Перейти к содержанию
dr_dizel

Ложные срабатывания на коммерческих данных

Recommended Posts

dr_dizel

Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

fail.gif

В данном случае Вэбу не понравился безобидный дамп схемы оракла (и слава богу, что тут не сработало уникальное вэбовское лечение удалением :huh: ).

post-4003-1205239469_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

В соответствии с Пользовательским Соглашением.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

http://company.drweb.com/policy/

Как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov

Мне кажется речь идёт немного о другом. В том случае, если антивирус удалит важные данные (или их испортит) - кто будет нести ответственность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Мне кажется речь идёт немного о другом. В том случае, если антивирус удалит важные данные (или их испортит) - кто будет нести ответственность.

Еще раз говорю - читайте Пользовательское Соглашение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nremezov
Еще раз говорю - читайте Пользовательское Соглашение.

А для чего Вы меня то отсылаете читать? Я вежливо поправил Валерия - и всё. А так я с Вами согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Я собственно о том, что никто в трезвом рассудке вам коммерческую информацию не даст т.к. часто даже право не имеет разглашать её внутри своего предприятия.

Есть ли какой-нибудь инструментарий, что позволит определить на стороне клиента причины ложного срабатывания (расширенные какие-нибудь флаги эвристики показывает) и позволяет в текстовой (а как же ещё?) форме отослать в вирлаб информацию для корректировки соответствующего правила детектирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

probably infected by .... или возможно, инфицирован ...... Это эвристик. Расширение "origin" говорит о срабатівании по origin Tracing. А далее - ваш комментарий в вирлаб

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Как обычно решаются вопросы ложных срабатываний антивирусов на данных, которые представляют собой коммерческую тайну?

Не вижу тут указания конкретного вопроса, касающегося возмещения ущерба. Какая интерпретация первая в голову пришла - на такую и ответил :)

Тут говорится о вопросах ложных срабатываний в общем :)

Если воспроизводится на базах данного формата регулярно, тогда можно попытаться позаписывать в базу мусор, или попытаься изменить "настоящую" базу таким образом, чтобы она не представляла коммерческого интереса, но чтобы на ней воспроизводилось ложное срабатывание.

Ущерб, конечно, возмещать никто не будет. Инструментария для бэкапа критичной информации предостаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я собственно о том, что никто в трезвом рассудке вам коммерческую информацию не даст т.к. часто даже право не имеет разглашать её внутри своего предприятия.

Есть ли какой-нибудь инструментарий, что позволит определить на стороне клиента причины ложного срабатывания (расширенные какие-нибудь флаги эвристики показывает) и позволяет в текстовой (а как же ещё?) форме отослать в вирлаб информацию для корректировки соответствующего правила детектирования?

Зачем это править - если ситуация настолько уникальна ?

Скорее всего вам посоветуют внести такие файлы в списки исключений при проверке и, наверное, будут правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Здесь согласен. Вопрос политик безопасности - в том числе и антивирусов - лежит целиком и полностью на плечах админа безопасности (ежели таковой имеется) или подразделения ИТ. В подобных организациях это должно быть обязательным моментом и определенным образом стандартизировано - через оргмеры, к примеру

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Если воспроизводится на базах данного формата регулярно

То вас бы уже засыпали гневными письмами клиенты оракла.

тогда можно попытаться позаписывать в базу мусор, или попытаься изменить "настоящую" базу таким образом, чтобы она не представляла коммерческого интереса, но чтобы на ней воспроизводилось ложное срабатывание.

Чтобы мыть золото - надо знать, как оно выглядит. Так и без детализации ругательства антивируса в большинстве случаев нельзя отделить зёрна от плевел.

Ущерб, конечно, возмещать никто не будет.

Желаю вэбовцам познать все прелести ошибочного лечения удалением у крупного клиента.

Касательно примера.

  • Формат дампа схемы оракла - это фактически SQL+данные таблиц.
  • Также мы знаем, что вэбовцы пишут свой фильтр траффика.
  • Получаем возможные потенциальные проблемы при работе клиентов с БД Oracle.

Когда я приводил пример, то ожидал, что последуют уже отработанные рекомендации для решения подобных проблем. Однако мне посоветовали просто по имени исключить файл из проверки. Подозрительное правило детекта т.о. останется прежним и может всплыть где-нибудь ещё.

К нашим зайцам.

Я спрашивал о существовании инструментов для решения подобных проблем, когда оригинальные данные для анализа не могут быть представлены.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Желаю вэбовцам познать все прелести ошибочного лечения удалением у крупного клиента.

