Mr. Justice

Нужно ли проверять архивы антивирусным монитором?

В этой теме 16 сообщений

по опыту скажу, пользователь считает, что наличие монитора спасает от всех бед, именно монитор пользователи называют антивирусом и они не будут что-то ещё запускать, потому что лучше они будут считать, что тормозит компьютер чем тратить время на принудительную проверку сканером.. ЭТО В ГОЛОВАХ.

Согласен, но обычный пользователь не будет что-либо менять в настройках резидентного монитора, а они "по умолчанию" не предусматривают проверку архивов.

Такие настройки не снижают существенно уровень защиты, т.к., повторяю, вредоносный объект будет перехвачен при распаковке архива.

Давайте вспомним почему, в свое время многие пользователи "пересаживались" с антивируса Лаборатории Касперского на Dr. Web. Это происходило именно потому, что пользователи предпочитали комфортную работу высокому уровню безопасности, руководствуясь правилом: "не компьютер для антивируса, а антивирус для компьютера, безопасность - не самоцель, а лишь средство для защиты компьютера, которое должно быть оптимальным и т.д." У многих пользователей до сих пор антивирус Касперского ассоциируется с ужасными "тормозами" и некомфортной работой компьютера и доказать им что все изменилось в лучшую стророну не просто. Вот это дейстивтельно осталось в головах очень многих пользователей.

Добавлено спустя 5 минут 17 секунд:

4. Возможность автоматической отправки копий сомнительных объектов, обнаруженных эвристическим анализатором в лабораторию Eset для проверки реальности угрозы. Вероятно, что в одном из очередных обновлении антивирусных баз будет "присутствовать" необходимая сигнатура или будет устранена

неопределенность, возникшая врезультате работы эвристического анализатора.(Справедливости ради, следует отметить, что такая опция имеется и в некоторых других антивирусных продуктах - например, в Panda Platinum 2006)

Вот эта штука мне очень симпанизирует. Это очень круто для вендора, они без труда собирают данные о работе их продукта. Я даже думаю, что именно благодаря этого они и довели свою эвристику до такого хорошего уровня.

Я помню предлагал касперским сделать такое же, но их это не заинтересовало :(

Да и еще, у большинства "людей", я полагаю, включен резидентный монитор (не проверяющий архивы "по умолчанию"). Следовательно, вредоносный объект будет заблокирован (вылечен, удален и т.п.) при распаковке.

Если пользователь отключил монитор самостоятельно, то это уже его вина.

Mr. Justice, ваша позиция ясна, уверен многие с ней согласятся, но на мой взгляд все же архивы лучше проверять. Скачивая файл из инета нужно сразу знать, есть там вирус или нет (проврека не лету). Т.е. архивированный вредонос должен быть удален еще до попадания на диск в идеале. Каждый раз запускать сканер это очень неудобно, если это делать часто, то вообще много времени будет это отбирать.

За это в частности западные СМИ часто снижали оценки нашим отечественных антивирусам. В КАВ 2006, например, эта проблема решена.

Вы правы с той позицией, которую поддерживаю я согласятся многие, думаю, что подавляющее большинство. Практически на всех официальных форумах вендоров советуют не включать опцию провекри архивов "на лету". Кроме того, сами вендоры убеждают пользователей не делать этого, т.к. это излишняя мера, которая приводит к необоснованному росту потрбления ресурсов компьютера.

В продуктах Лаборатории Касперского версий 5.X, например, вообще отсутствует возможность проверки архивов (за исключением SFX) резидентым монитором даже при самых максимальных настройках, то есть проверить архивы "на лету" невозможно даже при всем своем желании. Лаборатория Касперского объясчняет это тем, что многие пользователи ранее необдуманно включали опцию проверки архивов, что приводило к проблемам, связанным с рациональным использованием ресурсов компьютера (зависание компьютера, замедление его работы).

