Проактивная защита. Плюсы и... минусы - Страница 4 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
VladB

Проактивная защита. Плюсы и... минусы

Автор VladB, в Тесты и сравнения

Recommended Posts

Илья Рабинович    521

Илья Рабинович
Опубликовано
Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?Представим,что до этого правила составлены там средним провинутым,но не профи.

Такой термин как "задержала" в данном случае неприменим. Любая неэкспертная система не может выдавать вердикты.

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?

Ну, есть HIPS с "подшлифованными" к ним антивирусными сканерами. Но, ещё раз- HIPS ничего не сканируют. Это дело экспертных систем.

Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.Кстати,программа на русском?

Полное непонимание принципов работы превентивной защиты на основе контроля поведения. И да, версия на русском есть.

Забыл,что при инсталлировании прог на русском у меня вместо букв вопросы,поэтому бесполезно.

Локали нормально пропиши- и всё будет пучком.

Хватило бы вполне,если в документации можно на русском прочитать,что одна или другая кнопка означает,а также всплывающие окна что спрашивают.

Ничего не спрашивают, поскольку их там не вообще! Во второй версии будут (точнее, уже есть) всплывающие уведомительные окна, но и они ничего не спрашивают- только уведомляют о потенциально опасных событиях.

Пользуется DefenseWall'ом (в данном случае о ней разговор) среднепродвинутый пользователь и старательно составляет правила

Ну вот это сильно вряд ли, поскольку правила составляю я и они жёстко прошиты в драйвере (чтобы туда не лез никто). Поскольку программа предназначена для вообще непродвинутых пользователей, коих подавляющее большинство (среди моих знакомых- ситуация аналогична).

Ответить разок-десятый на кучу вопросов для создания правил не боюсь.

А кучи вопросов и не будет! Какой облом... :lol: У sandbox HIPS вопросов к пользователям вообще обычно не возникает, поскольку пользователи данных продуктов просто не знают на них ответы.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано

Теперь понял.Но мне это не мешает.

Локали нормально пропиши- и всё будет пучком.

Хорошо.Какие буквы и куда?

программа предназначена для вообще непродвинутых пользователей, коих подавляющее большинство

Как раз для меня.Известны какие-либо АВ,которым DefenseWall не помешает,если я его только для скана компа стартану и для апдейтов с максимально невключенными модулями,так как ради этого не охота деинсталлировать DefenseWall,перестартовать,инсталлировать АВ,перестартовать,скан,деин. АВ,перестарт,DefenseWall назад,перестарт.Надо же и убедиться,что защищён был.Если из требуемых лицензию что известно,конечно.Только если модуль скана по требованию включать.

версия на русском есть.

Можно выбрать язык в опциях?Или отдельная версия?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

2 Inkogn: в свете ваших последних реплик я просто рекомендую вам скачать DW (благо дистрибутив, как у всех HIPS, весьма незначителен по размеру) и самому посмотреть на продукт. Я могу вкратце описать, чего вам следует ждать от продукта; в случае чего Илья Рабинович меня поправит. DW - это HIPS типа Sandbox, в основе которой лежит разграничение доверенных и недоверенных приложений. Доверенные приложения никаким образом не ограничены в своих действиях; недоверенные же запускаются в виртуальной среде, где HIPS создает имитацию системы. Таким образом, недоверенное приложение просто не в состоянии вообще что-либо сделать с настоящей системой. Но имейте в виду, что вам нужно будет сознательно запускать приложение как недоверенное из контекстного меню. Автоматически приложение может быть запущено как недоверенное только в том случае, если вы определили как недоверенную ту папку, в которой оно находится. К примеру, вы можете задать недоверенной папку загрузок вашего менеджера закачек.

Добавлено спустя 5 минут 28 секунд:

И к слову: еще раз напоминаю вам, что системы проактивной защиты не конфликтуют с системами реактивной защиты.. ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано
системы проактивной защиты не конфликтуют с системами реактивной защиты..

Значит,могу КИС,благо лицензия ещё есть,дальше полноценно использовать,или некоторые модули не включать,или лучше сразу без них инсталлировать,что бы в одном месте не пытались 2 драйвера работать.Или другой АВ искать.Мне же нужно и гарантии некие,что АВ не покосит DefenseWall'a

DW - это HIPS типа Sandbox, в основе которой лежит разграничение доверенных и недоверенных приложений. ...К примеру, вы можете задать недоверенной папку загрузок вашего менеджера закачек.

