Перейти к содержанию
Сергей Ильин

Leta-IT и Eset против Anti-Malware.ru

Recommended Posts

Сергей Ильин

Уважаемые друзья и коллеги!

Я должен сделать очень важное заявление. К моему глубокому сожалению российское представительство компания Eset и стоящая за ней компания Leta-IT продолжают мелкопакостную деятельность, направленную на дискредитацию портала Anti-Malware.ru, тестовой лаборатории Anti-Malware Test Lab и меня лично.

Последнее время до меня неоднократно доходила информация, что компания Eset с подачи своего российского представительства ведет пропаганду в индустрии (особенно на западе) о якобы имеющей место принадлежности портала к "Лаборатории Касперского". Именно из-за их усилий чуть было не развалился альянс с AV-Сomparatives. Сигналы о распространении представителями Eset заведомо ложной или искаженной информации поступали ко мне неоднократно в течение последних месяцев.

Последней каплей стало распространение (в том числе на идущей сейчас встрече AMTSO) раздобытого каким-то путем скана моего гражданского паспорта с реальными именем и фамилией (типичный для этой компашки стиль, не правда ли?) типа как доказательство моей работы на ЛК. Я вообще-то и не скрывал факт работы на ЛК (читаем здесь).

К чему бы это спросите вы? Какую угрозу Anti-Malware.ru несет компании Eset? Все банально просто:

1) Наши тесты. Их результаты разрушают стратегию продвижении продуктов Eset как мыльный пузырь. Говорить можно все что угодно, но на деле все оказалось совсем не так хорошо с их продуктами, как следует из их рекламы и информации на сайте.

2) Неудавшаяся попытка враждебного поглощения. По сути, имел место простой шантаж: "Продай нам портал или мы его быстро задушим, устроим информационную войну". Переговоры вели Александр Чачава и Дмитрий Попович. Последний неоднократно намекал на неблагоприятный для портала исход в случае отказа от продажи. Ненавижу шантаж и давление! Идите лесом и попробуйте задушить!

В связи с описанными выше фактами, я вынужден сообщить, что портал Anti-Malware.ru прерывает все контакты с российским представительством Eset и компанией Leta-IT.

*********************************

Если есть вопросы, то готов ответить на них.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777

Возмущен до глубины души подобным поведением этих "компаний". :angry:

Сергей! Вы молодец, что не побоялись отстаивать независимость и интересы портала!

Мы, посетители Вашего портала, всегда будем на Вашей стороне!

Мы верим, что портал, благодаря Вашим усилиям, будет и дальше развиваться и нести людям честную и беспристрастную информацию!

Вместе мы - сила!

С Уважением, Олег777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ничего удивительного в наезде нет.

Личные симпатии и поддержку ресурса нужно разделять.

Я уже в некотором роде здесь писал об этом.

Более того, о личных симпатиях нужно категорически забыть и стараться искать сильных союзников не только в одном известном месте.:)

[***] кто тогда качественно и эффективно наедет.

Отредактировал Николай Головко

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Если есть вопросы, то готов ответить на них.

Каковы Ваши прогнозы относительно дальнейшего развития ситуации? С моей точки зрения подобные обстрения не выгодны ни Вам ни им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Каковы Ваши прогнозы относительно дальнейшего развития ситуации? С моей точки зрения подобные обстрения не выгодны ни Вам ни им.

Русский Eset изначально занял по отношению к нам крайне враждебную политику. Теперь идут открытые разрушительные действия, даже на прошедшем AMTSO шла такая качественная "правда по Гебельсу" с картинками и слайдами.

Какое может быть развитие отношений, если они вообще прекращены полностью? У меня нет никакого желания иметь дело с перечисленными выше людьми и я буду крайне рекомендовать не делать это другим.

Dexter, спасибо за совет, буду стараться. Но в данном случае конфликт вышел далеко за рамки цивилизованной дискуссии. Да, наши тесты показали слабость продуктов Eset, да я часто критикую и продукты, но я не вижу диалога. Представители Eset сначала делали вид, что нас нет, потом хотели купить, а теперь пытаются нас задушить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
Теперь идут открытые разрушительные действия, даже на прошедшем AMTSO шла такая качественная "правда по Гебельсу" с картинками и слайдами.

А они скан паспорта на слайде что ли показывали? Если так, то тут можно уже в суд на них подавать за раскрытие личных данных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

У меня тоже мысль о судебном иске. Но я не просто слаб в юриспруденции - я в ней как свинья в апельсинах. Но, думаю, клевета - это как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Fil

Мда... по-хамски себя ведут. Как можно вообще после этого пользоваться их продуктами? :angry: Надо бы их тоже придавить в таком случае - рублём. Донести бы эту информацию в масс-медиа, чтобы об этом узнали рядовые юзеры. Даже мне хватает такой информации, чтобы покончить ESS :huh: . Дождусь релиза КИС8 и с удовольствием мигрирую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Сергей, мы вас полностью поддерживаем. Подавайте на них в суд за клевету, так сказать накажите их рублем :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VirusBlokAda Ltd

Сергей, мы считаем, что Вы взяли на себя очень тяжелое бремя - быть судьей! Это очень серьезная ответственность, это враги и недоброжелатели! Но раз Вы "взялись за гуж - не говорите, что не дюж". Мы поддерживаем Вас в Вашей принципиальности и непредвзятости. Делайте свое дело по совести - мы с Вами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

"Делай, что должно и пусть будет то, что будет".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx
Какое может быть развитие отношений, если они вообще прекращены полностью? У меня нет никакого желания иметь дело с перечисленными выше людьми и я буду крайне рекомендовать не делать это другим.

Забавно, т.е. клевета с их стороны перейдет в ответную клевету с Вашей (говоря в грубом приближении)

А вообще не люблю оценивать ситуацию с одной стороны медали, думаю то же самое и они могут сказать про Вас.

