Перейти к содержанию

Recommended Posts

Иван

Agnitum объявил о выходе своего отдельного антивирусного решения Outpost Antivirus Pro

несколько удивил меня текст пресс-релиза

Согласно результатам тестирований VirusBulletin, опубликованным в феврале 2008 года, антивирусный монитор Outpost входит в число 5 лучших (из 12 популярных в России) антивирусов, малозаметно влияя на быстродействие ПК даже в режиме повышенной защиты.

И это при том, что Агнитум провалил февральский тест VB100% :rolleyes: Лучший среди каких таких пяти из 12 популярных, вы же тест провалили?

В то же время в тесте на обнаружение современных полиморфных вирусов на Anti-Malware.ru (февраль 2008 г.) антивирусный механизм Outpost получил награду Bronze Anti-Polymorphic Protection Award.

бронза в терминах Anti-Malware очень средний результат

Вспоминается сразу фильм Знакомство с Факерами, помните как Факеры вывесили на стену грамоты и кубки своего сынка за 10, 12, 25 и т.д. места. :rolleyes:

P.S. я кстати давно хотел сказать, что мне не очень нравится наградной принцип Anti-Malware.ru - для людей которые подробно не изучали тесты на нашем портале слово Award пусть и бронзовый означает, что антивирус показал довольно хороший результат. А в териминах Anti-Malware.ru бронза это на самом деле результат ниже среднего. Получается вот такая вот дисгармония.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А в териминах Anti-Malware.ru бронза это на самом деле результат ниже среднего. Получается вот такая вот дисгармония.

На самом деле мы всегда пишем, что это удовлетворительный результат, т.е. негатива тут нет. Как раз наоборот, это дает многим компаниям использовать наши награды, а это очень хорошо.

И это при том, что Агнитум провалил февральский тест VB100% rolleyes.gif Лучший среди каких таких пяти из 12 популярных, вы же тест провалили?

Действительно очень смешно :) Какие там 5 лучших были?

На страничке продукта Outpost Antivirus Pro написано, что у него есть защита от руткитов. Мне вот интересно, что это и кто это писал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Как раз наоборот, это дает многим компаниям использовать наши награды, а это очень хорошо.

ну для портала хорошо, я не спорю, пеар

а вот у пользователей аналогия со спортом - призеров всегда мало, а общая масса спортсменов за бортом пьедестала, поэтому бронза - это достойно.

В вашем случае не так - фактически все призеры, поэтому бронза это ниже среднего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

А я хочу поздравить команду Agnitum с завершением полноценной линейки продуктов ;)

По моему мнение это говорит о том, что направлению антивирусной защиты будет уделяться достойное внимание в качестве развития полноценного продукта.

Кстати цена для класса "удовлетворительно", как выражается Иван :), тоже весьма приемлимая - 499 р.

Надеюсь, что данный продукт войдет в пул наших тестов взамен OSS, тогда можно будет судить о качественных показателях обоснованно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Кстати цена для класса "удовлетворительно", как выражается Иван :), тоже весьма приемлимая - 499 р.

да цена пожалуй соответствует качеству ;) только вот если у меня в квартире есть что-то ценное, я вряд ли буду покупать дешевые замки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Тем, кто воспринимает антивирус как средство от устранения лишних тормозов в системе, возникающих из-за заражения чем-то там, вполне подойдет. Есть такая группа пользователей, которым пофиг на зверинец в компе, им главное чтобы запускались игрушки и порнуху можно было качать :) Только вот проблема, за нужным им уровень защиты можно не платить, ведь есть такие чудные бесплатные продукты как Avast, Avira и AVG.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Здравствуйте, команда портала Anti-Malware.ru. :)

Разрешите в вашу почти "асечную" беседу вклиниться. Ходите по ссылкам иногда. Там все написано про награды, места (по скорости) и руткиты.

Читайте тексты глубже, а не по диагонали ходом коня. ;)Уровень детекта продукта по состоянию хотя бы на 13 февраля никто тут не измерял?

А судя по репликам уже 3 месяца тут только и делают, что тестируют антивирус, выпущенный вчера. Честь и хвала порталу.

Про ценник - продукт поставляется по принципу "Software as a service", за обновление (оговорился - продление) надо платить будет столько же.

До свиданья, команда портала Anti-Malware.ru :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Уровень детекта продукта по состоянию хотя бы на 13 февраля никто тут не измерял?

Виталий мы же кажется уже обсуждали вот это

Кроме того, количество сигнатур в базах антивирусного модуля Outpost только за февраль увеличилось на 150 тысяч , что существенно повысило уровень обнаружения вредоносного ПО.

вы сами признали, что было добавлено старое вирье, которое вирусбастер при переходе на новый движок не смог сразу слинковать, поэтому их добавление не имеет никакого отношения к уровню обнаружения недавно появившихся вредоносов.