Да,я вкурсе давно о том,то можно было прочитать.Если я все папки недоверенными сделаю,комп тормозит?Осуществлено,что новоинсталлированные приложения автоматом недоверенные становятся,даже если из доверенной папки в доверенную инсталлирутся и пользователь не подтвердил доверенность этого новоинсталлируемого приложеня?Или просто если я что-то упустил,то сачала (...Автоматически приложение может быть запущено как недоверенное только в том случае,...) приложение становится доверенным?Да и английский не для меня.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

KIS может при установке DW сообщить о Trojan.Generic - следует разрешить. По умолчанию DW признает все приложения доверенными, т.е. если вы никак не определили приложение, оно будет считаться доверенным. Ни в коем случае не определяйте недоверенными системный диск и системные папки! Также имейте в виду, что, чтобы иметь возможность сохранять на диск результаты работы программы, она должна быть доверенной, иначе все исчезнет с перезагрузкой.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано
...Внук придёт, софт поставит, в списки не внесёт, бабка скачает зловреда, он ей поест систему...
Эта проблема решается значительно проще. Постоянным мониторингом устанавливаемого софта на предмет нуждающегося в автоматическом добавлении в список. Хорошо, сделаем- проблем нет!

Уже позади?

Ладно,скачивается недоверенным ИЕ исполняемый файл,сохраняется на десктоп и запускается.Теперь не знаю,где десктоп,в недоверенных?Я бы попробовал сам,но не на английском,так как может стать ещё интереснее и придётся очень долго писать в переводчика.Где линк на русский DefenseWall?Ладно,можно на английском,но мне не просто некую прогу поставить охота,а и теорию (для дилетанта) знать.В общих чертах звучит всё хорошо,к этому привычно.И возможно ли что сделать,если при установке русского DefenseWall на комп с нерусским ХР будут вместо русских букв вопросы?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
Хорошо.Какие буквы и куда?

Какие такие буквы? Локали- это не буквы, однако!

Как раз для меня.Известны какие-либо АВ,которым DefenseWall не помешает,если я его только для скана компа стартану и для апдейтов с максимально невключенными модулями,так как ради этого не охота деинсталлировать DefenseWall,перестартовать,инсталлировать АВ,перестартовать,скан,деин. АВ,перестарт,DefenseWall назад,перестарт.Надо же и убедиться,что защищён был.Если из требуемых лицензию что известно,конечно.Только если модуль скана по требованию включать.

Все известные проблемы с антивирусами уже давным-давно решены.

Можно выбрать язык в опциях?Или отдельная версия?

Отдельная версия из-за скина.

Доверенные приложения никаким образом не ограничены в своих действиях; недоверенные же запускаются в виртуальной среде, где HIPS создает имитацию системы.

Не имитацию, а разграничение действий на основе правил + немного виртуализации в реестре. Имитацию системы создают полноценные большие системы hardware virtualization типа VMWare.

Но имейте в виду, что вам нужно будет сознательно запускать приложение как недоверенное из контекстного меню. Автоматически приложение может быть запущено как недоверенное только в том случае, если вы определили как недоверенную ту папку, в которой оно находится.

И снове неправильно. Программа автоматически определяет более 30 приложений (браузер, почтовики и т.д.) при установке и добавляет в список недоверенных. И не обязательно добавлять папку- можно добавить и отдельные приложения без проблем.

Если я все папки недоверенными сделаю,комп тормозит

Нет. Просто не запуститься :).

Также имейте в виду, что, чтобы иметь возможность сохранять на диск результаты работы программы, она должна быть доверенной, иначе все исчезнет с перезагрузкой.

:shock: Да меня бы уже давно побили за такие дела- без спроса удалять пользовательские файлы! Ничего никуда не удаляется- ни при перезагрузке, ни без неё.

Уже позади?

Да, в версии 2.0.

Ладно,скачивается недоверенным ИЕ исполняемый файл,сохраняется на десктоп и запускается.Теперь не знаю,где десктоп,в недоверенных?

Десктоп (то есть Проводник)- в доверенных, исполняемый файл- в списке недоверенных (при нормальном режиме работы).

А линк- наверху сайта посмотри, там русский флажок (махонький такой, но другого нет- за что нашёл, за то и продаю, а сам рисовать не умею).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано

Что дальше?Лицензионные условия не прочесть,но это ладно,кто уж читает.DW2.0 по русски есть пробовать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано
Не имитацию, а разграничение действий на основе правил + немного виртуализации в реестре. Имитацию системы создают полноценные большие системы hardware virtualization типа VMWare.

И снове неправильно. Программа автоматически определяет более 30 приложений (браузер, почтовики и т.д.) при установке и добавляет в список недоверенных. И не обязательно добавлять папку- можно добавить и отдельные приложения без проблем.

Это частности, я же мыслю глобально :D:D:D

:shock: Да меня бы уже давно побили за такие дела- без спроса удалять пользовательские файлы! Ничего никуда не удаляется- ни при перезагрузке, ни без неё.

То есть результаты работы недоверенных приложений хранятся на диске? А где? :roll:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
То есть результаты работы недоверенных приложений хранятся на диске? А где?