Dexter, спасибо за совет, буду стараться. Но в данном случае конфликт вышел далеко за рамки цивилизованной дискуссии. Да, наши тесты показали слабость продуктов Eset, да я часто критикую и продукты, но я не вижу диалога. Представители Eset сначала делали вид, что нас нет, потом хотели купить, а теперь пытаются нас задушить

Сергей, не надо сваливать все на тесты, Вы и сами не прочь бросить одно, другое словечко Вас дискредитирующее.

З.Ы.

Я в последнее время тоже мало доверяю порталу. Он, будучи первое время быстроразвивающимся и независимым, сейчас стал "стратегически важное единицой" для любой АВ компании, которая хотела бы перетянуть одеяло на себя+которая имеет такую возможность. И мне непонятны возмущения Сергея о том, что кто-то открыто подвергает сомнению его "независимость", ведь та же ЛК, по сути, имеет и желание и возможность ;) (не в коем случае не утверждаю, что это правда, НО и что это не правда никто определенно сказать не может ;) )

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EP_X0FF

UzerAV - пять баллов.

:))))

Вместе мы - сила!

Неправильно написал - правильный вариант - В месте мы сила!

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег777
Дождусь релиза КИС8 и с удовольствием мигрирую

Вчера подписали техрелиз. Сборка 8.0.0.357 - мигрируйте на здоровье!

Неправильно написал

Что имею - то и введу!

они скан паспорта на слайде что ли показывали? Если так, то тут можно уже в суд на них подавать

Можно, но нужно ли?

Сергей Ильин ,и хватит мнеся намекати шо мня покалечат,наведите справки я неимею и неимел некаких контактов не скем(есетами и тд) хватит на меня наезжать инфу то раздобутте,или вам слобо,узеров свободо любивых,со соей точкой зрения и взглядом на мир(,я воще непридилах,) токо колечитя во што вы токо могете!

Виталик! Покажи мне конкретно пост, где Сергей Ильин тебе угрожает и "обещает покалечить". Ты вообще сам то понял, что сказал? Угрожать физической расправой - однозначно подсудное дело. А кроме того, ты у нас как "неуловимый Джо", неуловимый потому, что ни кому нафиг не нужен!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
Можно, но нужно ли?

Одно дело - полить грязью на форуме, а другое - скан чужого паспорта. Всякие нехорошие действия с документами, да еще чужими (а паспорт - это самый главный документ) - уголовщина. Безнаказанности быть не должно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
В месте мы сила

Да не все еще знают в каком.

И не обязательно всем знать.

Зачем расстраиваться. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

я может чего не догоняю, ну а чего уголовного в показывании скана паспорта и в попытках показать, что Сергей Ильин на самом деле не Сергей Ильин? тебя Сергей пресуют, глушат тебя, но в рамках законности.

Сергей Ильин твой псевдоним - да, ты на ЛК работаешь - да, ты мешаешь есету своими тестами - да, ты мешаешь Марксу с его AMTSO - да.

чего ты родной хочешь-то, чтоб тебя не глушили после этого? чтобы не использовали факты, которые явно могут тебя дискредитировать?

с какого перепугу бы им не отыметь тебя по полной? вот и имеют.

точно так же имели в своё время VB100 за то, что он на самом деле принадлежит софосу, учередители его топы Софоса и даже живет VB100 в том же здании, что и Софос. Но заметь Серега - не смотря на это они смогли стать уважаемым авторитетным журналом и смогли устоять под шквалом нападок.

другой пример почитай еще раз переписку на wilderssecurity далекого года выпуска, как там Eset опускает что есть силы Маркса с его AV-Test, а потом его банят там на форуме якобы навсегда. Ну и чего в итоге руководство Есет съездив к Марксу в Германию страшно извиняется публично и говорит, что Маркс обладает на самом деле нужным експириенсом и техникой, чтобы проводить грамотные тесты. И вот теперь наш друг даже деньги с вендоров гребет за участие во встречах AMTSO http://www.amtso.org/meetings.html

это я все к тому, что типа надо себя вести тебе грамотно независимо и прилично. еще раз тебе говорю не стоит публично опускать продукты только потому, что они в тових тестах плохи. делай тесты, привлекай максимальное кол-во людей для их проведения, публикуй результаты - народ сам их проинтерпретирует, за тебя. не лезь ты в разборки сам-то держись нейтрала, [***] ли ты людей против себя настраиваешь?

будешь вести себя четко - народ сам потянется и плевать ему будет на говнюков из Леты и Есета.

не надо вот до этого доводить

Сергей, не надо сваливать все на тесты, Вы и сами не прочь бросить одно, другое словечко Вас дискредитирующее.

стань короче на нейтрал и все у тебя будет, я блин с тобой, ты всех убодаешь, я верю.

только кончай разборки форумные,а думай как тестов много сделать и контенту на сайт интересного написать, авторов позвать интерсных для статей.

Отредактировал Николай Головко

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
стань короче на нейтрал и все у тебя будет, я блин с тобой, ты всех убодаешь, я верю.

Малаца.

Поддерживаю.

Я пока тоже в наиве и почему-то все еще надеюсь.

Ну просто не надо забывать, что бордюр это тот же поребрик. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Мда... по-хамски себя ведут. Как можно вообще после этого пользоваться их продуктами?

Я так понимаю, что Сергей имеет ввиду конкретных людей, а не самого вендора и его продукты, имеено поэтому фигурирует Leta-IT. С таким же успехом в текущей ситуации сюда можно приписать и BitDefender Russia. Кстати мне очень интересно как относятся в штаб-квартирах Eset и Bitdefender к текущей ситуации на российском рынке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
раздобытого каким-то путем скана моего гражданского паспорта с реальными именем и фамилией

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных хотя бы. еще привести законодательного из этой сферы??могу, если надо, обращайтесь в личку.