Читайте тексты глубже, а не по диагонали ходом коня. ;)

вы так и не ответили как можно выпячивать тест VB100%, который вы провалили? Это как-то нелогично.

Про ценник - продукт поставляется по принципу "Software as a service", за обновления надо платить будет столько же.

а вот это экстра интерсно

как и в какой момент надо будет платит за обновления? То есть 500 рублей это не вся цена за годичное обновление баз, надо будет еще что-то платить?

Или вы имеете в виду, что в отличии от всех конкурентов вы не будете давать скидку 40% при продлении лицензии?

да и на последок: я лично принципиально не вхожу в команду портала, чтобы иметь возможность костерить кого хочу и когда хочу :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Иван

если бы эти вопросы Вы задали по мылу, было бы проще ответить, чем на форуме, хоть Вы и увлекательно пишете. Явки-пароли знаете, вперед - удовлетворять журналистское любопытство.

вы сами признали, что было добавлено старое вирье, которое вирусбастер при переходе на новый движок не смог сразу слинковать, поэтому их добавление не имеет никакого отношения к уровню обнаружения недавно появившихся вредоносов.
Я не утверждал про старье как истину - простите, но о содержании АВ-баз имею весьма смутное представление - и высказывал я только предположение. Обратитесь в те лабы, где наши базы ковыряют. Они Вам знакомы. Хотя судя по вашим репликам, им это ни к чему.

Или нужно пару историй озвучить про миграцию сигнатур-шуток?.. ;) Добавлено было 140 тысяч, 10 "набежало" за февраль от ВБ и от нашей лабы.

вы так и не ответили как можно выпячивать тест VB100%, который вы провалили? Это как-то нелогично.
Там не было речи о победе. Речь об итогах теста скорости. Единственного свежего теста скорости с более-менее вменяемой методикой, а не вытащенное из чуланов (аккурат к релизу нашего антивируса) с итогами по старой версии.
как и в какой момент надо будет платит за обновления? То есть 500 рублей это не вся цена за годичное обновление баз, надо будет еще что-то платить? Или вы имеете в виду, что в отличии от всех конкурентов вы не будете давать скидку 40% при продлении лицензии?

При покупке - ТОЛЬКО 500 рублей. Через год юзер может пойти на сайт оплатить продление за те же деньги, а может купить коробку или новую лицензию. За скидкой 40% обратитесь по поводу комплексного продукта или к тем, у кого вы и так не покупаете замки в свои двери :rolleyes:.

да и на последок: я лично принципиально не вхожу в команду портала, чтобы иметь возможность костерить кого хочу и когда хочу :rolleyes:

Это Интернет, так что оставьте Ваше стеснение - костерите, Вы же ничье не alter ego, а живой человек. И закончим прения на этой жизнеутверждающей ноте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

иван, ну зачем быть таким жестоким по отношению к стартапу рынка, вне зависимости от того, что кто пишет в прессухах. у меня, например, рука не поднимается.

вот покостерить ну там: доктора,каспера или симантека -это нормально и забавно.

рынок растет - денег всем хватит:), а для юзера наличие антивируса скорее всего лучше его отсутствия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
При покупке - ТОЛЬКО 500 рублей. Через год юзер может пойти на сайт оплатить продление за те же деньги, а может купить коробку или новую лицензию. За скидкой 40% обратитесь по поводу комплексного продукта или к тем, у кого вы и так не покупаете замки в свои двери

если я вас правильно понял, то интересная схема - сразу дешево, но зато потом на продление нет скидки. Раньше ее у нас антивирусники не применяли, свежо, молодцы, эксперементируете.

Виталий, поправьте пожалуйста на этой странице http://www.agnitum.ru/news/2008-03-12-Outp...elease-news.php там дважды повторяется подпункт Надежная защита от кражи данных, второе повторение лишнее, там напутано.

иван, ну зачем быть таким жестоким по отношению к стартапу рынка, вне зависимости от того, что кто пишет в прессухах. у меня, например, рука не поднимается.

да вы правы, я слегка модифицировал свой первый пост, видимо не выспался

против Агнитума как компании я ничего не имею, они делаю много интересных шагов.

но факт остается фактом, пока мне думается этот антивирус хуже многих и никакое добавления 150 тысяч. сигнатур вирусбастером дело не исправило

рынок растет - денег всем хватит:), а для юзера наличие антивируса скорее всего лучше его отсутствия.

еще как растет, думаю аж на 70% вырос в 2007м

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zanuda

Иван, к сожалению не знаю как на этом форум правильно ставить личные цитаты.

еще как растет, думаю аж на 70% вырос в 2007м

Такой рост с чем связываете?