см. здесь http://www.kaspersky.ru/faq?chapter=167972...p;qid=163086370

В Ваших и brokerа суждениях, несомненно, есть рациональное зерно. Вы правы, что в идеале вредоносный объект должен быть обезврежен до попадания в компьютер пользователя. Но по приведенным выше основаниям, считаю, что стремиться к его достижению не имеет смысла.

По поводу необходимости частых проверок скачанных файлов сканером "по требованию". Полагаю, что большинству пользователей вряд ли приходится это делать часто. Пользователи, довольно редко (а многие - никогда) скачивают что-либо из Интернета по собственному желанию. По умолчанию, естественно скачиваются временные файлы (Temporary Internet Files, cach4 и т.д.). Но они, в основном, не задерживаются долго в компьютере пользователя.

В любом случае проверка объектов, скачанных из Интернета, в большинстве случаев не занимает много времени.

Насчет западных СМИ. Не знал о таком отношении к нашим продуктам. Это выглядит, по меньшей мере странно, поскольку, практически во всех западных антивирусных решениях проверка архивов "по умолчанию" не предусмотрена.

P.S. Наша дискуссия постепенно перешла в разряд off topic. Может имеет смысл ее прекратить или перенести в другой раздел форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Грамотное вирье сажает на localhost в файле hosts

укажите адреса серверов обновления в виде IP.

Добавлено спустя 37 минут 26 секунд:

Mr. Justice

Понятие "тормозит" объективно устарело, надо указывать конкретные объекты, на которых происходит торможение.

Я тоже думаю, что надо оставить в покое архивы.. В данном случае я рассматриваю конкретные случаи, а не общие рекомендации и жалобы.

Добавлено спустя 13 минут 56 секунд:

SAV 10 делает такую проверку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Грамотное вирье сажает на localhost в файле hosts

укажите адреса серверов обновления в виде IP.

Добавлено спустя 37 минут 26 секунд:

Mr. Justice

Понятие "тормозит" объективно устарело, надо указывать конкретные объекты, на которых происходит торможение.

Я тоже думаю, что надо оставить в покое архивы.. В данном случае я рассматриваю конкретные случаи, а не общие рекомендации и жалобы.

Добавлено спустя 13 минут 56 секунд:

SAV 10 делает такую проверку.

Я использую понятие "тормозит" в абстрактном смысле, так же как и Вы.

Во многих случаях использование данного понятия в абстракном смысле вполне приемлимо.

В нашем с вами случае пользователь не будет разбираться на каких файлах и в какой ситуации замедляется работа компьютера. Он лишь почувствует дискомфорт, связанный с замедлением работы.

Самый простой способ решения указаной проблемы - отключение опции проверки архивов резидентым монитором. Можно, конечно, провести собственное тестирование, посмотреть на каких объектах наблюдается торможение, внести их в исключение (это можно делать далеко не всегда) и т.д. Но это трудоемкий и сложный вариант решения проблемы. подавляющее большинство пользователей этим заниматься не будут. Пользователь выберет достаточно надежный, проверенный и простой способ, который рекомендуют многие опытные пользователи и вендоры - отключение опции проверки архивов резидентным модулем.

P.S. Проблема, которую мы с Вами обсуждаем, уважаемый broker, требует отдельного рассмотрения. Эта проблема общего характера. Мы с Вами ушли в сторону от обсуждения основной темы данной ветки форума.

Если говорить о NOD 32, то опция проверки архивов резидентным модулем отсутствует, как и в KAV 5. X Personal (можно лишь, при желании, активировать проверку SFX). Это подтверждает мою мысль о нецелесообразности использования такой опции.

В модуле проверки интернет траффика (IMON) опция проверки архивов есть. Ее включение, кстати, не оказывает существенного влияния на потребления ресурсов компьютера. Таким образом возможность проверки архивов IMON NOD 32 (не путать с резидентым файловым модулем, который имеется практически во всех антивирусах) - исключение из общего правила, что подтверждает Вашу идею о необходимости учета конкрентных обстоятельств. Но эта ситуация - редкое исключение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

С архивами на рабочей станции все достаточно просто. Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив, зараженный файл будет пойман ...