Там, где их и сохранили (при условии что эьто не нарушает провил для создания и модификации уже существующих файлов). Те, что имеют контролируемые расширения, добавляютс яавтоматом в список недоверенных (при стандартном режиме работы).

Добавлено спустя 9 минут 40 секунд:

Что дальше?Лицензионные условия не прочесть,но это ладно,кто уж читает.DW2.0 по русски есть пробовать?

Я же писал уже два раза: измени в локали язык на русский- и будет тебе счастье! Но ведь нет! Ежики продолжали колоться, но ели кактус...

Конечно, беты под русский у меня нет! Писать и поддерживать две беты одновременно- это уже слишком, мне и одной хватает!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано
Я же писал уже два раза: измени в локали язык на русский- и будет тебе счастье

Ещё как.Теперь я знаю,что эта настройка делает.Если бы был путь описан,понял бы сразу,а то думал,что что в Registry написать.Не среднепродвинутый не понял бы,а кому объяснять?

Не все буквы влазиют в кнопки.Потому,что из-за величины экрана приходится ставить разрешение на 120DPI,вместо стандартных 96,иначе всё мелко.Возможно что с программной стороны учесть?

Идея с защищёнными файлами/папками есть супер.Какие ограничения ожидать,если Explorer в недоверенные добавить?

В "Откате изменений" нужна кнопка,типа стирающей всё из списка,только стирающая с диска все выбранные в "откате..." файлы при одном переспрашивании/подтверждении.Иначе очень долго каждый отдельный файл подтверждать.

Кроме того,нигде в документации не написано,что изменения в настройках возможны только с админправами.У этого есть плюсы:пользователи с ограниченными правами не могут там ничего изменить,а то бы была необходимость паролем доступ закрывать на прогу,как у КАВа.Наверно,это было не умышленно,так как есть недостатки,я думаю,связанные с этим,по "замерзанию".Так же любой напугается,выключив прогу с огранаккоунта Task-Manager'ом.Кто будет смотреть,что недоверенные отслеживаются (?),во всякм случае возникающее от них оказывается в "недоверенных",если прогу после запустить.Есть ещё одна необходимость для удобности использования,про которую как-нибудь позже,и кое-что по документации.

Была ещё стоп-ошибка по dwall.sys.На одном ограниченном аккоунте она всегда воспроизводилась,на другом нет.Буквы и нули с адресом записал,в них ничего не понимаю.Что там в 2.0 переделывать,кроме несколько кнопок или сообщений,контекста, и это на русском написать?Разрываться всё равно на бету и теперь на релиз,который у меня.Лучше уж на бету.

Папка в "закрытые файлы" добавляется только через котекст-меню правой кнопки.Непосредственно через окошко программы нет,так не появляется там и не становится защищённой.Через контекст правой - да.Всё это мелочи,в идеале надо на свежем XP пробовать.

Capture01.03.2007.gif

post-84-1172849846.gif

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
Не все буквы влазиют в кнопки.Потому,что из-за величины экрана приходится ставить разрешение на 120DPI,вместо стандартных 96,иначе всё мелко.Возможно что с программной стороны учесть?

У меня самого шрифт 120dpi. Проблем с текстом в кнопках нет.

Идея с защищёнными файлами/папками есть супер.Какие ограничения ожидать,если Explorer в недоверенные добавить?

Плохо будет. :)

В "Откате изменений" нужна кнопка,типа стирающей всё из списка,только стирающая с диска все выбранные в "откате..." файлы при одном переспрашивании/подтверждении.Иначе очень долго каждый отдельный файл подтверждать.

Уже сделано в 2.0.

Кроме того,нигде в документации не написано,что изменения в настройках возможны только с админправами.У этого есть плюсы:пользователи с ограниченными правами не могут там ничего изменить,а то бы была необходимость паролем доступ закрывать на прогу,как у КАВа.Наверно,это было не умышленно,так как есть недостатки,я думаю,связанные с этим,по "замерзанию".Так же любой напугается,выключив прогу с огранаккоунта Task-Manager'ом.Кто будет смотреть,что недоверенные отслеживаются (?),во всякм случае возникающее от них оказывается в "недоверенных",если прогу после запустить.Есть ещё одна необходимость для удобности использования,про которую как-нибудь позже,и кое-что по документации.

Управление под ограниченными правами реализовано в 2.0.

Была ещё стоп-ошибка по dwall.sys.На одном ограниченном аккоунте она всегда воспроизводилась,на другом нет.Буквы и нули с адресом записал,в них ничего не понимаю.Что там в 2.0 переделывать,кроме несколько кнопок или сообщений,контекста, и это на русском написать?Разрываться всё равно на бету и теперь на релиз,который у меня.Лучше уж на бету.