Вот, мне кажется, народ побежал легализовываться... Это значит, что процесс роста достигнет предела по мере достижения насыщения удовлетворенности от легализации. Такой искуственный толчок вызванный желанием попасть ВТО и ужесточением карательных норм...

И никак интересом ни к ПО, ни к антивирусам в частности. Местные особенности... пройдет и это..

Хочу еще добавить, что ни рейтинги VB, ни другие сравнения, измеряющие уровень фоновых флуктуаций, на результат в жизни не влияют, с точки зрения статистики, по мне что 99% что 97%, или даже 95% не принципиальны.

Не хочу упоминать никого. Но вообщем, ни один антивирус, упоминание, которых здесь можно наблюдать, фактически не гарантирует отсутствия заражения/компрометации ПК. И чем дальше развивается ситуация, тем сильнее отставание сигнатурных методов от реалий. Вот и получается, что пользователь, покупая автомобиль или антивирус, не спрашивает количество баллов, полученных у VB или EuroNCAP, а руководствуется ценой и личными ощущениями. Поскольку уже не ощущает разницы в качестве - обращает внимание на дизайн и непринципиальные особенности продукта.

А рост рынка классических антивирусных решений - фактически временное явление. А в будущем рынок ждет падение - как только админы смогут и захотят заниматься профилактикой и по ряду других причин. Поэтому желание диверсифицировать бизнес в соседнем треде понятно - выше потолка не прыгнешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

ну как будто я сказал :rolleyes: солидарен полностью

единственное что процесс обеления рынка закончится не завтра, нам даже до пиратской Франции с ее 40% уровнем пиратства с наших 80% еще падать и падать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вот и получается, что пользователь, покупая автомобиль или антивирус, не спрашивает количество баллов, полученных у VB или EuroNCAP, а руководствуется ценой и личными ощущениями.

Абсолютно голословное заявление. Если кто-то идет в магазин с пачкой шальных денег и покупает по ощущениям, это не значит, что так делают все. Очень большой сегмент потребителей перед покупкой изучают тесты, обзоры, отзывы, все сравнивают и анализируют, а только потом идут в магазин. Если для Agnitum эта многочисленная и, не побоюсь таких оценок, более перспективная часть аудитории (они делают выбор осознанно) не важно, то можно забивать на все тесты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Сергей Ильин, это Ваше заявление голословно относительно массового сектора (домашних пользователей и малого бизнеса). Не будьте так уверены сильно в значимости специалистов по угрозам ИБ и тестов для масс - Вы же работали с маркетингом ЛК и других вендоров, Вам ли не знать это?

Колоссальный рост объема продаж в секторе SOHO связан не напрямую с качеством продуктов, а с представлением об их качестве и удобстве. Кому как не вам это знать. Лишь корпоративный сектор хоть как-то ориентируется на конкретные потребительские и технологические свойства продукта. Так что ложно скорее Ваше утверждение об "осознанности" выбора масс.

Насчет "более перспективной" аудитории, "делающей выбор осознанно" - сильно не уверен. Это просто пока неохваченная часть пользователей ПО для безопасности ПК. Провели тут исследование - продавцы в мультимедийных магазинах и магазинах софта обычно служат указателем на уголок с антивирусами, причем паролем в 80% случаев является "Касперский" (cash&carry) - а попробуйте-ка почитать на их сайте (не на форуме!) подробную спецификацию хоть одного продукта для дома? Да она не нужна - и так купят, считают в ЛК. И усиливают маркетинговую долбежку. Равно как Симантек с Пандой, Доктор Веб с Есетом, меняющие номера версий и упаковки на сайтах и в магазинах раз в год-полтора. Обсуждаемой же компании свойственна гораздо большая стабильность в наращивании функционала и уровня безопасности продукта, а расширение линейки и усиление маркетинговых инициатив - как раз следствие лавинообразно нарастающих технологических преимуществ.

Очевидно же, что антивирусный продукт выводится на рынок по большей части из-за того, что Security Suite как антивирусное решение не воспринималось, о нем как об антивирусе имела представление узкая прослойка относ-но продвинутых пользователей из числа пользователей Firewall'а. Теперь все начнут понимать - уже и массовые пользователи, и журналисты, писавшие про Security Suite, в один голос заявляют "и правда, вышли на рынок антивирусов". А продажи компании в России идут, т.к. "пираты" в кои-то веки позволяют себе "обелиться".

То же во многом касается и клиентов Интернет-магазинов для домашних пользователей и малого бизнеса. Они голосуют кошельком за свою

уверенность. Все остальное - для них "филькина грамота". Относительно тестов на детект - не все плохо, наш новый продукт только недавно там участвует. А "забивать на тесты" никому не рекомендуется. Но и слепо верить в детект миллионов или пары тысяч абы каких сигнатур - тоже.