А как быть с упаковщиками?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив

а если такой попытки нет, я уже описывал схему:

Закачивается архив и сразу помещается в область где:

1. Может быть найден, но не может быть удалён.

2. Может быть доступен всем желающим, в том числе и тем у кого плохо работает или вообще нет антивируса.

3. Может быть не найден и запущен самим на этом же компьютере.

Третий вариант возможен в случае, если отключен антивирус, но ситуацию исключить нельзя.

Второй вариант очень распространён в среде домовых сетей, где из-за скудности средства лицензионные антивирусы используются редко и возможно наличие антивируса, но отсутвие обновлений к нему, обновлений к операционке.. и т п.

В конечном итоге.. черви могут разжиться :)

В условиях больших компаний, возможны ситуации когда создаются файловые сервера (хранилища), где каждый пользователь имеет свою квоту.. Иногда хранилища создаются на отличной от вин платформе, под эту платформу сложно найти антивирус.. вот и получается.. Скачал архив, поместил в хранилище, ЗАБЫЛ.

Много писалось о рекомендациях вендоров..

Конечно надо спросить у вендоров, но надо трезво оценить ситуацию.

Рекомендация пишется для широкого круга пользователей, для разных конфигураций, для разных условий эксплуатации.

Антивирусы занимают не процент от ресурса, а часть его. Хотя это и экстенсивный путь развития, но иногда приходится подстраиваться и под антивирус.

ХОТЯ ЭТО И НЕ ПРАВИЛЬНО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С архивами на рабочей станции все достаточно просто. Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив, зараженный файл будет пойман ...

А как быть с упаковщиками?

Упакованные файлы должны проверяться монитором on access.

Многие вендоры (например, Dr. Web и Kaspersky Lab) предлагают именно такой вариант настроек резидентной защиты "по умолчанию".

Добавлено спустя 7 минут 37 секунд:

Антивирус перехватывает любую дисковую операцию и выполняет проверку, вследствие чего при попытке распаковать архив

а если такой попытки нет, я уже описывал схему:

Закачивается архив и сразу помещается в область где:

1. Может быть найден, но не может быть удалён.

2. Может быть доступен всем желающим, в том числе и тем у кого плохо работает или вообще нет антивируса.

3. Может быть не найден и запущен самим на этом же компьютере.

Третий вариант возможен в случае, если отключен антивирус, но ситуацию исключить нельзя.

Второй вариант очень распространён в среде домовых сетей, где из-за скудности средства лицензионные антивирусы используются редко и возможно наличие антивируса, но отсутвие обновлений к нему, обновлений к операционке.. и т п.

В конечном итоге.. черви могут разжиться :)

В условиях больших компаний, возможны ситуации когда создаются файловые сервера (хранилища), где каждый пользователь имеет свою квоту.. Иногда хранилища создаются на отличной от вин платформе, под эту платформу сложно найти антивирус.. вот и получается.. Скачал архив, поместил в хранилище, ЗАБЫЛ.

Много писалось о рекомендациях вендоров..

Конечно надо спросить у вендоров, но надо трезво оценить ситуацию.

Рекомендация пишется для широкого круга пользователей, для разных конфигураций, для разных условий эксплуатации.

Антивирусы занимают не процент от ресурса, а часть его. Хотя это и экстенсивный путь развития, но иногда приходится подстраиваться и под антивирус.

ХОТЯ ЭТО И НЕ ПРАВИЛЬНО :)

1. Если вирус найден в архиве, то он безопасен до того момента пока не будет распакован из архива и запущен. В процессе распаковки его "поймает" резидентный монитор. Если все-таки возникнет желание во что бы то ни стало вылечить/удалить архив, то можно воспользоваться советами, которые дают чуть ли не на каждом форуме, посвященном борьбе с вирусами и на официальных сайтах вендоров. Самые простые способы предложены, например, здесь http://www.kaspersky.ru/faq?chapter=167972...p;qid=145503322.