Шли минидамп. Это .dmp - файл в директории %windir%Minidump

Папка в "закрытые файлы" добавляется только через котекст-меню правой кнопки.Непосредственно через окошко программы нет,так не появляется там и не становится защищённой.Через контекст правой - да.Всё это мелочи,в идеале надо на свежем XP пробовать.

Под какими правами запускается GUI?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано
У меня самого шрифт 120dpi. Проблем с текстом в кнопках нет.

Если меняю на 96,то всё становится правильно,попробовано,на 120 опять не помещается.Может,графиккарта?

Управление под ограниченными правами реализовано в 2.0.

Защищено от изменения настроек всеми,кому любопытно?

Под какими правами запускается GUI?

Старуешь комп,потом появляется экран с выбором пользователя,выбираешь кого,загружается,появляется DW с напоминанием и кнопкой "пробовать".С правами пользователя.Так же и в Task-Manager'e,defensewall.exe с правами пользователя и под его именем.Даже если на кнопку "пробовать" не жмёшь,прога функционирует.Что такое GUI,если не угадал?

Шли минидамп. Это .dmp - файл в директории %windir%Minidump

Нету.Потому,что "сохранять дебугинформацию" отключил вообще?Но теперь на полную инфу включил.Вопроизводить ошибку,честно говоря,не буду,так как уговорился 2.0 пробовать.Сейчас переинсталлирую.Надеюсь,что документацию можно мышкой копировать,что бы в переводчика внести,а не вручную перепечатывать.

Та стоп-ошибка происходила из-за MSN-Messenger,внесённого в недоверенного.Когда вынес оттуда,перестало и постоянно только на одном аккоунте,когда MSN там в инет выйдет.Теперь уже не помню,в каком огранаккоунте *.exe'шка подозрительная была запущена и принесла,как я думаю,того найденного трояна.Наверно,только им не ограничилось.MSN в доверенных мне не пойдёт,в скором думаю Виндовса переставлять.

Как скачать DW2.0?Там по линку только 1.74

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Inkogn    0

Inkogn
Опубликовано

DW2.0

К картинке 1. Не могу ICQLite передвинуть выше,куда ни нажимаю.

К 2. Как этот процесс доверенной .ехе сделать доверенным?Жал в контексте правой "стартовать как доверенный",но он опять туда "сбился".

С 10 по 15 идёт речь о кнопках справа внизу при увеличении.

Стоп-ошибка записана,уже не dwall.sys,но выносиш MSN из недоверенных,всё в порядке.512 MB.Переделать на запись только кернеля,или так пойдёт на будущее?Слать на info@**** support@****?По английски не могу.

15.gif

14.gif

13.gif

12.gif

11.gif

10.gif

2.gif

1.gif

post-84-1172937019.gif

post-1-1172937019.gif

post-1-1172937020.gif

post-1-1172937021.gif

post-1-1172937022.gif

post-1-1172937023.gif

post-1-1172937024.gif

post-1-1172937025.gif

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Илья Рабинович    521

Илья Рабинович
Опубликовано
DW2.0

К картинке 1. Не могу ICQLite передвинуть выше,куда ни нажимаю.

К 2. Как этот процесс доверенной .ехе сделать доверенным?Жал в контексте правой "стартовать как доверенный",но он опять туда "сбился".

С 10 по 15 идёт речь о кнопках справа внизу при увеличении.

Стоп-ошибка записана,уже не dwall.sys,но выносиш MSN из недоверенных,всё в порядке.512 MB.Переделать на запись только кернеля,или так пойдёт на будущее?Слать на info@**** support@****?По английски не могу.

1. Так, понятно. Элементы диалога поплыли. Это под 96dpi?

2. Какой именно процесс? Что пишется в логе?

3. С MSN-ом под NTFS я уже разобрался- двойное освобождение памяти в обработчике, ничего слать не надо. В следующей бете будет опубликовано.

4. В настройках- сделать не полный дамп памяти, а минидамп (это 64 килобайта будет в дампе).

5. Слать мне можно на support@ и на русском. Но можно и на английском если что :lol:

6. Не стоит захлямлять этот форум отчётами об ошибках- за сим есть мой форум поддержки (правда, он на английском) и мыло.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Andrey Novikoff    0

Andrey Novikoff
Опубликовано

На самом деле Вы подняли очень важный вопрос. Мое мнение таково - Desktop Anti-Virus делает плохую проактивность. Фактически он пытается запустить вирус в рабочей системе, потом пытается делать некий "откат" и т.д. Все это ведет к тому, что проактивностью назвать это очень тяжело. Я бы со своей стороны предложил Вам ознакомиться с лучшим на мой взгляд продуктом для проактивной фильтрации контента, зовут его eSafe (www.aladdin.com). В нашей организации стоит такой шлюз, который делает реальную проактивность и я к примеру всем доволен. Вот такие дела. Всем удачи.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dr.Golova    55