И не надо пытаться притянуть вездесущую "аксиому" - дескать, "На безопасности экономить нельзя" (это к Ивану). Такова модель распространения конкретного продукта. Антивирусный софт для масс - это "проездной" билет на общественный транспорт, а не своя тюнингованная машина. Так почему бы массам не сэкономить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не будьте так уверены сильно в значимости специалистов по угрозам ИБ и тестов для масс - Вы же работали с маркетингом ЛК и других вендоров, Вам ли не знать это?

Знаю, видел в свое время интересные цифры ;) Значительная часть пользователей обращает внимание на результаты сравнений, тестов, обзоры в СМИ и т.д. Привести точные цифры, к сожалению, не могу.

Что касается все остального, я полностью согласен. Рост рынка, естественно обусловлен другими факторами: снижением пиратства, ростом благосостояния, ростом угроз в конце концов. С этим никто не спорит.

Уверен, что Agnitum Outpost Antivirus Pro по указанной выше цене должен быть востребован массовым покупателем, при соблюдении, разумеется, определенный условий по его грамотному продвижению.

Относительно тестов на детект - не все плохо, наш новый продукт только недавно там участвует. А "забивать на тесты" никому не рекомендуется. Но и слепо верить в детект миллионов или пары тысяч абы каких сигнатур - тоже.

Согласен. Я лишь отреагировал на вашу реплику, которая мне кажется некорректной.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Сергей Ильин

Соглашусь, вышесказанное Вами наверняка было справедливо для другого момента - когда платившие еще были в основном "избранными".

То, что все обращают внимание на итоги тестов, не спорю - но в какой степени глубины? "У них галочек-плюсов в тестах больше, лучше защищают" или "О, у них коробка с новыми наградами, куплю их антивирус?" Это вопрос риторический.

Главное, что все-таки Outpost, хоть и медленно, однако верно вклинивается в ряды ведущих (хотя бы и по известности в России и СНГ) АВ-продуктов. И то, что мы стараемся предлагать пользователю оптимальную по цене и наполнению услугу в виде простого и удобного продукта, не может не аукнуться на продажах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Сергей Ильин

Соглашусь, вышесказанное Вами наверняка было справедливо для другого момента - когда платившие еще были в основном "избранными".

То, что все обращают внимание на итоги тестов, не спорю - но в какой степени глубины? "У них галочек-плюсов в тестах больше, лучше защищают" или "О, у них коробка с новыми наградами, куплю их антивирус?" Это вопрос риторический.

Главное, что все-таки Outpost, хоть и медленно, однако верно вклинивается в ряды ведущих (хотя бы и по известности в России и СНГ) АВ-продуктов. И то, что мы стараемся предлагать пользователю оптимальную по цене и наполнению услугу в виде простого и удобного продукта, не может не аукнуться на продажах.

существуют на мой взгляд три категории пользователей:

1. массовый пользователь - массовому пользователю Сергей на ваши тесты положить с пробором, единственное на что им может быть не положить - на количество значков и медалек на коробке.

2. якобы "продвинутых" пользователи, которые тусуются на форумах, возможно работают продавцами, проводят интернет в их дом и т.д. Т.е. речь о пользователях, которые СЧИТАЮТ, что реально разбираются в проблеме И КОТОРЫЕ СОВЕТУЮТ И ФОРМИРУЮТ МНЕНИЕ. А вот мнение вот этих "продвинутых" на тесты завязано и завязано сильно. И они опосредовано влияют на массового пользователя - я когда выбираю бытовую технику я читаю мнение в форумах о ней. Поэтому Виталий увы тесты влияют на аудиторию хоть и опосредовано

3.По настоящему знающие продвинутые пользователи - вот им на тесты положить во многом, они на основе практики и личного опыта до всего доходят

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Иван, всем положить на тесты. На этом предлагаю вернуться к тебе топика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Сергей Ильин, Иван

главное в тестах - их пригодность к подаче целевой аудитории продукта.

Вот Панде VB100 совершенно неприятен, они в стороне. ЛК и Dr.Web тоже - потому что одни их порой "валят" на 1 сигнатуре ITW и формально не проходят, а вторые - постоянно по несколько сигнатур не дотягивают до полного детекта. При этом Nod32 & Symantec - известно, сколько раз с 2002 "не проходят" VB100. Правда, это своеобразный, по меткому выражению Telnews, "ЕГЭ для антивирусов".

Если же брать заведомо избыточные подборки сигнатур (миллиона по 1,5 - да с пинчами и руткитами), уверен, что многие АВ-решения начнут резко "валить" тесты, не дотягивая до планки "даже" 90% детекта. Поэтому главное не перестараться в выявлении худших или лучших.

Вероятно, оттого Авира любит ваши тесты, а Вы любите Авиру. Потому что не перестарались, хотя Авира и любит с эвристикой "пошалить".