Не делайте такие настройки для файлового монитора, которые могут привести к удалению файла, хотя бы на критичных серверах.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

Тогда поделитесь опытом, полученным на других рынках. Возможно, его стоит перенять? Где пользователям рассказывают, как собственными силами проанализировать файл, чтобы помочь вендору исправить сигнатуру, и как это происходит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Я спрашивал о существовании инструментов для решения подобных проблем, когда оригинальные данные для анализа не могут быть представлены.

Из дискуссии я заключаю, что на нашем совковом рынке антивирусных программ решения для данных проблем не существуют в природе.

ИМХО, любой подобный гипотетический инструмент будет раскрывать по крайней мере часть конкретной технологии поиска вирусов, применяемой конкретным вендором (как правило, являющуюся конфиденциальной информацией уже компании-вендора). И именно поэтому такие инструменты навряд ли когда либо увидят свет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> когда оригинальные данные для анализа не могут быть представлены.

Тогда, скажем, попросят первые/последние 32кб базы и несколько подобных точек внутри базы. Или даже не сами куски, а их md5 хэши. Понятно что на целую базу сделать false-alarm запись гораздо проще, но кто платит, тот бал и заказывает. Все завист от степени сладости клиента для АВ компинии.

> инструмент будет раскрывать по крайней мере часть конкретной технологии поиска вирусов

Все внутренности пополярных АВ уже давно разобраны и продаются малварщиками для малварщиков на малварных форумах. Это не секрет и цены вполне приемлимые (аля "все тонкости эвристики eset за $100, торг уместен"). Типа мало импорта в программе - Heur.XPack.Gen, точка входа не в первой секции - NewHeur_PE, саспендит эксплорер - beheveslike: Trojan и т.д.

Бояться этого не надо - нормальные АВ на эвристику особо не полгаются, это так сказать бонус, а не обязательный модуль - если захотят, обойдут его обязательно, чего не скажешь о сигнатурах, прошедших через руки живых аналитиков :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Не делайте такие настройки для файлового монитора, которые могут привести к удалению файла, хотя бы на критичных серверах.

Валерий, включение вами некоего "дурачка" уже начинает утомлять.

Уже неоднократно обсуждалось воплощённое в продукте гениальное решение какого-то сотрудника вэба лечить файлы удалением, даже если в настройках принудительно стоит лечение или перемещение в карантин. Вэб, вопреки настрйкам, самовольно удаляет файлы. Совсем недавно он таким образом удалял инсталляторы Касперского. Это уже был реальный массовый прецедент, а не форумные сообщения и рассуждения, которые всплывали неоднократно.

Тогда поделитесь опытом, полученным на других рынках. Возможно, его стоит перенять? Где пользователям рассказывают, как собственными силами проанализировать файл, чтобы помочь вендору исправить сигнатуру, и как это происходит?

Валерий, стрелочник из вас тоже никакой.

А вот хороший опыт перенимать стоит. Если опыта нет, то стоит прислушиваться к требованиям клиентов.

Детект же происходит не от балды, а на основании сигнатур, эвристики. Базы же представляют собой список правил для детекта и лечения. Чтобы понять причину ложного срабатывания необходимо знать на какие данные сработал триггер. Я думаю, что для этого достаточно показать дамп найденной сигнатуры, расшифровку флагов эвристики, может ещё что. С этим может справится дополнительная утилита, что будет использовать вирусную базу установленного антивируса и выдавать результаты в текстовом формате. Это же не так сложно реализовать. Можно даже затачивать утилиту при передаче клиенту под конкретную проблемную запись в базе. А вот полученные данные от утилиты клиент может проверить на содержание конфиденциальной информации и принять решение о возможности передачи её в АВК.

Тогда, скажем, попросят первые/последние 32кб базы и несколько подобных точек внутри базы. Или даже не сами куски, а их md5 хэши. Понятно что на целую базу сделать false-alarm запись гораздо проще, но кто платит, тот бал и заказывает. Все завист от степени сладости клиента для АВ компинии.

В общем ясно, что некоторую часть проблемных данных придётся разгласить. А вот наобум запрашивать куски данных не стоит. Вполне возможно, что проблемные данные окажутся чистыми от коммерческой информации. Однако это может решить только клиент.