Dr.Golova
Опубликовано

> зовут его eSafe (www.aladdin.com)

Хи-хи, CheckPoint Solution, а чьим движком пользуется чекпоинт, я думаю вы знаете, это даже по именам малвар видно. То что "я к примеру всем доволен", это вполне естественно - никто особо не жалуется :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitry Perets    30

Dmitry Perets
Опубликовано
> зовут его eSafe (www.aladdin.com)

Хи-хи, CheckPoint Solution, а чьим движком пользуется чекпоинт, я думаю вы знаете, это даже по именам малвар видно. То что "я к примеру всем доволен", это вполне естественно - никто особо не жалуется :)

А какой именно движок там? Т.е. это корпоративная проактивка? Что-то вроде BitHunt? "Родные" продукты ЛК на этом движке имеются?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки https://www.comss.ru/page.php?id=18618
    • AM_Bot
      Обзор CrossTech Container Security 3.0: решение для защиты контейнерной инфраструктуры

      От AM_Bot · Опубликовано

      Вендор Crosstech Solutions Group выпустил решение для защиты контейнерной инфраструктуры Crosstech Container Security (CTCS). Оно обеспечивает безопасность контейнерных сред: от сканирования образов до контроля запуска рабочих нагрузок и реагирования на инциденты в средах выполнения.      ВведениеФункциональные возможности Crosstech Container Security2.1. Анализ и контроль безопасности образов2.2. Контроль запуска контейнеров2.3. Безопасность в средах выполнения (Runtime Security)2.4. Безопасность окружения2.5. Внешние интеграцииАрхитектура Crosstech Container Security3.1. Основные компоненты Crosstech Container SecurityСистемные требования и лицензирование Crosstech Container Security4.1. Лицензирование4.2. Требования к аппаратной части4.3. Требования к программной части4.4. Процесс установкиСценарии использования5.1. Сценарий №1. Сканирование образов5.2. Сценарий №2. Политики безопасности образов контейнеров5.3. Сценарий №3. Контроль запуска контейнеров5.4. Сценарий №4. Мониторинг безопасности сред выполненияВыводыВведениеРоссийский рынок контейнерных разработок постоянно растёт. В 2024 году затраты на ПО для контейнеризации достигли 3 млрд рублей — это на 66 % больше, чем в 2023. Контейнерные технологии ускоряют процессы разработки, экономят ресурсы компаний, поэтому их всё чаще внедряют в свою работу ИТ-департаменты.Вместе с ростом масштабов контейнеризации увеличивается и поверхность атак: уязвимости в образах, ошибки конфигураций, несанкционированные действия внутри контейнеров. Crosstech Container Security помогает компаниям выстраивать комплексную систему защиты контейнерной инфраструктуры.Функциональные возможности Crosstech Container SecurityCrosstech Container Security объединяет функции анализа, мониторинга и управления безопасностью контейнерных сред. Решение охватывает весь жизненный цикл контейнера — от момента его создания до удаления. Продукт помогает DevSecOps-командам выявлять уязвимости, проверять конфигурации, контролировать сетевую активность и реагировать на инциденты в режиме реального времени.Анализ и контроль безопасности образовCrosstech Container Security интегрируется с реестрами хранения образов и позволяет проводить их сканирование как в ручном режиме, так и по расписанию. В результате анализа система обнаруживает дефекты в образах: уязвимости, неправильные конфигурации, секреты, а также фиксирует используемые в образах OSS-лицензии для пакетов и библиотек. По каждому найденному дефекту предоставляется детальная информация.CTCS поддерживает экспорт SBOM в форматах SPDX и CycloneDx, что упрощает аудит и обмен данными с другими решениями. Интерфейс продукта предоставляет визуализацию образов с маппингом (сопоставлением данных) на дефекты безопасности. CTCS также осуществляет дискаверинг (обнаружение) образов, располагающихся в защищаемых кластерах и на standalone-хостах.Для автоматизации контроля доступны настраиваемые политики безопасности образов, разделяемые по критериям:наличие уязвимостей в образах контейнеров выше заданной оценки критичности;наличие уязвимостей в образах контейнеров согласно заданным идентификаторам;обнаружение root в Dockerfile;возможность указания перечня образов, на которые будет распространяться созданная политика безопасности образов.При нарушении хотя бы одного из критериев политики администратор получает уведомление в интерфейсе CTCS и может оперативно принять меры: заблокировать образ, исключить его из деплоя или добавить в список исключений с указанием причины. Такой подход обеспечивает прозрачность процессов и повышает уровень доверия к среде разработки и эксплуатации.Контроль запуска контейнеровРешение обеспечивает контроль запуска контейнеров как в средах Kubernetes, так и на отдельных standalone-хостах в соответствии с заданными политиками безопасности. Это позволяет предотвращать запуск рабочих нагрузок, не соответствующих требованиям безопасности компании, ещё на этапе их инициализации.