PS по теме: Outpost Antivirus - продукт не экстра-параноидальный, не медленный, не надоедливый, с рядом докрученных фич. Так что спасибо за экспертное мнение о прошлых версиях - это текущим версиям продукта "пойдет" на пользу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
PS по теме: Outpost Antivirus - продукт не экстра-параноидальный, не медленный, не надоедливый, с рядом докрученных фич.

о, да это просто мечта, а не продукт :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

+ еще 150 тыщ сигнатур malware в формате, пригодном для нового движка. Итого - почти 615 тысяч сигнатур. Прогресс в кол-ве почти в 100% за 2 месяца. К сожалению, в публикуемых тестах это должно проявиться не ранее начала лета - готовятся долго :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
+ еще 150 тыщ сигнатур malware в формате, пригодном для нового движка

Оптовая скупка у Андреаса или Андреаса? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
+ еще 150 тыщ сигнатур malware в формате, пригодном для нового движка. Итого - почти 615 тысяч сигнатур. Прогресс в кол-ве почти в 100% за 2 месяца. К сожалению, в публикуемых тестах это должно проявиться не ранее начала лета - готовятся долго

вы о новом движке вирусбастера?

мне вот интересно, что вы будете говорить когда эти тесты появятся? что-то типа "это неправильные тесты, мы вот завтра ночью еще 150 тыщ добавим и тогда можно тестировать, жалко только тесты появятся только осенью"?

сразу кстати видно, что Agnitum новичек на антивирусном рынке, другие вендоры количеством записей в базах перестали хвалиться уже очень давно - ибо сейчас рулят методы определения похожести и дженерик детекты и кол-во записей не показатель ничего.

А вы Виталий решили возродить видимо у пользователей миф о том, что кол-во записей в базах - это показатель эффективности. Нехорошо наивных людей дезориентировать, нехорошо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
другие вендоры количеством записей в базах перестали хвалиться уже очень давно - ибо сейчас рулят методы определения похожести и дженерик детекты и кол-во записей не показатель ничего.

А вы Виталий решили возродить видимо у пользователей миф о том, что кол-во записей в базах - это показатель эффективности. Нехорошо наивных людей дезориентировать, нехорошо.