1) Наши тесты. Их результаты разрушают стратегию продвижении продуктов Eset как мыльный пузырь. Говорить можно все что угодно, но на деле все оказалось совсем не так хорошо с их продуктами, как следует из их рекламы и информации на сайте.

а это нормально. они же упорно навешивают лапшу на уши по поводу объема корпоративных продаж в России на некоторых мероприятиях. а тут какой-то ресурс всё испортил, мнение оказалось непокупаемым. это нормально, помоями будут еще долго поливать. какая компания - такая и политика. лучше бы продукт развивали так же как "пеарщегов".

По сути, имел место простой шантаж: "Продай нам портал или мы его быстро задушим, устроим информационную войну".

уже начали. вот тут например. только как видно, плоховато у них получается. профессионалы поумнее будут.

Ненавижу шантаж и давление! Идите лесом и попробуйте задушить!

ммм...крайне советую заиметь диктофон. неплохое доказательство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей Ильин твой псевдоним - да, ты на ЛК работаешь - да, ты мешаешь есету своими тестами - да, ты мешаешь Марксу с его AMTSO - да.

чего ты родной хочешь-то, чтоб тебя не глушили после этого? чтобы не использовали факты, которые явно могут тебя дискредитировать?

Естественно, что я этого ожидал. Куда ж в нашей стране без наездов и прессинга? ;) Просто я молчать не буду, я отвечу по-любому и кому-то может быть больно.

это я все к тому, что типа надо себя вести тебе грамотно независимо и прилично. еще раз тебе говорю не стоит публично опускать продукты только потому, что они в тових тестах плохи. делай тесты, привлекай максимальное кол-во людей для их проведения, публикуй результаты - народ сам их проинтерпретирует, за тебя. не лезь ты в разборки сам-то держись нейтрала, [***] ли ты людей против себя настраиваешь?

Иван, спасибо за поддержку и конструктивную критику, я иногда в горячке могу слишком увлечься критикой. Надо быть более нейтральным, это факт. Буду стараться :)

Он, будучи первое время быстроразвивающимся и независимым, сейчас стал "стратегически важное единицой" для любой АВ компании, которая хотела бы перетянуть одеяло на себя+которая имеет такую возможность. И мне непонятны возмущения Сергея о том, что кто-то открыто подвергает сомнению его "независимость", ведь та же ЛК, по сути, имеет и желание и возможность wink.gif (не в коем случае не утверждаю, что это правда, НО и что это не правда никто определенно сказать не может wink.gif )

Во многом в точку попал. В этом году все идет куда "интереснее", чем ранее. Мы набираем вес, а вместе с ним увеличивается шанс попасть под обстрел кого-то из обиженных или тех, кто хочет играть в войну без нашего портала. Только в рассматриваемой в этом топике ситуации все зашло гораздо дальше - люди открыто подрывают чужой проект. Догадываетесь сколько теперь мне придется написать писем боссам европейских компаний, чтобы нивелировать их черный пиар? А это реальный ущерб репутации, несделанные тесты, аналитика и т.п. В этом плане акция Eset прошла удачно.

Отредактировал Николай Головко

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Ну а если говорить по правде, то отношения с исетом у вас не сложились помнится изначально.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Ну а если говорить по правде, то отношения с исетом у вас не сложились помнится изначально.:)

ну да, не стоило их спрашивать зачем у них на сайте какие-то странные какртинки из VB100 висят, подтверждения которым в самом VB100 нету

не спросили бы - ничего бы не было глядишь :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
ну да, не стоило их спрашивать зачем у них на сайте какие-то странные какртинки из VB100 висят, подтверждения которым в самом VB100 нету

не спросили бы - ничего бы не было глядишь :rolleyes:

Да ну ладно.

В конце концов далеко не Ахн.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
ну да, не стоило их спрашивать зачем у них на сайте какие-то странные какртинки из VB100 висят, подтверждения которым в самом VB100 нету

не спросили бы - ничего бы не было глядишь :rolleyes:

тссс, на VB результат иногда внезапно становится PASS вместо FAIL :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • agrohimrne
      Where is administration?
      It is about advertisement on your website.
      Thank.
    • AM_Bot
      NGFW (Next Generation Firewall) изменили парадигму оперативного контроля внешнего сетевого трафика, предоставив компаниям возможность отсекать пакеты данных из определённых источников, а также анализировать сами передаваемые данные, проверять их на наличие вредоносных сигнатур, ограничивать работу с нежелательными ресурсами. Рассматриваем функции современного межсетевого экрана на примере представителя систем этого класса UserGate Next Generation Firewall.   ВведениеФункциональные возможности UserGate Next Generation Firewall2.1. Фильтрация контента по правилам2.2. Анализ трафика2.3. Защита от DoS2.4. Контроль интернет-приложений2.5. Антивирус2.6. Реагирование2.7. Собственная ОС2.8. Варианты поставкиСценарии использования UserGate Next Generation Firewall3.1. Основные настройки UserGate Next Generation Firewall3.2. Создание политик3.3. Работа со сценариямиВыводыВведениеКлассические межсетевые экраны, или файрволы, предназначены для фильтрации трафика между двумя сегментами сети на основании относительно простых принципов. Получив пакет данных из внешнего, небезопасного, сегмента, межсетевой экран определяет возможность его дальнейшей передачи в локальную сеть на основании IP-адреса и порта источника либо назначения. Такое взаимодействие соответствует третьему, сетевому уровню модели OSI.Использование классического межсетевого экрана, строящего свою работу на списках запрещённых и разрешённых адресов, никак не защищает ото множества других угроз, связанных с сетевым трафиком. Такая система совершенно прозрачна для вредоносных программ, фишинговых писем, трафика связанного с определёнными приложениями и сервисами. Первоначальная концепция предполагала, что купированием этих угроз займутся инструменты информационной безопасности за файрволом: антивирусы, почтовые сканеры, системы предотвращения вторжений и другие средства.Такой подход таит в себе определённые проблемы. Сам факт попадания вредоносной нагрузки за периметр безопасности уже несёт определённые угрозы. При этом значительная часть векторов атаки сегодня вообще не связана с какими-либо нелегитимными инструментами, а базируется на действиях инсайдеров или использовании взломанных аккаунтов. Безусловно, и для таких угроз существуют отдельные средства безопасности, однако не лучше ли предотвращать атаки на рубежах доверенного сетевого окружения?Именно такую концепцию принесли на рынок межсетевые экраны нового поколения (Next Generation Firewall, NGFW). В отличие от классических файрволов, анализирующих только заголовок пакета, NGFW способны разбирать и его содержимое. Это значительно расширяет круг возможностей межсетевого экрана. Современные NGFW представляют собой многофункциональные комплексы сетевой защиты, поскольку могут иметь в своём составе самые разнообразные модули:антивирусы,системы обнаружения и предотвращения вторжений (IDPS),собственный прокси-сервер,средства контроля почтового трафика,инструменты морфологического анализа,средства защиты от DoS-атак.Одним из пионеров разработки межсетевых экранов нового поколения в России является компания UserGate, имеющая 13-летний опыт в этой сфере. Ключевые компетенции UserGate находятся именно в области разбора трафика, в том числе зашифрованного. Флагманский продукт вендора UserGate Next Generation Firewall является основой экосистемы корпоративной кибербезопасности и может служить хорошим примером полнофункционального межсетевого экрана, обеспечивающего комплексную защиту и фильтрацию трафика до его попадания в локальную сеть. В этом материале мы кратко рассмотрим основные возможности системы на примере версии 6, а также познакомимся с несколькими сценариями её использования.Функциональные возможности UserGate Next Generation FirewallНабор функциональных возможностей UserGate Next Generation Firewall охватывает разнообразные потребности в сфере защиты трафика и фильтрации контента. Гибкие механизмы настройки межсетевого экрана позволяют выстраивать сложные логические схемы обработки данных и в автоматическом режиме реагировать на потенциально опасные или нелегитимные действия. Кратко остановимся на наиболее важных аспектах работы UserGate Next Generation Firewall.Фильтрация контента по правиламФильтрование трафика в UserGate Next Generation Firewall основывается на механизме правил — по сути, политик безопасности, описывающих действия системы при наступлении тех или иных заданных условий. Правила фильтрации могут блокировать или, наоборот, разрешать движение данных в зависимости от их типа, источника, получателя, приложения, категории и других параметров. Правила могут применяться к одному или нескольким пользователям и выполняются последовательно, что даёт возможность строить гибкую систему обеспечения кибербезопасности и осуществлять контроль работы сотрудников.При помощи правил можно не только создавать белые и чёрные списки ресурсов, но и контролировать множество параметров передаваемых пакетов, например тип используемого браузера, наличие определённых словоформ или типов информации. Правила используются не только для фильтрации контента, но и в других функциональных блоках системы — межсетевом экране, подсистеме ограничения пропускной способности и пр.Анализ трафикаГлубокий разбор трафика является ключевой функцией NGFW, основным источником данных для других подсистем. UserGate Next Generation Firewall способен детально исследовать нагрузку каждого передаваемого пакета, «на лету» определяя потенциально небезопасное содержимое, а также триггеры, по которым активируются заранее заданные правила и сценарии. Помимо обычного трафика система расшифровывает и защищённые SSL пакеты, работая с протоколами HTTPS, SMTPS и POP3S. При этом сервер NGFW осуществляет подмену оригинального сертификата на собственный, отдавая на сторону пользователя по-прежнему защищённый контент.Защита от DoSОдним из механизмов безопасности в UserGate Next Generation Firewall является функция ограничения числа соединений, открытых одним пользователем. Так же как и многие другие элементы NGFW, она реализована при помощи механизма правил и сценариев, что позволяет гибко настраивать чувствительность системы в соответствии с особенностями конкретной компании. Ограничение на количество одновременно открытых пользователем сеансов обеспечивает эффективное противостояние возможным DoS-атакам (Denial of Service) через пользовательские или гостевые учётные записи.