В зависимости от настроек администратор может выбрать режим реагирования: блокирование или оповещение о нарушении политики безопасности. Информация обо всех срабатываниях отображается в интерфейсе системы, обеспечивая прозрачность и возможность оперативного реагирования.Политики безопасности включают следующие критерии:попытка запуска контейнеров на базе образов, не соответствующих политикам безопасности;попытка запуска контейнеров из-под пользователя root;попытка запуска контейнеров с повышенными привилегиями ядра Linux;контроль запуска контейнеров на базе образов, не прошедших сканирование CTCS.Дополнительно решение поддерживает интеграцию с OPA Gatekeeper и имеет возможность создания и импорта политик через интерфейс CTCS.Безопасность в средах выполнения (Runtime Security)CTCS использует возможности инструмента Tetragon для создания и применения кастомных политик безопасности, позволяющих контролировать сетевые взаимодействия внутри контейнеров. Администраторы могут выбрать набор кластеров для распространения политик, что обеспечивает гибкость при внедрении требований безопасности.Вся информация о срабатываниях политик фиксируется в интерфейсе CTCS, предоставляя специалистам по информационной безопасности прозрачную картину активности в средах выполнения и возможность оперативного реагирования на инциденты.Безопасность окруженияРешение выполняет сканирование кластеров на соответствие стандартам конфигурирования CIS Kubernetes Benchmarks. Аналогично система проводит проверку standalone-хостов на соответствие CIS Docker Benchmarks. Дополнительно CTCS поддерживает сканирование конфигурационных файлов, расположенных в директориях нод кластеров, выполняя роль сканера на основе IaC (Infrastructure as Code, управление инфраструктурой через использование кода).Внешние интеграцииРешение поддерживает интеграцию с реестрами хранения образов, что обеспечивает доступ к актуальным данным для анализа и контроля безопасности контейнеров. Также CTCS поддерживает передачу журналов событий в системы сбора по протоколу Syslog для их централизованного хранения и обработки.Доступна интеграция с системой идентификации, управления доступом Keycloak с поддержкой OAuth и доменными службами каталогов. Это позволяет пользователям авторизовываться в интерфейсе системы через доменные учётные записи. Рисунок 1. Планы по развитию Crosstech Container Security Архитектура Crosstech Container SecurityАрхитектура CTCS реализована в формате однонаправленных соединений со стороны ядра системы в сторону агентов защиты (протокол TCP/IP), располагающихся в защищаемых кластерах. Такой подход позволяет использовать инстанс ядра в единственном экземпляре для инфраструктур, сегментированных по уровням доверия. Рисунок 2. Логическая архитектура Crosstech Container Security Основные компоненты Crosstech Container SecurityCTCS состоит из 3 основных компонентов:CTCS Core — группа микросервисов, отвечающая за управление системой: хранение данных, настроек, создание политик безопасности, бизнес-логика продукта, а также взаимодействие со смежными системами.CTCS Agent-Manager: модуль агент-менеджера реализован в формате оператора Kubernetes с целью контроля за установкой и изменениями кастомных ресурсов (custom resource definition, CRD), а также управления и передачи информации агент-воркерам, устанавливаемым на каждую защищаемую ноду в формате DaemonSet.CTCS Scanner — модуль, сканирующий образы контейнеров на уязвимости, неправильные конфигурации, конфиденциальные данные, информацию по OSS-лицензиям для пакетов и библиотек из состава образа, а также сканирующий кластеры на соответствие стандартам конфигурирования.Системные требования и лицензирование Crosstech Container SecurityПеред выбором модели лицензирования заказчикам рекомендуется оценить масштаб защищаемой инфраструктуры и нагрузку на кластеры. Crosstech Container Security предусматривает гибкий подход: ядро и агенты могут разворачиваться в разных сегментах сети, включая тестовые и продуктивные среды. Такой принцип позволяет оптимально распределять ресурсы и лицензии, избегая избыточных затрат.ЛицензированиеCTCS лицензируется по количеству защищаемых нод, на которые распространяются агенты защиты.В продукте реализовано гибкое лицензирование, которое позволяет заказчикам самостоятельно выбирать перечень защищаемых объектов. При достижении лимита по количеству лицензий, предусмотренных договором, администратор может отключить часть текущих объектов защиты и переназначить лицензии на новые кластеры и ноды. Рисунок 3. Включение/выключение агентов защиты Рисунок 4. Лицензии CTCS На странице лицензирования доступна подробная информация о параметрах действующей лицензии. Пользователь видит:количество оставшихся дней действия лицензии;количество нод, предусмотренных лицензией;актуальные данные о числе используемых нод в рамках лицензии;сведения о типе лицензии;информация о поставщике;информация о владельце лицензии.