Аж за душу взяло, так всё правильно и красиво :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.0.12.
    • AM_Bot
      Онлайн-симулятор Standoff Cyberbones позволяет специалистам по ИБ оттачивать навыки расследования инцидентов на примерах реальных атак, реализованных на кибербитвах Standoff. Симулятор содержит разные типы заданий и подходит даже для начинающих. Standoff Cyberbones призван помочь организациям создать сильные команды по защите ИТ-инфраструктур и подготовиться к отражению угроз.     ВведениеЧто такое Standoff Cyberbones2.1. Для кого предназначен Standoff CyberbonesТипы заданий Standoff Cyberbones3.1. Атомарный инцидент3.1.1. Вредоносный файл «wtf.exe»3.1.2. Расследование фишинговой атаки3.2. Критическое событие3.2.1. Реализация критического события3.2.2. Получение доступа через RDP-сессию3.2.3. Дамп LSASS и исследование процесса «rr2.exe»3.2.4. Обнаружение фишингаВыводыВведениеИсследование Positive Technologies показало, что количество кибератак на страны СНГ продолжает расти: во втором квартале 2024 года их было в 2,6 раза больше, чем за аналогичный период 2023 года. По данным компании, 73 % всех нападений пришлись на Россию.Основными причинами роста активности киберпреступников являются успешная цифровизация государств региона и геополитическая нестабильность. Целями хакеров чаще всего становятся государственные учреждения, промышленные предприятия и телекоммуникационные компании. Чтобы противостоять злоумышленникам, необходимо иметь не только передовые средства защиты, но и хорошо подготовленную команду специалистов по ИБ.Как показывает практика, для создания эффективной команды по выявлению угроз и реагированию на них необходимы три составляющие:Регулярная проверка базовых знаний в части ИТ и ИБ.Дополнительное обучение с акцентом на практике.Оттачивание навыков на киберполигонах с применением реальных данных о действиях хакеров. Проверка базовых знаний, как правило, не составляет проблемы, однако второй и третий пункты нередко создают сложности. С одной стороны, в открытом доступе не так просто найти данные о действиях хакеров, основанные на реальных атаках. С другой — тренировки на киберполигоне рассчитаны на опытных специалистов и слаженные команды, а не на новичков. Для того чтобы помочь компаниям в подготовке специалистов по ИБ, мы разработали Standoff Cyberbones.Что такое Standoff CyberbonesStandoff Cyberbones — это онлайн-симулятор для практической подготовки специалистов по ИБ. Задания опираются на данные мониторинга, собираемые во время кибербитв Standoff со средств защиты информации, таких как SIEM, NTA, WAF, Sandbox и др. Упражнения в симуляторе группируются в соответствии с матрицей MITRE ATT&CK и сопровождаются описанием объектов отраслевой инфраструктуры, которых касается та или иная угроза. Рисунок 1. Интерфейс Standoff Cyberbones Рисунок 2. Выбор заданий Для кого предназначен Standoff CyberbonesStandoff Cyberbones — онлайн-симулятор с реальными кейсами, собранными по итогам кибербитвы Standoff. Здесь любой специалист по ИБ может расследовать инциденты в удобное для него время, чтобы лучше понимать, как выявлять подобные ситуации и реагировать на них в повседневной работе.Типы заданий Standoff CyberbonesСимулятор Standoff Cyberbones включает в себя задания двух типов.Первая разновидность — атомарный инцидент. В рамках задач этого типа аналитику необходимо успешно выявить индикаторы компрометации. Например, это могут быть название и полностью определённое доменное имя (fully qualified domain name, FQDN) узла или же данные пользователя, который запустил вредоносный файл.Второй тип — критическое событие. В таком задании специалист сталкивается с несколькими атомарными инцидентами, которые были спровоцированы в инфраструктуре организации. Цель аналитика — восстановить цепочку атаки и сформировать отчёт по итогам расследования.Атомарный инцидентДля наглядности рассмотрим несколько примеров заданий по поиску атомарных инцидентов. Вредоносный файл «wtf.exe» Согласно условию задачи, в интервале между 10:00 22 ноября 2022 года и 18:00 24 ноября 2022 года по московскому времени атакующие доставили в инфраструктуру компании нагрузку в виде файла «wtf.exe». Защитникам необходимо определить FQDN узла с вредоносным объектом.Для решения задачи можно использовать систему класса SIEM и выставить в ней интервал времени, в течение которого по условию произошёл инцидент. Рисунок 3. Настройка интервала в интерфейсе MaxPatrol SIEM Далее необходимо определить поле нормализации, которое поможет обнаружить следы атаки. Поскольку нам известно имя файла, следует указать «wtf.exe» в поле «object.name» и выполнить поиск. Для удобства можно отсортировать результаты по времени — от старых событий к новым. Рисунок 4. Результаты поиска Результаты поиска в SIEM-системе показали, что первым файл «wtf.exe» обнаружила система PT Network Attack Discovery (PT NAD). Затем объект был выявлен на узле «comp-0660.city.stf» — это и есть искомый FQDN, который нужно указать в качестве ответа. Рисунок 5. Результат выполнения задания Успех, задание выполнено.Расследование фишинговой атакиЦелью этого задания является поиск FQDN конечного устройства, на котором пользователь «d_jensen» запустил вредоносный файл. Известно, что тот был прикреплён к электронному письму, открытому 23 ноября 2022 года.