Контроль интернет-приложенийUserGate Next Generation Firewall работает с приложениями на седьмом уровне сетевого взаимодействия модели OSI. Система идентифицирует приложения и даёт администратору возможность ограничивать их использование. Например, NGFW способен полностью заблокировать работу мессенджеров, торрент-клиентов и других нежелательных программ. Собственная база обновляемых сигнатур позволяет помимо этого защищать локальную сеть от угроз связанных с теми программами, которые работают с интернетом.АнтивирусВ состав UserGate Next Generation Firewall входит потоковый антивирус, который может проверять внешний трафик на наличие вредоносных программ. Анализ ведётся при помощи собственной базы сигнатур, что обеспечивает достаточную надёжность и блокировку основных угроз до того, как данные пересекут контур безопасности. С другой стороны, использование лёгкого сигнатурного антивирусного ядра минимально нагружает систему, что даёт возможность, при необходимости, проверять весь трафик полностью. Антивирусная защита использует механизм правил безопасности NGFW.РеагированиеВ UserGate Next Generation Firewall встроена система предотвращения вторжений, которая способна в настоящем времени реагировать на атаки киберпреступников, эксплуатирующих известные уязвимости. UserGate Next Generation Firewall даёт администратору возможность создавать различные наборы сигнатур для защиты различных сервисов, а также формировать на базе универсального механизма правил собственные сценарии для каждого типа трафика. Это позволяет не только формировать реакции на кибератаки, но и контролировать вредоносную активность внутри сети.Собственная ОСВ основе UserGate Next Generation Firewall лежит оригинальная операционная система UGOS, оптимизированная для задач быстрой и эффективной обработки трафика. Платформа создана на базе дистрибутива Linux и не использует готовых комплексных модулей: все подсистемы безопасности разработаны программистами UserGate и не содержат стороннего кода. С одной стороны, это позволяет быстро адаптировать её под требования заказчика, а с другой — существенно снижает вероятность атак на систему с использованием общеизвестных уязвимостей.Варианты поставкиUserGate Next Generation Firewall может поставляться как в виде виртуального межсетевого экрана, развёрнутого на одном из гипервизоров (VMware, Hyper-V, Xen, KVM, OpenStack, VirtualBox, отечественные разработки), так и в виде программно-аппаратного комплекса, созданного UserGate. Производитель предлагает несколько вариантов исполнения таких NGFW, предназначенных для организаций разного масштаба — от компаний сегмента СМБ до крупных предприятий и дата-центров.Сценарии использования UserGate Next Generation FirewallОсновные настройки UserGate Next Generation FirewallПервоначальные настройки UserGate Next Generation Firewall не займут много времени и сводятся в общем случае к конфигурации портов для работы с интернетом и локальными ресурсами, добавлению DNS-серверов, определению доменных записей для страниц блокировки и авторизации, а также указанию параметров работы механизма SSL-фильтрации. Кратко рассмотрим каждое из этих действий.Задание параметров портов выполняется в секции «Сеть — Интерфейсы» раздела «Настройки» UserGate Next Generation Firewall. Здесь собраны все физические и виртуальные порты, имеющиеся в системе. Для каждого интерфейса можно выбрать тип («Layer 3» или «Mirror»), назначить ему определённую зону и указать профиль Netflow, который будет использоваться для отправки данных на коллектор, учитывающий сетевой трафик. Тут же задаётся тип IP-адреса порта — динамический, получаемый через DHCP, или заранее определённый, статический. При необходимости можно настроить работу DCHP Relay, который будет раздавать адреса со внешнего сервера устройствам своего сегмента сети. Рисунок 1. Настройка свойств порта в UserGate Next Generation Firewall Для настройки DNS-серверов необходимо выбрать пункт меню «Сеть — DNS» в разделе «Настройки», нажать кнопку «Добавить» и задать адрес соответствующего хоста. При необходимости UserGate Next Generation Firewall может перехватывать DNS-запросы пользователей и изменять их. Для этого следует задать параметры работы DNS-прокси. Важно, что для фильтрации DNS-запросов необходимо приобрести отдельный модуль и создать соответствующие правила. Рисунок 2. Раздел настройки DNS в UserGate Next Generation Firewall Авторизация неизвестных пользователей (не идентифицированных Windows или агентами терминальных серверов либо не имеющих явно указанного IP-адреса в свойствах) осуществляется в UserGate Next Generation Firewall при помощи перехватывающего портала. Применяются правила заданные администратором, однако для корректной работы сервиса следует настроить доменные имена страниц аутентификации, блокировки и выхода из системы. Этот шаг можно пропустить, если в качестве DNS-сервера используется сервер UserGate Next Generation Firewall. Если же применяется собственный DNS-сервер, то необходимо создать на нём три соответствующие A-записи и указать в них IP-адрес и порт подключения к локальной зоне.Корректная работа системы фильтрации контента UserGate Next Generation Firewall возможна только при настроенной инспекции данных передаваемых по шифрованным протоколам, таким как HTTPS, SMTPS или POP3S. Файрвол дешифровывает указанный трафик, после чего анализирует его на предмет наличия ограничений, заданных правилами. После дешифровки и анализа данные повторно кодируются при помощи собственного сертификата. Обязательно нужно добавить его в список доверенных корневых сертификатов, иначе браузеры пользовательских устройств будут сигнализировать о возможной подмене SSL-удостоверения. Рисунок 3. Раздел «Инспектирование SSL» в UserGate Next Generation Firewall Чтобы настроить режим проверки шифрованного трафика, необходимо перейти в пункт «Политики безопасности — Инспектирование SSL» раздела «Настройки» и добавить новое правило, описывающее процесс работы с SSL-трафиком. Для каждого трафика, среди прочего, можно задать:Пользователя, группу пользователей или тип пользователей, для которых применяется правило.Список доменов, чей трафик подлежит инспектированию.Списки IP-адресов источников и назначения трафика.Возможность блокировки внешних сертификатов, не вызывающих доверия (самоподписанных, отозванных, с истекшим сроком действия).Создание политикОсновным инструментом фильтрации контента в UserGate Next Generation Firewall являются правила, объединённые в политики безопасности. Это универсальный механизм, который может инициировать определённые действия системы по ряду заданных параметров. Файрвол анализирует трафик, после чего блокирует его (или, наоборот, разрешает передачу данных) при срабатывании одного из триггеров. Правила применяются последовательно, в соответствии с очерёдностью, установленной их списком. Такой подход даёт возможность гибко настраивать обработку данных по разным параметрам.