Если пользователь знает что такое Интернет и умеет им пользоваться, хотя бы на самом элементарном уровне, то он без труда найдет информацию о работе с архивами (если конечно ему это нужно). В противном случае, то есть если он это не сделает, к примеру, по причине недостатка знаний, времени и т.п., то ему боятся нечего - резиднтный монитор "не дремлет".

2. Если у пользователя нет антивируса - то это уже его вина. Если пользователь отключил резидентную защиту (например, по причине замедления работы компьютера вследствии проверки архивов резидентным моулем) - это тоже его вина. "Скудность средств" отдельных пользователей и пиратсво - это отдельная тема для беседы. В любом случае это не основание для того чтобы остальным пользователям включать проверку архивов монитором on access.

Если Вы считаете, что нужно почаще проявлять альтруистические наклонности, то есть более простой вариант - проверка файлов, скачанных из Интернет сканером on demand. Это займет, в большистве случаев, несколько секунд.

3. Будет "перехвачен" резидентным монитором (см. п. 1). Если резиднтный монитор отключен - см. п. 2.

Вендоры даеют рекомендации, расчитанные на подавляющее большинство пользователей.

В данном случае, полагаю, что вендоры трезво оценивают ситуацию. Их рекомендации основаны на большом опыте работы с клиентами-пользователями, и просто на здравом смысле.

Подстраиваться под антивирус? Не считаете ли Вы, что в этом случае мы меняем местами "цель" и "средство"? Хотя может быть Вы и правы, нужно учитывать специфику. Но то о чем Вы говорите, на мой взгляд - большая редкость...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Продолжая тему о проверке архивов и упакованных файлов резидентным монитором, отмечу, что в таких продуктах как Panda Titanium и Platinum (сканер on demand и монитор on access) и McAfee VirusScan (сканер on demand) не проводится различий между архивами и упакованными файлами. Обе категории объектов обозначаются собирательным термином "сжатые". Я думаю, что это не самый лучший вариант прдложенный пользователю. Архивы не должны проверяться резидентным монитором, а вот упакованные файлы лучше проверять. У пользователей Panda и McAfee нет возможности натсроить резидентную защиту в дифференцировано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
как вы считаете чем upx отличается от rar?

UPX - упаковщик, RAR - архиватор.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

давайте так, обозначим начальные условия:

1. Персональный компьютер.

2. Подключение к Интернет выделенное (любой вид dial-up)

3. Наличие современного антивируса.

4. Своевременное обновление антивирусных баз.

5. Периодические проверки сканером + по требованию.

6. Наличие постоянно включенного антивирусного монитора.

7. Грамотный пользователь.

Проверка архивов и sfx при работе с операциями файловой системы НЕ НУЖНА.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
давайте так, обозначим начальные условия:

1. Персональный компьютер.

2. Подключение к Интернет выделенное (любой вид dial-up)

3. Наличие современного антивируса.

4. Своевременное обновление антивирусных баз.

5. Периодические проверки сканером + по требованию.

6. Наличие постоянно включенного антивирусного монитора.

7. Грамотный пользователь.

Проверка архивов и sfx при работе с операциями файловой системы НЕ НУЖНА.

Все правильно. Именно это я и пытаюсь доказать уже не первый день.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да, только начальные условия являются идеальными и должны рассматриваться только в контексте обработки архивов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
да, только начальные условия являются идеальными и должны рассматриваться только в контексте обработки архивов.

Ну почему? Указанные Вами "начальные условия" как раз являются стандартными, за исключением разве что п.7 (ну и, может быть, п. 2). Точнее они должны быть именно такими. Это даже не условия, а своего рода минимальные требования, которые должнен соблюдать каждый пользователь (редкие исключение - в расчет не принимаю). Если пользователь их нарушает - это его вина.В этом случае, даже включение проверки архивов "на лету" не поможет.

