Перейти к содержанию

Recommended Posts

yukho

Здравствуйте!

В ходе эксплуатации Symantec Endpoint Protection 11.0.2000 MR2 хотелось бы поинтересоваться...

Синопсис: в тестовой зоне развётнут вышеуказанный продукт, вроде бы работает более-менее удовлетворительно, НО существуют угрозы (вирусы) которые не обнаруживаются данной программой! На ряде клиентов снимали жесткий диск и проверяли сторонним антивирусом (Касперский) - находил около десятка угроз. Данные угрозы посредством данной формы: https://submit.symantec.com/websubmit/gold.cgi были отправлены в Symantec. В итоге сигнатуры были добавлены в Latest Daily Certified version и Latest Rapid Release version, но судя по дате обнаружения - эти угрозы известные, некоторые из них: (http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99 , http://www.symantec.com/security_response/...-021914-2822-99 , http://www.symantec.com/security_response/...-101518-4323-99 ) Собственно, вопрос, почему данные сигнатуры не содержались ранее? Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec...

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

наверное версия старого зверя, которую симантек не знал

докрутили сигнатуру - и теперь знает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Собственно, вопрос, почему данные сигнатуры не содержались ранее?

Собственно ответ такой: за 2007 года Symantec Security Response обнарудил примерно около 600 000 новых образцов вредоносного кода. Представляете, если бы все эти образцы были бы добавлены в базу, какого размера бы она стала. Соответственно каждая уникальная сигнатура, со своим собственным именем - это увеличение размера базы обновления. Поэтому, чем более глубокий корреляционный подход к формированию описаний вирусов применяется, тем меньше база, тем меньше памяти и дискового пространства занимает антивирус в процессе своей работы. В данном случае мы говорим именно об этом; если Вы обратите внимание на список изменений к базам (Изменения), то заметите, что добавляется очень мало новых сигнатур, однако огромное количество сигнатур модифицируется, совершенствуется, делается более интеллектуальными.

Хотелось бы поподробнее узнать о "types of virus definitions" в Symantec

Обновления Антивирусных баз

Multiple Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 6-10 часов 7 дней в неделю. Доступны только для продуктов Symantec Endpoint Protection 11 и Norton 2008 через LiveUpdate.

Daily Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 20-28 часов 7 дней в неделю. Доступны для всех продуктов, кроме Norton 2005 и ниже, через LiveUpdate или через Intelligent Updater.

Weekly Updates - полностью протестированные и сертифицированные обновления, выходящие каждые 7 дней. Доступны для всех продуктов через LiveUpdate или через Intelligent Updater.

Rapid Release - ограниченно протестированные и сертифицированные обновления, выходящие каждые 30-60 минут. Доступны для всех продуктов кроме SEP/SAV CE/ SCS через LiveUpdate или для всех продуктов через ftp сервер. Для снижение вероятности ложных срабатываний рекомендуется использовать только для серверных и шлюзовых продуктов.

Обновления IPS сигнатур - выходят 1-7 раз в неделю.

Обновления баз Коммерческих приложений - выходят 2-5 раз в неделю.

Обновления баз Известных приложений - выходят 2-5 раз в неделю.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho

Огромное спасибо за разъяснения.

И ещё, имеются продукты Symantec Mail Security for Microsoft Exchange 6.0 и Symantec Endpoint Protection 11.0.2, имеется ли возможность сделать так, чтобы обновлялись эти продукты из одного (локального) места - не по отдельности из Интернета - по-видимому, нужно использовать LiveUpdate Administrator, но пока не было возможности разобраться, может кто опробовал данную схему, заранее благодарю?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
нужно использовать LiveUpdate Administrator

Именно так все и делается. Последняя версия LUA содержится на 2 диске SEP (если это русская версия дистрибутива, то LUA и документация к нему также на русском языке). Единственно, в вашем случае не получится экономить трафик, так как обновления для SEP и SMS доступны как уже указывалось в разные интервалы времени, SEP - каждые 8 часов, SMS - раз в день. Но если настроить клиентов также обновляться с данного сервера, если они по какой-то причине могут обновиться с SEPM, то тогда экономия может и быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho

...Наконец, попробовал настроить LiveUpdate Administrator. В итоге, сервис загружает и публикует все необходимые обновления, SEPM успешно загружает с него контент (сервер обновлений конфигурировал в настройках SEPM), а вот серверы с SMS ни в какую не обновляются с внешнего сервера. Действовал так - создал в LUA файл конфигурации и подсунул его в директорию LiveUpdate на серверах SMS. Файл переименовывал по-разному (и 1.Settings.Hosts.LiveUpdate, и Settings.Default.LiveUpdate...). Кто-нибудь конфигурировал подобную схему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему бы Symantec не выкладывать обновления отдельным файликом для Proactive Threat Protection и Network Threat Protection, точно так же как для virus definitions. Что бы была комплексная защита точек, в которых, в данный момент даже интернета нет.

Для Проактивной защиты эти обновления будут доступны для скачивания в ближайшем будущем, что касается IPS сигнатур - то это вряд ли, тем более что на компьютерах без Интернета они не настолько важны, как на тех что к Интернету доступ имеют. Также не стоит забывать, что все клиенты могут обновляться через SEPM, так что достаточно чтобы у него был доступ к Интернету

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
yukho
yukho а какой SMS? 6 для Exchange? Зачем так усложнять, ведь в продуктах Symantec в GUI можно выбрать использование альтернативного источника обновлений?

Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Кирилл, да 6-ой, но что-то не могу найти в консоли где можно изменить сервер загрузки обновлений...Вообще, вероятно, надо поменять настройки в <System folder>\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Settings.LiveUpdate - один сервер таким образом получилось настроить, пока тестирую.

К сожалению в SMS 6.0 эти настройки из интерефейса недоступны, схему изменения сервера для обновлений для него я уточню.

И ещё, как Вы уже писали, сигнатуры для SMS выпускаются раз в день, тоесть расписание нужно настраивать на раз в 12 часов? Вообще, где-нибудь есть информация по рекомендуемым настройкам интервалов обновления продуктов Symantec?

Да, если Вы не активировали режим RapidRelease, то обновления выходят не реже чем один раз в 24 часа, но может быть и чаще. 12 часов это нормальный интервал. Через LUA можно настроить только стандартные обновления, RapidRelease работает только напрямую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • Зотов Тимур
      Здравствуйте. Мне помог тренинг http://games4business.ru/product/vedenie-peregovorov . Менеджеры стали более уверены в себе, не бояться отвечать на вопросы и не впадают в панику при отказе клиента, а наоборот пытаются сделать все чтоб он передумал.Компания Лаборатория Деловых Игр качественно и профессионально составляют различные тренинги, которые действительно помогают компаниям процветать и развиваться.
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×