Конечно же я давно выделил без всякого инструментария от АВ проблемную часть данных, которая вызвала во мне ещё большее удивление при сопоставлении с сообщением АВ. Но мы же не рассматриваем конкретно меня и ложный детект на моих данных. Мы рассматриваем решение подобных проблем у среднестатистического клиента, который т.о. фактически участвует в улучшении АВ, за который платит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Совсем недавно он таким образом удалял инсталляторы Касперского. Это уже был реальный массовый прецедент, а не форумные сообщения и рассуждения, которые всплывали неоднократно.

Это было ложное срабатывание совсем другого рода. По моему опыту анализа ложных срабатываний на файлах баз данних (изредка) случаются срабатывания типа Modification of, других типов срабатываний не встречал. На дистрибутивах бывают ложные срабатывания .origin (хотя всё реже и реже), а также всяческих Trojan.DOWNLOADER (этот тоже от эвристики), но дистрибутивы имеют существенно более другую структуру, нежели файлы баз данных.

решение какого-то сотрудника вэба

По крайней мере, группы сотрудников. И данный метод часто себя оправдывает. В подавляющем большинстве случаев.

лечить файлы удалением

Modification of - это эвристик. Ложные срабатывания эвристика случаются у всех антивирусов. Лечение по срабатыванию эвристика невозможно. Лечение удалением в таких случаях не происходит.

даже если в настройках принудительно стоит лечение или перемещение в карантин.

Если перемещение в карантин, то лечение удалением невозможно.

Валерий, стрелочник из вас тоже никакой.

А вот хороший опыт перенимать стоит. Если опыта нет, то стоит прислушиваться к требованиям клиентов.

Вы обратили внимание на "совковый рынок". Я подумал, что, делая такое заявление, Вы знакомы с методами, которые в ходу на "несовковом" рынке. Значит, опыта такого у Вас нет. Можно было так и ответить. Вы почему-то всё время идёте на конфронтацию в своих ответах, но я Вам совсем не враг :)

За предложение с дампами срабатывания сигнатуры спасибо. Организовать такое, думаю, теоретически можно, хотя движки меняются достаточно динамично, поэтому и подобную утилиту тоже нужно будет постоянно дорабатывать, а это постоянные дополнительные ресурсы на разработку. Но идею такую разработчикам вполне можно предложить.

Вполне возможно, что проблемные данные окажутся чистыми от коммерческой информации. Однако это может решить только клиент.

Вот и первая логическая проблема предложенного Вами метода. Как пользователь узнает, содержится ли в "дампе срабатывания сигнатуры", который он отправляет, секретная информация или не содержится? Как ему это узнать, даже если разработчики захотят эту возможность реализовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Это было ложное срабатывание совсем другого рода.

Причины ложного срабатывания для пользователей неважны - безопасные данные были удалены.

Главное чтобы самовольное удаление не вошло в обычную практику. Возьмём тогда недавний инцидент с затрояненым дистрибутивом Вэба, где для ускорения лечения в правиле было записано признать дистрибутив 100% трояном и соответственно удалить, хотя правильнее было бы выполнить лечение и, если невозможно, то карантин. Когда создатель правила самовольно решает удалить данные пользователя, которые можно было бы сохранить... Тенденция настораживает. Может было бы не всё так плохо, если бы все спорные моменты решались карантином. Но этого не происходит. Качество продукта падает, а вернее доверие к разработчикам.

И данный метод часто себя оправдывает. В подавляющем большинстве случаев.

Роль антивируса в виде обезьянки с гранатой меня как-то нервирует.

Modification of - это эвристик.

Это относится к совсем другому примеру - с базой. Не путайте.

Если перемещение в карантин, то лечение удалением невозможно.

До карантина там даже не доходит т.к. включается суперфича.

У меня действие "удаление" вообще в настройках нигде не использовано. Если бы мне дали выбор настройки действий для неизлечимых объектов, то и вопросов бы не было. Однако за меня чужие дяди решили удалять мои данные.

Вы обратили внимание на "совковый рынок". Я подумал, что, делая такое заявление, Вы знакомы с методами, которые в ходу на "несовковом" рынке. Значит, опыта такого у Вас нет. Можно было так и ответить. Вы почему-то всё время идёте на конфронтацию в своих ответах, но я Вам совсем не враг :)

Дело в том, что когда вам задают вопрос... соображу сейчас пример отражающий суть.

- Валерий, почему в логотипе вэба используется зелёный цвет?

- Дизель, хорошо что вы заговорили о роли зелёного цвета в жизни животных. Когда я отдыхаю на природе, то люблю смотреть на зелёные деревья и дышать свежим воздухом. Многие мои сотрудники по АВ-цеху разделяют моё мнение. Зелёный цвет так успокаивает. У меня дома есть лампа с зелёным абажуром и моей жене она очень нравится. Жаль, что вам непонятна вся магия и умиротворённость зелёной гаммы.