P.S. Я бы не стал так сужать "сферу применения" приведенных Вами "начальных условий". Думаю, что они имеют универсальное значение (редкие исключения - не рассматриваю).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
стандартными
для чего?

Читаем внимательно Post Scriptum.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Читаем внимательно Post Scriptum.

для чего?

Я имел ввиду.. для защиты от вирусов пришедших в архивах? или для чего то ещё???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • ViktorFazz
      я себе недавно построил тоже)))
    • AM_Bot
      В статье рассказано о возможностях системы StaffCop Enterprise 4.1 в части аналитики поведения пользователей и выявления аномалий. StaffCop Enterprise — это специализированный продукт с функциями UEBA, DLP и SIEM. Он предназначен для решения комплекса задач по защите от утечек информации, расследования инцидентов внутри организации, контроля бизнес-процессов и мониторинга использования рабочего времени сотрудниками.   ВведениеСбор данныхСтатистический анализИнтеллектуальный анализ. Автоматический детектор аномалийПредупреждение и расследованиеДополнительные возможности StaffCopВыводы  ВведениеОдна из основных, самых серьезных угроз для бизнеса сегодня — это утечки конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний — инсайдеры. Инсайдером может стать абсолютно любой сотрудник: и молодой сисадмин, и сотрудница бухгалтерии. Мотивы у них могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж, личная выгода и многое другое.Традиционно для защиты от утечек применяются системы класса DLP. Но чем сложнее и изощреннее становятся методы атак, тем сложнее DLP-решениям контролировать потенциальные каналы утечек. Классический алгоритм выявления инсайдеров и предотвращения утечек (настроить правило контроля/блокировки — получить уведомление об утечке) работает уже не так эффективно: выявить утечку данных сложно и долго, если, например, «слив» произошел через разрешенные каналы (USB-носители, мессенджеры) и пользователь при этом имел санкционированный доступ к ресурсам.Одним из новых, но достаточно эффективных методов детектирования инсайдеров стал анализ поведения пользователей и выявление аномалий в их поведении. Подход подразумевает, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности. По классификации Gartner, этот класс решений называется User and Entity Behavior Analytics (UEBA). Это новый тренд, активно набирающий обороты на рынке информационной безопасности. Решения этого класса анализируют образцы поведения пользователей, применяя специализированные алгоритмы и статистический анализ для детектирования значительных аномалий в поведении, указывающих на потенциальные угрозы. Таким образом, UEBA призваны заблаговременно обнаружить и предупредить об отклонениях в поведении.StaffCop Enterprise, о котором мы подробно поговорим в этой статье, — это специализированный продукт с функциями UEBA, DLP и SIEM. Он помогает решать комплекс задач по предотвращению утечек информации, расследованию инцидентов, если таковые произошли, а также контролировать бизнес-процессы и то, как рабочее временя используется сотрудниками. Сбор данныхИнформационная безопасность складывается из двух взаимодополняющих частей: предупреждение и расследование инцидентов. Оба механизма работают быстро и эффективно благодаря архитектуре StaffCop: агенты на рабочих станциях собирают информацию (события), а вся обработка происходит на выделенном сервере.Каждый тип события имеет свой набор измерений, по которым события разных типов могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, а также собственные атрибуты характерных для данных событий. Например, события типа «почта» имеют дополнительные измерения — данные о приложении, атрибуты, специфичные для диалогов: направление (входящие/исходящие), отправитель, получатель, формат сообщения, канал общения, участники переписки. Рисунок 1. Контроль каналов утечки информации Типы событий в StaffCop Enterprise:время активности — данные о наличии активности;ввод с клавиатуры;вход/выход из системы;посещение сайтов;операции с файлами;сеть — события, связанные с сетевыми подключениями, содержат информацию