Рисунок 5. Страница «Лицензирование» Требования к аппаратной частиКластер, на котором производится установка CTCS, должен соответствовать минимальным характеристикам, приведённым ниже. Для определения значений millicpu (единицы времени процессора, эквивалентной тысячной части работы, которую может выполнить одно ядро CPU) рекомендуется воспользоваться документацией Kubernetes.Кластер, на который будет установлен helm-чарт ядра (без учёта сканера) должен иметь характеристики не ниже 8190 millicpu, 7410 MiB RAM.Для каждого экземпляра сканера: 3 CPU, 6 GB RAM, при добавлении дополнительных экземпляров значения увеличиваются пропорционально.В случае использования большего количества реплик значения пропорционально умножаются на их число. По умолчанию в чарте допускается до 6 реплик, что требует 18 CPU, 36 GB RAM.Каждый кластер для развёртывания чарт-агента должен иметь 2 CPU, 8 GB RAM.Необходимый минимум для каждой используемой СУБД PostgreSQL: 4 CPU, 8 GB RAM, 100 GB.Приведённые требования указаны для усреднённой конфигурации и могут быть изменены в зависимости от количества одновременных сканирований образов, генерируемых событий, деплоев, пространств имён (namespaces) и подов.Требования к программной частиДля корректной интеграции и работы приложение CTCS должно быть развёрнуто в кластере Kubernetes. При настройке системы в конфигурационном файле helm-чарта должны быть настроены необходимые параметры.Поддерживаемые контейнерные среды CRI (container runtime interface): containerd и docker.В момент выполнения инструкции на хосте администратора должны быть установлены следующие утилиты для выполнения установки:tar;helm;kubectl.Необходимые сервисы в инфраструктуре:PostgreSQL: рекомендуется размещать базу данных для хранения логов на отдельном инстансе от основной БД, чтобы избежать падения производительности основных операций при большом объёме логируемых событий;Keycloak (опционально, имеется возможность поставки в составе дистрибутива);Vault (опционально, имеется возможность использования стандартного объекта Kubernetes Secret).Требования к операционной системе и ядру:рекомендуется использовать ОС с версией ядра 5.4 или выше для обеспечения поддержки Tetragon;в ядре должна быть включена функция BTF;должны быть активированы модули eBPF и cgroup, а также корректным образом настроены или отключены модули безопасности Linux (LSM), контролирующие запуск eBPF-программ (в соответствии с официальной документацией Tetragon).Требования к версиям Kubernetes:центральная управляющая часть кластера – не ниже версии 1.23;дочерние кластеры – версия 1.23 или выше.Дополнительные требования:В кластере Kubernetes должен быть установлен, подключён и настроен storage class, в котором будет минимум 10 GB свободного места.В master-кластер должен быть установлен External Secrets (опционально).В дочерние кластеры должен быть установлен External Secrets (опционально).Во всех кластерах, где развёртывается ядро и агенты CTCS, должен быть установлен ingress-контроллер.Совокупность этих требований обеспечивает стабильную работу системы и корректное взаимодействие всех модулей CTCS. При соблюдении указанных параметров производительность решения остаётся предсказуемой даже при высокой интенсивности сканирований и большом количестве событий безопасности. Такой подход гарантирует надёжность, масштабируемость и устойчивость контейнерной инфраструктуры.Процесс установкиДля развёртывания CTCS вендор предоставляет архив, содержащий helm-чарты и образы системных контейнеров. При необходимости может быть предоставлена учётная запись для выгрузки дистрибутивов из репозиториев вендора напрямую.Сценарии использованияCrosstech Container Security закрывает ключевые задачи обеспечения безопасности контейнерных платформ — от анализа уязвимостей до защиты на уровне среды выполнения. Решение органично интегрируется в процессы DevSecOps и помогает компаниям повысить устойчивость инфраструктуры к современным киберугрозам без потери скорости разработки.Сценарий №1. Сканирование образовCTCS позволяет выполнять сканирование образов контейнеров, хранящихся как в интегрированных реестрах образов, так и локально в защищаемых кластерах. Рисунок 6. Подключённые реестры После интеграции с реестрами образов на вкладке «Образы» – «Реестры» отображается подключённый реестр и информация о хранящихся в нём образах. Реализовано в формате иерархии:Реестры.Название образа и количество его версий (тегов).Название образа и его версии.Карточка конкретного образа.