Для создания нового правила необходимо выбрать пункт «Политики безопасности — Фильтрация контента», находящийся в разделе «Настройки». Каждая политика может выполнять одно из трёх действий:Блокировать доступ к веб-странице («Запретить»).Предоставить доступ к веб-странице («Разрешить»).Показать пользователю предупреждение о нежелательности посещения этой страницы («Предупредить»).Рисунок 4. Настройка правила фильтрации контента в UserGate Next Generation Firewall Частным случаем действия «Запретить» является проверка трафика встроенным антивирусом. Если в передаваемых данных будет обнаружена сигнатура вредоносной программы, содержащая её страница не будет открыта.После выбора действий необходимо указать одно или несколько условий, которые будут инициировать срабатывание правила. Каждое условие добавляется в правило через логическое «И», то есть правило выполняется только при срабатывании всех указанных в нём условий. Например, можно ограничить трафик определённой категории сайтов для определённого пользователя. При этом для всех остальных категорий передача данных этому пользователю будет разрешена. Ниже приведена краткая характеристика основных условий, доступных в правилах фильтрации контента UserGate Next Generation Firewall.Источник трафика: список IP-адресов или доменов, откуда идёт трафик. Разрешение доменных имён в IP-адреса производится каждые пять минут, а результат хранится в течение жизни DNS-записи.Назначение трафика: список IP-адресов или доменов, являющихся получателями трафика. Порядок работы системы с ними — такой же, как для источников.Пользователи или группы пользователей, для которых применяется правило. Допускается использование таких масок, как «Any» (любой пользователь), «Known» (известный, то есть идентифицированный, пользователь), «Unknown» (неидентифицированный пользователь).Категории электронных ресурсов. Трафик проверяется по крупнейшей базе электронных ресурсов, разбитых на более чем 70 категорий. Например, правило может срабатывать на социальные сети, порнографию, онлайн-казино и другие сайты. Администратор может переопределить категорию любого сайта. Для фильтрации по категориям необходима отдельная лицензия на базу данных UserGate URL Filtering.Списки URL: чёрные и белые. Администратор может создавать собственные списки или приобрести готовые.Тип контента. Данное условие срабатывает при передаче аудио, видео, исполняемых файлов и пр. Для описания видов контента используется формат MIME. Морфологические базы для проверки передаваемого контента на наличие определённых слов, словоформ и выражений.Кроме того, можно задавать время работы правила, значение User-Agent, HTTP-метод и рефереры открываемой страницы.Работа со сценариямиДля определённых типов правил можно использовать дополнительные условия, сценарии. Однако прежде чем перейти к описанию работы с ними, кратко остановимся на базовых свойствах правил межсетевого экрана и правил пропускной способности, где, собственно, и используются сценарии.Правила межсетевого экрана регулируют обработку транзитного трафика, проходящего через UserGate Next Generation Firewall. В качестве условий, при срабатывании которых система блокирует или, наоборот, разрешает передачу данных, могут выступать пользователи, сервисы, приложения, а также зоны и IP-адреса источника трафика или его назначения. Правила пропускной способности, основываясь на тех же параметрах, способны ограничивать канал передачи данных. Рисунок 5. Окно свойств правил межсетевого экрана в UserGate Next Generation Firewall Сценарии позволяют UserGate Next Generation Firewall реагировать не только на одномоментные события, но и на произошедшие за некоторый интервал времени — например, несколько попыток использования одного приложения. Для создания нового сценария необходимо нажать кнопку «Добавить» в меню «Политики безопасности — Сценарии» раздела «Настройки». Сценарий может действовать только для того пользователя, на котором он сработал, или распространяться на всех пользователей, указанных в правиле. Можно также задать срок работы сценария после его активации. После создания сценария его необходимо указать в том правиле, для которого он будет применяться. Рисунок 6. Окно настройки сценария в UserGate Next Generation Firewall В качестве условий сценария может выступать срабатывание системы обнаружения вторжений или появление следующих сущностей в трафике пользователя:URL заданных категорий.Вирусы.Приложения.Определённые типы контента.Пакеты данных, превышающие определённый размер.Количество сессий с одного IP-адреса, превышающее некоторое значение.Объём трафика за единицу времени, превышающий определённое значение.Доступность определённого ресурса.С таким перечнем удобно выстраивать логику регулирования трафика. Например, при помощи сценариев можно переключить сеть на работу с запасным шлюзом, в случае недоступности основного.ВыводыUserGate Next Generation Firewall представляет собой полнофункциональный комплекс защиты внешних периметров сети и управления сетевым трафиком. Система даёт возможность построить сложные сценарии обработки и анализа сетевых пакетов на основе универсальных политик безопасности. С её помощью специалисты по информационной безопасности могут фильтровать поступающие извне данные на основе вердиктов антивирусного ядра, морфологического анализа, информации о приложении и других параметров. Различные триггеры можно собирать в цепочки, связанные логическим «И» (условия в рамках одного правила), а также логическим «ИЛИ» (последовательность нескольких правил).Ещё одним средством кибербезопасности является система ограничения количества одновременных сеансов, что полезно для эффективного противодействия DoS-атакам. При этом простой фиксацией проблем возможности UserGate Next Generation Firewall не ограничиваются. Используя тот же механизм правил и сценариев, можно настроить варианты реагирования NGFW на определённые события в информационной безопасности или нелегитимную сетевую активность.Помимо защитных функций UserGate Next Generation Firewall предоставляет администратору возможность контролировать сетевую активность пользователей, запрещая работу с определёнными ресурсами или приложениями. Это важно не только для ИБ, поскольку позволяет отсекать нерабочую активность персонала — использование соцсетей, игровых платформ, торрентов. Дополнительно NGFW может ограничивать пропускную способность канала при достижении пользователем определённых объёмов трафика, а также переключаться между разными интернет-провайдерами при выполнении заданных условий.UserGate Next Generation Firewall занимает передовые позиции в секторе NGFW российского рынка информационной безопасности и может конкурировать с ведущими зарубежными аналогами. Компетенции компании UserGate в сфере анализа сетевого трафика позволили ей создать зрелый продукт, способный стать существенным препятствием для кибератак, универсальным инструментом первой необходимости, который сможет обезопасить компанию от большого числа инцидентов даже при частичной недоступности других инструментов информационной безопасности.Читать далее