об IP-адресе подключения и сокете;снимок экрана;снимок с веб-камеры;запись с микрофона;внешние диски — данные об операциях со съемными USB-накопителями;установка ПО — факты установок и деинсталляции программного обеспечения;буфер обмена;интернет-пейджер;почта;перехваченный файл;устройства — данные о подключении и отключении USB-устройств, в том числе тех, которые не являются накопителями;активность — данные, собранные при помощи модуля контроля присутствия на рабочем месте;системный лог — используется для хранения логов агента при отладке;печать документов. Статистический анализВ основе StaffCop Enterprise лежит технология комплексного многомерного анализа данных OLAP, которая позволяет строить многомерные отчеты «на лету» и обрабатывать огромные объемы данных за секунды.Давайте рассмотрим несколько примеров, как в StaffCop можно анализировать поведение пользователей и быстро выявлять их опасные действия на основе статистики с помощью конструктора отчетов, различных таблиц и графиков.Поиск и расследование аномалий на примере файловых операцийЗадача: проанализировать операции копирования файлов с участием съемных носителей. Найдем отклонения от нормального поведения и всплески активности, узнаем, кто это был, что и когда было скопировано.Самым наглядным способом будет построить линейный график количества событий копирования файлов на съемные носители.  Сделать это очень просто — указать интересующий интервал времени, в конструкторе отчетов ограничить набор данных по измерениям «операции копирования», «тип диска: Removable» и выбрать вид отображения «Линейный график». Рисунок 2. Линейный график количества событий копирования файлов Невооруженным взглядом видно значительное превышение фактов копирования файлов в один из дней. При нажатии на вершину графика можно перейти к списку всех операций копирования в этот день.Для детализации данных можно просто кликнуть на нужный узел графика. На картинке ниже мы «провалились» глубже и визуализировали полученные данные с помощью гистограммы, разбив в конструкторе данные по пользователям. Рисунок 3. Детализация данных: гистограмма Если вы предпочитаете числовые значения графическому представлению можно воспользоваться таблицами. Рисунок 4. Визуализация отчета: числовые значения Стоит отметить, что все графики и таблицы имеют собственный конструктор для быстрой детализации и уточнения данных. Рисунок 5. На тепловой диаграмме можно оценить интенсивность и время всех операций исследуемого пользователя В нашем случае пользователь непрерывно копировал файлы с 11:15 до 13:37. В просмотрщике событий легко догадаться, что это исходные коды одного из дистрибутивов Linux, которые были скопированы с жесткого диска на флэш-накопитель Kingston DataTraveler 2.0 USB Device. Рисунок 6. Детализация события в StaffCop Enterprise Таким образом можно быстро и эффективно находить нетипичную активность пользователей или программ. Такие действия применимы практически к любым видам событий.Опасные действия чаще всего возникают при спонтанной активизации:обращения к личной почте;сетевая активность приложений;подключение съемных USB-устройств: флэшек, телефонов и т. п.;использование принтера;активность во внерабочее время. Интеллектуальный анализ. Автоматический детектор аномалийДля того чтобы упростить работу сотрудника службы безопасности для аналитики действий пользователей и выявления отклонений в StaffCop реализован автоматический детектор аномалий. Он анализирует поведение пользователя за выбранный период времени и показывает отклонения от нормального поведения. Рисунок 7. Автоматический детектор аномалий в StaffCop Enterprise Например, каждый сотрудник ежедневно использует одни и те же приложения примерно одинаковое число раз. Если число операций многократно превышает стандартное значение, то StaffCop Enterprise выдает такое событие за аномальное поведение, что может являться потенциальной угрозой.Поиск и расследование аномалий на примере копирования в облакоРабочая инструкция офицера безопасности предприятия может включать различный набор инструкций. В этом примере одной из таких еженедельных рутинных задач является проверка фактов копирования файлов в облачные сервисы.