Рисунок 7. Образ и список его версий Рисунок 8. Карточка образа На каждом уровне иерархии есть возможность запуска сканирования по требованию с выбором типа дефектов, которые будут учитываться в процессе сканирования. Дополнительно предоставляется общая информация об образе, данные о его соответствии установленным политикам, сведения о слоях образов с маппингом на обнаруженные дефекты. Рисунок 9. Слои образа На странице интеграций с реестрами в настройках доступно выставление расписания для проведения автоматизированного сканирования. Рисунок 10. Сканирование по расписанию Для работы с образами, обнаруженными локально в защищаемых кластерах, доступна отдельная вкладка «Образы» – «Локальные образы». Рисунок 11. Таблица локальных образов При запуске процесса сканирования доступен выбор ноды, на которой он будет проводиться. Если обнаруженный образ находится в интегрированном реестре, сканирование будет приоритетно выполняться на стороне ядра системы в рамках интеграции с реестром. Рисунок 12. Выбор нода для проведения сканирования Сценарий №2. Политики безопасности образов контейнеровВ рамках Crosstech Container Security реализовано создание политик безопасности для образов контейнеров. После их настройки система автоматически проверяет все известные образы на соответствие заданным критериям. По результатам проверки на карточке каждого образа отображается информация о соответствии или несоответствии политикам безопасности (Рисунок 7). Если образ нарушает несколько политик безопасности одновременно, в карточке отображается, какие именно политики безопасности были нарушены. Рисунок 13. Создание политики безопасности образов Сценарий №3. Контроль запуска контейнеровВ CTCS доступна интеграция с OPA Gatekeeper, обеспечивающая валидацию контейнерных деплоев и реагирование в соответствии с заданными политиками безопасности.При настройке политик безопасности доступен выбор режима реагирования — оповещение либо блокировка — а также определение перечня критериев безопасности, по которым будет осуществляться контроль. Рисунок 14. Таблица политик валидации и контроля запусков Политики безопасности могут создаваться по выделенным критериям (Рисунок 13) или импортироваться в виде кастомных политик (Рисунок 14). Рисунок 15. Создание политики валидации и контроля запусков Рисунок 16. Импорт кастомных политик безопасности Результаты срабатывания политик доступны в интерфейсе системы, что позволяет оперативно анализировать инциденты и корректировать настройки безопасности. Рисунок 17. Срабатывание политик валидации и контроля запусков Сценарий №4. Мониторинг безопасности сред выполненияВ текущей версии реализован мониторинг безопасности сред выполнения на базе Tetragon, что позволяет контролировать эксплуатацию рабочих нагрузок.В CTCS доступна форма для создания или импорта готовых политик безопасности с возможностью выбора области применения. Рисунок 18. Создание политики среды выполнения При срабатывании политик система отображает перечень событий в формате таблицы. Для каждого события можно перейти в режим детального просмотра, где отображается его идентификатор, дата и время создания, короткое описание и содержание в формате json. Рисунок 19. Событие срабатывания политики среды выполнения ВыводыАнализ решения Crosstech Container Security показал, что в версии 3.0.0 продукт предоставляет широкие функциональные возможности для защиты контейнерной инфраструктуры: от обеспечения безопасности образов контейнеров до контроля запуска и реагирования на нелегитимные процессы в средах выполнения в соответствии с политиками безопасности. CTCS также предоставляет инструменты для проведения сканирований защищаемых кластеров на соответствие стандартам конфигурирования, что повышает уровень безопасности контейнерной инфраструктуры.Достоинства:Архитектура. Благодаря однонаправленным соединениям со стороны ядра системы в сторону агентов защиты обеспечивается соответствие требованиям заказчиков, которые используют «Zero Trust»-модель на уровне сегментов инфраструктуры.Широкая площадь покрытия. CTCS обеспечивает контроль запуска контейнеров не только в рамках оркестратора Kubernetes, но и на отдельных хостах контейнеризации за счёт использования standalone-агентов.Гибкие возможности при работе с API. Весь функционал из веб-интерфейса CTCS также доступен для вызова через API, что позволяет специалистам заказчика решать нетривиальные задачи в рамках своей рабочей деятельности и интегрировать продукт в существующие процессы.Удобство при работе со сканированием образов. Иерархический подход обеспечивает гибкость при выборе области сканирования и повышает прозрачность анализа.Недостатки:Отсутствие возможности встраивания в процесс сборки (CI/CD) (планируется к реализации в первом квартале 2026 года).Отсутствие данных по ресурсам Kubernetes (Workloads, RBAC, Custom Resources, Feature Gates): планируется в 4-м квартале 2025 – 1-м квартале 2026).Отсутствие настройки гибкого разграничения прав доступа пользователей в интерфейс системы (реализация запланирована на первый квартал 2026).Отсутствие отчётности по результатам работы с системой (планируется в первом квартале 2026).Реклама, 18+. ООО «Кросстех Солюшнс Групп» ИНН 7722687219ERID: 2VfnxvVGwXfЧитать далее
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
×