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 16.0.26.
    • demkd
      ---------------------------------------------------------
       4.13
      ---------------------------------------------------------
       o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
         (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
         Для создания дисков требуются установить следующие пакеты:
         o Три компонента из Windows ADK для Windows 10 версии 2004
           o средства развертывания
           o средства миграции (USMT)
           o набор средств оценки производительности Windows
         o Windows надстройка PE для ADK версии 2004
         (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
         (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
            то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.  o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.  
    • AM_Bot
      Ankey ASAP (Advanced Security Analytics Platform) предназначен для углублённого изучения событий по информационной безопасности с функциями поведенческого анализа. Программный комплекс получает данные от СЗИ и информационных систем, формирует контент для помощи в расследовании киберинцидентов и анализирует поведение пользователей и компонентов корпоративной сети. У продукта появились новые возможности, расскажем о них.    ВведениеИнтерфейс Ankey ASAPМодуль UEBA3.1. Анализатор терминальных команд3.2. Анализатор первых действий3.3. Анализатор базовой линии3.4. Работа анализаторов в действии3.5. Возможности по разработке собственного UEBA-контентаВыводыВведениеУвеличивающиеся риски целевых атак, новые требования регуляторов вместе с уходом иностранных вендоров с российского рынка заставили отечественные компании существенно пересмотреть подход к существующим внутри организаций средствам и методам обеспечения информационной безопасности. Не менее острой за прошедший год стала проблема определения и предотвращения инсайдерских атак. В некоторых случаях детектировать их имеющимися СЗИ представляется почти невозможным, так как во многих случаях это требует детального анализа пользовательского поведения внутри корпоративной сети, что, несомненно, влечёт за собой значительное увеличение затрат на обеспечение ИБ в организации. Одним из возможных решений проблемы можно назвать внедрение системы поведенческого анализа пользователей (UEBA).Ankey ASAP — программный комплекс, являющийся аналитической платформой кибербезопасности с функциями поведенческого анализа. Основываясь на данных, которые поставляются в систему в нормализованном виде из SIEM и иных средств защиты информации, Ankey ASAP анализирует поведение различных пользователей, устройств, других систем корпоративной сети с целью выявить признаки потенциальных киберугроз и целевых атак, а также злонамеренных действий инсайдеров. С момента последней публикации на Anti-Malware.ru статьи об Ankey ASAP платформа была комплексно переработана: от интерфейса до функциональных решений. Рассмотрим подробнее эти изменения.Интерфейс Ankey ASAPUX- / UI-дизайн системы претерпел комплексный рефакторинг, начиная от страницы аутентификации и заканчивая панелью визуализации инцидентов. Минимизация рабочей нагрузки на операторов системы (администраторов ИБ, аналитиков) путём частичного перекладывания ряда рабочих задач на платформу является одним из главных принципов при разработке системы. В этом Ankey ASAP помогают расширенные средства визуализации, навигации и работы со внутренним контентом. Рисунок 1. Панель визуализации инцидентов Удобная навигация между карточками позволяет легко ориентироваться во всех активах, а также связанных с инцидентами событиях. Система способна получать скоррелированные события изо внешних систем типа SIEM и выявлять ИБ-инциденты, происходящие в корпоративной сети, на основе алгоритмов поведенческого анализа. Благодаря средствам расширенной визуализации и обновлённым виджетам оператор платформы может выделить для себя наиболее значимые объекты анализа. В определении наиболее значимых инцидентов ему призваны помочь система гибкого скоринга и тесно связанная с ней система генерации уведомлений. Не стоит забывать и о постоянно растущем списке поддерживаемых системой источников.Модуль UEBAБыла существенно переработана функциональная часть Ankey ASAP. Изменения коснулись как отдельных компонентов архитектуры проекта, так и принципов работы ряда анализаторов, входящих в технологический блок UEBA-системы. О действующей функциональности этих анализаторов и пойдёт речь далее в статье. Рисунок 2. Подробные сведения об инцидентах Анализатор терминальных командЗа детектирование аномального поведения объектов наблюдения в Ankey ASAP отвечает ряд анализаторов, разделяемых по функциональному назначению. Одним из них является анализатор терминальных команд, призванный в первую очередь детектировать попытки реализации атак типа «Living-off-the-Land», то есть выявлять выполнение деструктивных терминальных команд при использовании легитимных или встроенных системных утилит (CMD, PowerShell, netcat и другие). На вход анализатора подаются события запуска процесса, а он по обученной заранее модели проводит классификацию: похоже это на LotL-атаку или нет. Рисунок 3. Принцип работы анализатора терминальных команд При сравнении методов работы существующих решений по безопасности следует особо отметить, что детектировать LotL-атаки возможно также и сигнатурными методами, однако там основой служат константные выражения в терминальных командах. Иначе говоря, для детектирования с помощью SIEM LotL-атаки с применением netcat необходимо, чтобы введённая команда содержала «nc» и некоторые определённые флаги. Переименовываем «netcat» в «моя секретная программа» — правила SIEM перестают работать; в ASAP же модель для классификации лишь немного потеряет в степени уверенности, что применяется именно netcat. Она также вынесет вердикт по оставшейся информации — например, по тем же самым флагам, которые были переданы в качестве аргументов.Анализатор первых действийГоворя о сигнатурных методах определения злонамеренной пользовательской активности, стоит также упомянуть, что рассматриваемые решения обычно позволяют детектировать уже реализованную угрозу. Однако одной из основных задач системы поведенческой аналитики является определение и пресечение потенциальной угрозы на более ранних этапах киберцепочки угроз (Cyber Kill Chain). Частично за выполнение этой задачи в Ankey ASAP отвечает анализатор первых действий сущностей. Внутренний контент платформы содержит в себе уже описанные аналитиками триггеры первых пользовательских действий, которые по всем своим признакам могут соответствовать легитимной модели поведения, однако их нетипичность применительно к определённым временным промежуткам свидетельствует об определённой степени «аномальности» подобного поведения.