Детектор аномалий позволяет в автоматическом режиме находить отклонения от стандартного поведения пользователей. Для того чтобы эта функция корректно работала, необходимо задать представительный промежуток времени, чтобы система смогла построить паттерны поведения и найти в них отклонения от нормы. Поэтому выбираем 30-дневный период. Рисунок 8. Выбор временного периода для запуска Детектора аномалий Чтобы запустить Детектор аномалий, необходимо нажать соответствующую опцию в выпадающем меню Отчеты. Рисунок 9. Запуск «Детектор аномалий» в StaffCop Enterprise В появившемся отчете находим, что пользователь Oksana в семь раз превысила свою же норму копирования файлов в облачный сервис Dropbox.com. Рисунок 10. Отчет по аномалиям в StaffCop Enterprise Простой комбинацией фильтров в Конструкторе располагаем данные в отчете таким образом, чтобы название считанного с жесткого диска файла появлялось в таблице операций рядом с именем передаваемого в облачный сервис файла. Рисунок 11. В отчете StaffCop Enterprise видно, кто, когда и какие файлы передавал за периметр сети На приведенном скриншоте видно, что в 12:58:28 12 сентября 2017 г. файл «Технико-коммерческое предложение StaffCop Enterprise.docx» был считан с жестокого диска компьютера пользователя Oksana, а в следующую секунду (12:58:29) этот же файл был передан в облачный сервис.Вывод: при помощи Детектора аномалий, встроенного в StaffCop Enterprise 4.1, возможно выявлять инциденты автоматически. Предупреждение и расследованиеДля предупреждения угроз StaffCop имеет емкую библиотеку встроенных фильтров и предоставляет широкие возможности для построения собственных: это может быть ключевая фраза, файл или любое другое событие на компьютере пользователя.Кроме того, в системе предусмотрены также исключающие фильтры (анти-фильтры) — можно исключить из выборки заведомо неинтересные события. Таким образом, возможно коррелировать и фильтровать любые события, содержащиеся в базе данных. Рисунок 12. Исключающие фильтры (анти-фильтры) в StaffCop Enterprise 4.1 Способ оповещения о сработавшем фильтре можно настроить в зависимости от срочности: отправкой сообщения на электронную почту офицера ИБ или уведомлением в панели администратора StaffCop. Дополнительные возможности StaffCopStaffCop Enterprise позволяет также легко контролировать дисциплину сотрудников, выявлять блокирующие факторы и расследовать причины их появления:Учет рабочего времени сотрудников в онлайн-режиме (табель учета рабочего времени, детализированные отчеты о рабочем времени каждого сотрудника).Контроль присутствия на рабочем месте.Снимки экрана.Просмотр удаленного рабочего стола и удаленное управление.Подключение к рабочему столу пользователя осуществляется прямо из консоли администратора в браузере, при желании можно захватить управление компьютером. Рисунок 13. Удаленное подключение к рабочему столу сотрудника компании ВыводыStaffCop Enterprise представляет собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за компьютерами, быстро и точно расследовать инциденты информационной безопасности внутри предприятия, а также решить широкий спектр задач, связанных с ИБ-аналитикой. С помощью StaffCop Enterprise можно контролировать критичные информационные ресурсы на предмет подозрительной активности и нетипичного поведения.Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удается обнаружить на ранней стадии, чем существенно сократить последствия. Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объем утраченной информации. Тепловые карты активности, графы взаимодействий сотрудников и движения информации, настраиваемые графики событий, предустановленные и пользовательские фильтры — все это помогает отследить любой сценарий поведения. Для анализа не нужно обладать специальными знаниями: достаточно понимать, что ищешь, и просто выбирать поля в форме.Таким образом, StaffCop Enterprise позволяет сократить время, требуемое как на обнаружение реальной угрозы, так и на дальнейшее расследование инцидентов с критичными данными. Читать далее
    • Valeron
      Кто делает ставки на футбол, посоветуйте букмекера? 
    • Valeron
      Нужно уметь работать на дому)
    • Valeron