Я думаю, что ответил на вашъ вопрос.

За предложение с дампами срабатывания сигнатуры спасибо. Организовать такое, думаю, теоретически можно, хотя движки меняются достаточно динамично, поэтому и подобную утилиту тоже нужно будет постоянно дорабатывать, а это постоянные дополнительные ресурсы на разработку.

Проще будет интегрировать возможность расширенной диагностики в сам продукт, а не в виде отдельной утилиты. Можно вас назначить парламентёром моей идеи в недрах Вэба?

Как пользователь узнает, содержится ли в "дампе срабатывания сигнатуры", который он отправляет, секретная информация или не содержится? Как ему это узнать, даже если разработчики захотят эту возможность реализовать?

Я говорил о данных в текстовом формате, которые пользователь может просмотреть, показать и получить консультацию у квалифицированных сотрудников своей фирмы и т.п. У пользователя будет намного больше информации, чем сообщение о детекте длинной в палец.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, чего-то Вы совсем всё время не о том.

Ваше первое сообщение в этой теме:

В данном случае Вэбу не понравился безобидный дамп схемы оракла (и слава богу, что тут не сработало уникальное вэбовское лечение удалением huh.gif ).

Я чётко ответил, что Modification of - это эвристик. Не бывает у эвристика никакого лечения удалением. И я не припомню случаев срабатывания чёткой сигнатуры на файлах баз данных. Все, что встречались были Modification of. Не удалится база данных при таком детекте. Если конечно не стоит "удалять подозрительные", но это только в страшном сне можно придумать.

Если же мы говорим о срабатываниях чётких (или origin-) сигнатур на дистрибутивах, то это совсем другое дело. В дистрибутивах секретной информации нет, и если удалится дистрибутив, то ущерба никакого. Перепиши у друга/скачай заново. И в лабораторию дистрибутив можно вполне отправить.

Сиречь, в данной теме пример со срабатыванием на дистрибутиве Касперского - чистый оффтопик. Мухи, замешанные в котлеты.

Да, ситуация с дистрибутивом неприятная. Но и такие случаи бывают крайне редко. Т.е. ситуация плохая и неординарная, на которую надо быстро реагировать, но не такая плохая, как при удалении баз данных или детекте explorer.exe.

Но, опять же, срабатывания чётких сигнатур на базах данных я не встречал, так что пример с дистрибутивом тут не в красную гвардию.

А свои пространные размышления по качеству моих ответов можете оставить при себе, я тоже много чего про кого думаю, но это снова оффтопик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Валерий, я конечно человек посторонний, но...

Modification of IRC.JeepWarz - это не эвристик.

Я просто знаю, что такое JeepWarz ... и знаю, откуда берутся такие вердикты на такие вредоносы.

P.S. Ну и чтобы совсем уж без флуда - выскажусь по теме.

Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Спасибо. Вполне себе решение. Наверняка так и делается в особо "тупиковых" случаях.

Modification of IRC.JeepWarz - это не эвристик.

При желании можно отнести к эвристику. Если точнее, то это так называемая расширенная сигнатура. Лечение удалением здесь также невозможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

dizel, а на релизе ложняк тоже воспроизводится? В смысле, это не бета-проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
чего-то Вы совсем всё время не о том.

Да я собственно говорил про ложный детект на коммерческих данных. <_< Упоминание же суперфичи вэба было вскользь и то в виде хвалы богу, что она не сработала. Однако вы как всегда вцепились не в суть вопроса, а как в тот зелёный цвет.

Давайте пока забудем про суперфичу вэба.

Хотя, ещё раз подчеркну, что если бы разработчики дали выбор настройки действий для неизлечимых объектов, то и таких вопросов ни у кого бы не возникало.

Проблема решается следующим образом:

1. Клиент и вендор подписывают NDA.

2. К клиенту выезжает аналитик, на месте работает с проблемой, исправляет детект, информация пределов клиента не покидает.

3. Для исправления проблемы "смотреть" на информацию, содержающуюся в "секретном" файле - не требуется.

Очень хороший вариант решения. Но я думаю, что применим только в тяжёлых случаях. Скорее всего посоветуют внести в исключения проблемный файл, чем решат посылать куда-то аналитика. Да и не всегда в самой фирме захотят заниматься так плотно и официально глюками в детекте.