Такими триггерами могут быть:первое переключение пользователя в «root»;подключение к ИС нового съёмного носителя;обращение изо внутренней сети к новому внешнему хосту и др.Такие события вызывают в системе значительное изменение скоринга карточки анализируемого актива. Обо всех резких изменениях скоринга, а также о превышении определённого «безопасного» порога система сигнализирует соответствующими уведомлениями на информационной панели, что помогает оператору платформы своевременно реагировать и детектировать нетипичное для пользователя поведение.Анализатор базовой линииНа основе множества показателей, к которым относятся как собственное типичное поведение (например, учёт рабочего времени, проводимого конкретным пользователем за рабочим местом), так и признаки свойственные определённым группам сущностей (администратор, внешний нарушитель, вредоносные программы), анализатор формирует так называемые профили поведения для каждого объекта анализа. Так, любое отклонение поведения объекта от базового будет вызывать рост его скоринга в соответствии с описанной для данного сценария моделью.Анализатор позволяет предотвращать и детектировать инциденты в информационной безопасности, основываясь, например, на:нетипичном времени входа в систему;нетипичных операциях с сетевыми папками;нетипичных действиях по управлению политиками и др.Работа анализаторов в действииДля наглядности описания продемонстрируем работу анализаторов в одном из возможных сценариев. Находясь в разделе «Мониторинг» или «Инциденты», оператор платформы обнаруживает созданный системой инцидент о превышении скоринга для учётной записи «barbar». Рисунок 4. Раздел «Инциденты» в Ankey ASAP Перейдя к самой карточке учётной записи и установив фильтр по датам на интересующий нас временной промежуток, видим зафиксированные сигналы об аномальном поведении учётной записи, а также о начислении скоринга по каждому из них. Рисунок 5. Карточка инспектируемой учётной записи Обратимся к началу списка уведомлений, зарегистрированных для данной учётной записи. Рисунок 6. Список сгенерированных уведомлений для учётной записи Анализатор базовой линии фиксирует вход в нетипичное для данного пользователя время, о чём свидетельствует соответствующий сигнал. Затем уже следующий анализатор (первых действий) фиксирует просмотр и копирование содержимого сетевых папок, с которыми прежде пользователь не взаимодействовал. Уже на данном этапе система создаёт инцидент о резком росте скоринга в сутки (выше допустимых 100 баллов). Рисунок 7. Результат работы анализатора первых действий Двигаемся дальше: видим сгенерированное уведомление о попытке отправки архива через электронную почту. Инцидент, поступивший из SIEM, свидетельствует о том, что это действие было зарегистрировано DLP-системой, вследствие чего произошла блокировка отправки данных. Затем система отмечает подключение USB-накопителя, совершаемое впервые. Следующая за ним попытка копирования данных на съёмный носитель также зарегистрирована и блокирована DLP-системой. Больше никаких инцидентов от SIEM не поступало, поэтому можно посчитать, что отправка данных была успешно заблокирована.Однако, обращаясь к следующим сигналам, можно увидеть результат работы анализатора базовой линии: пользователь скопировал нетипичное для себя количество данных. Рисунок 8. Результат работы анализатора базовой линии Сразу за ним следует уведомление от анализатора терминальных команд. Видим, что пользователь всё же отправил данные во внешний репозиторий в обход DLP-защиты, применяя низкоуровневые механизмы взаимодействия (в данном случае — при помощи утилиты datasvcutil). DLP-система не регистрирует это событие, так как используемая утилита является штатной, что в данной ситуации эквивалентно «легитимной». Поскольку каждый сгенерированный системой сигнал вызывал своим появлением увеличение скоринга пользователя, Ankey ASAP создаёт инцидент по превышению скоринга, с чего и начинается расследование.Таким образом, в примерах из этого сценария мы можем разглядеть поведение типичного инсайдера. Анализируя события и инциденты в области безопасности раздельно, администратор ИБ может не получить полноценной картины проводимой атаки, особенно в тех случаях, когда злонамеренные действия пользователя сильно размыты во времени. Ситуация может быть осложнена тем, что некоторые СЗИ, использующие в своей работе сигнатурные методы обнаружения, порой упускают важный контекст из обрабатываемой информации, как, например, в описанном выше методе реализации LotL-атаки. Используемые в Ankey ASAP технологии машинного обучения, возможность подключения различных источников, аккумулирующий эффект скоринга способны значительно снизить подобные риски.Возможности по разработке собственного UEBA-контентаОтдельное внимание разработчики уделили созданию собственного внутреннего контента для платформы. Её функциональность может расширяться со стороны не только разработчика системы, но и пользователей. Для просмотра и редактирования существующего контента в платформе используется внутренний редактор конфигурационных правил. При необходимости администратор может править существующие модели, поставляемые вместе с платформой, а также на основе уже имеющихся создавать свои собственные. В этом разработчику контента способен помочь набор внутренних функций, используемых анализаторами. Все доступные функции подробно описаны в эксплуатационной документации.ВыводыИспользование платформ наподобие Ankey ASAP администраторами или аналитиками по ИБ способно значительно оптимизировать их рабочие процессы. Ankey ASAP помогает администратору выявлять аномальные или вредоносные действия пользователей или устройств: платформа может быть как инструментом активного мониторинга защищённости сети, так и конечной точкой аккумуляции всех сведений, которые необходимы для проведения расследований.В настоящее время активно ведётся работа по расширению уже имеющейся функциональности Ankey ASAP. Из планов на ближайшее будущее стоит выделить:поддержку новых источников данных, в частности — программного комплекса для мониторинга рабочего времени сотрудников StaffCop (ООО «Атом Безопасность»);расширение библиотеки анализаторов поведения;расширение имеющейся библиотеки виджетов панели мониторинга;реализацию отдельного дашборда по матрице MITRE ATT&CK;интеграцию с продуктами ООО «Газинформсервис» (линеек Ankey и Efros).Авторы:Андрей Шабалин, аналитик ИБ, компания «Газинформсервис»Расул Манкаев, инженер-аналитик, компания «Газинформсервис»Читать далее
×