Согласно условию нам известно имя пользователя, чьи действия привели к инциденту. Его следует указать в поле нормализации «subject.account.name». Рисунок 6. Поиск событий по имени аккаунта Чтобы сузить охват поиска, можно узнать количество журналов этой учётной записи с помощью оператора группировки по столбцу «event_src.host». Рисунок 7. Добавление дополнительных фильтров Можно добиться ещё более точных результатов, если дополнить фильтр «subject.account.name = "d_jensen"» параметрами «action = "start"» и «object = "process"». Это позволит определить, на каком устройстве указанный пользователь запускал процессы от имени своей учётной записи. Рисунок 8. Запуск процессов от имени пользователя «d_jensen»  После этого в результатах поиска отображается только один узел, данные о котором и будут ответом к задаче.Критическое событиеРазберём теперь пример задачи по расследованию критического события. Чтобы выполнить это задание, необходимо проанализировать всю цепочку атаки (kill chain) и заполнить отчёт с указанием каждого шага атакующих. Для начала рассмотрим действия в обратном порядке.Реализация критического событияАтака злоумышленников привела к тому, что они получили доступ к конфиденциальному файлу с именем «resfin.docx». Известно, что документ находился на узле «esoto.uf.city.stf» и был открыт от имени пользователя «r_hewwit_admin». В первую очередь подозрение должно вызвать то, что точкой подключения стал именно «r_hewwit_admin», а не учётная запись с «esoto».Чтобы выяснить это, стоит начать с анализа процесса «winword.exe» программы Microsoft Word. Как видно, пользователь «r_hewwit_admin» открыл указанный файл «resfin.docx». Рисунок 9. Процесс «winword.exe» на узле «esoto.uf.city.stf»  Получение доступа через RDP-сессиюАтакующие получили доступ к узлу «esoto.uf.city.stf» с помощью сессии Remote Desktop Protocol (RDP) от имени пользователя «r_hewwit_admin». Именно во время активности этой сессии реализовано критическое событие. Необходимо выяснить, откуда «белые» хакеры узнали данные учётной записи «r_hewwit_admin» для подключения по протоколу RDP. Рисунок 10. Атакующие создали RDP-сессию Рисунок 11. Данные RDP-сессии Дамп LSASS и исследование процесса «rr2.exe»Далее аналитик может заметить событие связанное с дампом LSASS — выгрузкой рабочей памяти одноимённого процесса. Это — популярный среди хакеров способ кражи данных, с помощью которого и был получен доступ к учётной записи «r_hewitt_admin».Обычно для снятия дампа необходимо обладать системными правами, однако в этом случае дамп LSASS был получен при помощи подозрительной утилиты «rr2.exe». Рисунок 12. Изучение утилиты «rr2.exe»  Помимо дампа, от имени процесса «rr2.exe» злоумышленники запустили командную строку с системными правами. При этом файл «rr2.exe» был открыт от имени пользователя «l_mayo», который также не обладает повышенными привилегиями. Рисунок 13. Процесс «rr2.exe» Необходимо выяснить, откуда взялась эта утилита, позволившая развить атаку. В поле «object.process.cmdline» можно заметить команду на скачивание файла «rr2.exe» через Wget с подозрительного адреса. Рисунок 14. Загрузка «rr2.exe» с помощью команды PowerShell Осталось найти событие, которое подтверждает повышение привилегий для дампа. Подробный анализ «rr2.exe» показывает, что с его помощью атакующие создали файл «chisel.exe» для построения туннеля. Рисунок 15. Информация о создании файла «chisel.exe» Теперь можно увидеть все команды «белых» хакеров: отображение списка файлов и каталогов, а также управление запланированной задачей и запуск файла «rr.exe». Рисунок 16. Цепочка команд злоумышленников Рисунок 17. Просмотр файлов Рисунок 18. Управление запланированной задачей Как выясняется далее, злоумышленники воспользовались техникой Named Pipe Impersonation и локально повысили свои привилегии в системе. Рисунок 19. Применение техники Named Pipe Impersonation Подробнее узнать о технике Named Pipe Impersonation можно в любом поисковике. Результаты показывают, что аналогичный приём используют в нагрузке Meterpreter для повышения привилегий с помощью команды «getsystem». Рисунок 20. Применение техники Named Pipe Impersonation в Meterpreter Далее рассмотрим процесс, который привёл к созданию файла «rr2.exe». Рисунок 21. Процесс «powershell.exe» создал файл «rr2.exe» Рисунок 22. Команда запуска файла «rr2.exe» Как показывает анализ, файл «rr2.exe» был создан оболочкой PowerShell от имени пользователя «l_mayo». Это свидетельствует о том, что первоначальным вектором атаки, скорее всего, был фишинг.Обнаружение фишингаИзучение процесса «winword.exe» позволяет понять, что через Microsoft Word был открыт файл «cv_resume_1». Вероятно, в документе был размещён вредоносный макрос, который и позволил «белым» хакерам получить доступ к оболочке PowerShell. Рисунок 23. Открытие файла «cv_resume_1»  Источник фишингового письма можно обнаружить в песочнице. Поиск по названию документа показывает, что сообщение отправили с адреса «rudnic@city.stf». Рисунок 24. Скомпрометированная учётная запись Там же содержится и вредоносный документ, открытие которого положило начало атаке и позволило получить доступ к узлу «l_mayo.city.stf». Его обнаружение и является решением задачи. Рисунок 25. Исходный вредоносный файл ВыводыАктивность хакеров продолжает нарастать, а значит, бизнес и государственные организации должны задуматься о повышении своей киберустойчивости. Защита каждого конкретного предприятия требует от команды SOC специфических навыков, которые эффективнее всего развиваются на практике.Онлайн-симулятор позволяет обучить специалистов по ИБ с опорой на реальные примеры хакерских атак на различные ИТ-инфраструктуры. С помощью Standoff Cyberbones специалисты могут повышать квалификацию и получать опыт расследования реальных киберинцидентов. В течение месяца с момента запуска бесплатной версии исследователи успешно сдали более 600 заданий. Бесплатно «прокачать» свои навыки можно уже сейчас.Для тех, кто не хочет останавливаться на достигнутом, уже доступна расширенная платная версия: внутри — 70 заданий и 5 расследований, основанных на самых интересных атаках в истории кибербитв Standoff.Реклама, АО "Позитив Текнолоджиз", ИНН 7718668887, 16+Читать далее
