeon E3 от 3 ГГц или совместимыйIntel Xeon E3, E5 или совместимыйIntel Xeon E5 или совместимый 8-ядерныйОбъём оперативной памяти4 ГБ (рекомендуется 8 ГБ)8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБHDD 500 ГБ либо SSD 256 ГБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБСетевые адаптерыДва сетевых адаптера Преимущества Ideco UTM 9 перед конкурентамиIdeco UTM имеет немало особенностей и отличий. Как было сказано выше, это — программное решение, поддерживаемое всеми гипервизорами, без привязки к конкретным аппаратным платформам. Благодаря этому можно разворачивать продукт как на собственных мощностях, так и в облаке.Настройка шлюза упрощена за счёт большей автоматизации процесса. Рисунок 8. Настройка контроля приложений Время внедрения системы в организации минимизировано благодаря интеграции с Active Directory, SIEM, DLP-системами, а также предпродажной (presale) поддержке от производителя решения. Рисунок 9. Настройка интеграции с Active Directory Рисунок 10. Настройка отправки отчётов в SIEM Рисунок 11. Настройка интеграции Ideco UTM с сервисами ICAP (DLP, антивирусы и т. д.) В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.Одна из концепций «Айдеко» — использование опенсорс-продуктов в совокупности со своими разработками. Компания не скрывает факта использования программ с открытым исходным кодом: ядра Linux, Suricata, Nginx, Squid и других. «Айдеко» дорабатывает их и делится этими доработками с сообществом. Собственные разработки «Айдеко» касаются создания правил для определения и предотвращения атак.Отметим усовершенствованную систему справки — рядом с каждым пунктом меню веб-интерфейса продукта есть иконка, нажав на которую администратор перейдёт к соответствующему пункту документации. Рисунок 12. Иконка вызова документации Рисунок 13. Переход в документацию Быстрые релизы и постоянное развитие продукта — принцип «agile» в действии. Также отдельного упоминания заслуживают мгновенные ответы техподдержки по различным каналам коммуникации.Давайте рассмотрим последние два принципа чуть подробнее.Концепция постоянных обновлений Ideco UTM 9Компания «Айдеко» уделяет огромное внимание управлению изменениями своего продукта. С момента выхода 9-й версии в конце 2020 года выпущено уже 8 релизов. Средний интервал между ними составляет около 2 недель.Обновления касаются не только исправления выявленных ошибок, но и улучшения используемых модулей (например, в редакции от 19 марта обновлён модуль системы предотвращения вторжений Suricata до версии 6.0.2), а также ввода новой функциональности (в релизе от 5 февраля добавлены новые возможности, касающиеся учёта и отчётов по веб-трафику).Таким образом, компания заботится о том, чтобы решение было удобно для организаций и действительно работало так, как это нужно пользователям.Принцип «всегда на связи»Забота о клиентах проявляется не только в том, что компания регулярно обновляет свой продукт, но и в том, что она обеспечивает его поддержку и собирает обратную связь для выявления потребностей используя абсолютно разные каналы связи. Это — классическая почта и портал технической поддержки, многоканальный телефон, телеграм-бот и канал в Telegram, чат в веб-интерфейсе самого продукта. Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.ВыводыIdeco UTM 9 — это постоянно развивающееся отечественное решение, включившее в себя не только функциональную часть как таковую, но и современный подход к разработке и сопровождению продукта. С одной стороны, это IPS, межсетевой экран, почтовый релей и т. д., а с другой стороны — постоянная обратная связь с производителем решения, регулярные релизы и обновления.С каждой версией производитель всё больше заботится об администраторах с базовыми знаниями сетевых технологий, упрощая процесс настройки шлюза безопасности, структурируя веб-интерфейс и принудительно заставляя уходить от «пустых» паролей и паролей «по умолчанию», что важно для бюджетных организаций и компаний с маленьким штатом ИТ-сотрудников. Читать далее
×