Я предлагал упростить "разбор полётов" расширенной диагностикой т.к. часто достаточно взглянуть на подозреваемые АВ данные, как всё проясняется.

а на релизе ложняк тоже воспроизводится? В смысле, это не бета-проблема?

На релизе воспроизводится. Я же говорил - запись в базе кривая.

Мне даже стало жалко, что ругань была не на SQL и не на сами секретные данные (было бы веселее наблюдать за развитием событий ;) ).

Но ведь обруганный файл представлял коммерческую тайну, и пока я ручками не выделил проблемный участок - проблема исправления ложного детекта на основе сообщения АВ была фактически нерешаема. Так что вопрос пока остаётся открытым.

Если кому интересны подозрительные для Вэба данные, то вот они:

truncated.gif

truncated.rar

post-4003-1205441879_thumb.png

truncated.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Упоминание же суперфичи вэба было вскользь и то в виде хвалы богу,

Дался Вам тот зелёный свет.

Упоминание вскользь о возможности удаления нашими продуктами базы данных - это всё же довольно серьёзное обвинение. Поэтому я и стал говорить о том, что это было невозможно. Но доказать Вам это весьма сложно, т.к. Вы имеете собственную точку зрения, которую менять морально не готовы (это Ваше право).

если бы разработчики дали выбор настройки действий для неизлечимых объектов, то и таких вопросов ни у кого бы не возникало.

Настройки для неизлечимых есть.

Если Вы про лечение удалением, то это отдельный вопрос, и это оправдано для вирусов, к которым оно применяется.

Если кому интересны подозрительные для Вэба данные, то вот они:

А вот эту информацию нужно было не сюда, а сюда:

http://support.drweb.com/request, ибо ни о чём не говорит без комментариев наших аналитиков.

Может быть, реакция на этот кусок кода - это и есть именно ошибка в сигнатуре, т.е. детект по этому куску кода не задумывался при создании сигнатуры.

И вообще, я бы не стал такие подробности публиковать открыто.

Да, Вы их получили сподручными средствами, но всё же это материал для внутреннего рассмотрения нашими сотрудниками.

А вот их результат можно и опубликовать здесь. Есть всё же некая этика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Упоминание вскользь о возможности удаления нашими продуктами базы данных - это всё же довольно серьёзное обвинение.

Жаль, что вы не понимаете разницу между БД, дампом схемы и фильтрацией траффика с БД.

Поэтому я и стал говорить о том, что это было невозможно.

Прецеденты были. С ошибками в базе и с удалением данных, которые можно было бы восстановить. Может даже много ещё чего было, но гласности не предавалось. Не вижу причин, по которым Вэб в один прекрасный день, сказав "А" не скажет "Б".

Настройки для неизлечимых есть.

И где же они?

Если Вы про лечение удалением, то это отдельный вопрос, и это оправдано для вирусов, к которым оно применяется.

Почему возник сам вопрос с ложным детектом дампа БД?

Если посмотреть на обруганные данные, то возникает ощущение, что правило детекта у Вэба кривое. Да и проверка на вирутотале показало ложный детект только у Вэба.

Таким образом, Вэбом было принято ошибочное решение по детекту с перемещением в карантин. Также на основе ошибок в базе Вэба удалялись дистрибутивы Каспера. Ошибка - она и в Африке ошибка. Дамп базы тут был перемещён, а не удалён по счастливой случайности. Никто же не может предвидеть все возможные варианты последствий при возникновении ошибки. Однако наличие суперфичи в Вэбе делает последствия подобных ошибок ещё более трагичнее, чем они могли бы быть.

А вот эту информацию нужно было не сюда, а сюда:

http://support.drweb.com/request, ибо ни о чём не говорит без комментариев наших аналитиков.

Я хотел понять на моём примере что АВК могут предложить для решения подобных проблем. Данные я передать не мог ибо сабж. Мне только посоветовали исключить проблемный файл из проверки и всё. На этом бы всё и закончилось в обычной ситуации, но я самостоятельно продолжил исследования.

Может быть, реакция на этот кусок кода - это и есть именно ошибка в сигнатуре, т.е. детект по этому куску кода не задумывался при создании сигнатуры.

...

А вот их результат можно и опубликовать здесь. Есть всё же некая этика.

А зачем ходить далеко? Давайте спросим здешних представителей АВК что они думают по поводу этих проблемных данных. Например, того же А. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков.    ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
    • mirkosmetik
      Спасибо, полезно.  
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
×