    • demkd
      Исправление ошибки будет включено в v4.99.3.
    • Ego Dekker
      Компания ESET (/исэ́т/) — лидер в области информационной безопасности — представляет обновленные продукты для обеспечения еще более мощной защиты домашних устройств Windows, macOS, Android и iOS, а также конфиденциальных данных на них. Теперь пользователям доступны новые функции – многопотоковое сканирование и ESET Folder Guard для защиты папок, а также другие улучшения для защиты устройств домашней сети от программ-вымогателей, фишинга и онлайн-мошенничества. Обновленные решения с улучшенным функционалом помогут защитить устройства от новых сложных киберугроз, которые постоянно развиваются. Несмотря на применение новейших технологий, решения ESET остаются простыми в использовании благодаря платформе ESET HOME для управления безопасностью, доступной для всех основных операционных систем. «Как прогрессивный поставщик цифровых решений по безопасности, ESET стремится всегда быть на шаг впереди злоумышленников. Наши эксперты создали мощные цифровые решения, которые объединяют более чем 30-летний человеческий опыт с искусственным интеллектом, многоуровневыми технологиями по безопасности и облачной защитой. Следуя подходу, направленному на предотвращение угроз, решения ESET обеспечивают конфиденциальность и безопасность, оставаясь при этом удобными, мощными, легкими и быстрыми», — комментирует вице-президент ESET в сегментах продуктов для домашних пользователей и устройств Интернета вещей. Новые функции для более мощной защиты ESET Folder Guard обеспечивает защиту ценных данных пользователей Windows от вредоносных программ и угроз, таких как программы-вымогатели, черви и программы для уничтожения данных. Пользователи могут создать список защищенных папок, файлы которых не могут быть изменены или удалены ненадежными программами. Следует отметить, что новая функция доступна только в премиум-подписке ESET HOME Security Premium. Многопотоковое сканирование улучшает производительность сканирования для многоядерных процессоров, которые используют устройства Windows, путем распределения запросов на сканирование между доступными ядрами ЦП. Потоков сканирования может быть столько, сколько и ядер процессора устройства. Сканер ссылок, доступный в программе ESET Mobile Security, улучшает защиту пользователей мобильных устройств путем блокирования потенциальных атак фишинга с веб-сайтов или доменов из базы данных ESET. Кроме того, это дополнительный уровень защиты для владельцев смартфонов Android, который проверяет каждую ссылку при попытке открытия пользователем. Например, если пользователь получает и открывает фишинговую ссылку в игре, ссылка сначала перенаправляется в программу ESET для проверки, а затем в браузер. Если пользователь использует неподдерживаемый браузер, сканер заблокирует вредоносную ссылку. Важные улучшения существующих функций Обновленная функция «Игровой режим» позволяет пользователям создавать список приложений, после открытия которых запускается игровой режим. Для осторожных игроков также есть новая опция для отображения интерактивных уведомлений при работе игрового режима. Следует отметить, что эта функция предназначена для пользователей, нуждающихся в непрерывном использовании программного обеспечения без всплывающих окон и желают минимизировать использование ресурсов. Функция «Управление паролями» теперь содержит опцию удаленного выхода при входе на других устройствах. Пользователи могут проверить свой пароль со списком взломанных паролей и просмотреть отчет о безопасности, который информирует пользователей об использовании слабых или повторяющихся паролей для сохраненных учетных записей. Управление паролями позволяет использовать программы сторонних разработчиков, такие как дополнительная двухфакторная аутентификация (2FA). Благодаря улучшению защиты устройств Mac, у решений теперь есть новый унифицированный брандмауэр с базовыми и расширенными параметрами настройки в основном графическом интерфейсе в соответствии с различными потребностями пользователей без лишних настроек. Подписки ESET идеально подходят пользователям, которые требуют к базовым функциям безопасности также обеспечить защиту устройств домашней сети и умного дома, безопасность конфиденциальных и личных данных, а также оптимизацию производительности. Подробнее о подписках для домашних пользователей читайте по ссылке. Пресс-выпуск.
    • Ego Dekker
      ESET NOD32 Antivirus 18.0.12  (Windows 10, 32-разрядная)
              ESET NOD32 Antivirus 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Internet Security 18.0.12  (Windows 10, 32-разрядная)
              ESET Internet Security 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Smart Security Premium 18.0.12  (Windows 10, 32-разрядная)
              ESET Smart Security Premium 18.0.12  (Windows 10/11, 64-разрядная)
              ESET Security Ultimate 18.0.12  (Windows 10, 32-разрядная)
              ESET Security Ultimate 18.0.12  (Windows 10/11, 64-разрядная)
                                                                                  ● ● ● ●
              Руководство пользователя ESET NOD32 Antivirus 18  (PDF-файл)
              Руководство пользователя ESET Internet Security 18  (PDF-файл)
              Руководство пользователя ESET Smart Security Premium 18  (PDF-файл)
              Руководство пользователя ESET Security Ultimate 18  (PDF-файл)
              
      Полезные ссылки:
      Технологии ESET
      ESET Online Scanner
      Удаление антивирусов других компаний
      Как удалить антивирус 18-й версии полностью (пользователям Windows)?
×