Перейти к содержанию
VladB

Проактивная защита. Плюсы и... минусы

Recommended Posts

AM_Bot

Предлагаю перенести обсуждение Safe'n'sec 2.0 в новую ветку форума

http://www.anti-malware.ru/phpbb/viewtopic.php?p=389#389

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

Согласен с высказыванием, пользователь не искушенный в вопросах безопасности, пусть даже неплохо подготовленный не будет понимать как надореагировать на то или иное сообщение программы.

Продукт не говорит что надо делать, а просто констатирует факт.

Всем привет. Миш, таки я дополз сюда!

Как сказал один человек "ProcessGuard для простого пользователя хуже вируса". Всё дело в том, что application firewall работает по тем же старым принципам, что и net firewall, но количество событий и количество векторов действий несоизмеримо возрасли. Именно в этом основная слабость application firewall. И, на самом деле, приложения этого типа уже прошлое поколение проактивных защит! Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

Не могли рассказать поподробнее о принципах sandbox и DefenseWall?

Чем принципально это отличается от прошлого поколения application firewall?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Уже появляются защиты следующего поколения, основанные на принципах sandbox (типа моего DefenseWall), которые позволяют надёжно защитить даже непрофессионального пользователя сильными проактивными методоми (и приэтом никаких всплывающих окон!). Причём, по факту, отпадает необходимость не только в анти-спайваре решениях, но и в антивирусах!

Не могли рассказать поподробнее о принципах sandbox и DefenseWall?

Чем принципально это отличается от прошлого поколения application firewall?

В двух словах- sandbox ущемляет права процессам на потенциально опасные действия. То есть, sandbox ничего не спрашивает- он просто рубит. Аналогия- DropMyRigth, понижение привилегий пользователям.

Более подробно можно ознакомится здесь: http://virusinfo.info/showthread.php?t=4222

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Очень интересно, насколько я понял DefenseWall- это Host-based Intrusion Prevention System, т.е. к нему можно отнести все минусы Safe'n'Sec, который обсуждался здесь выше:

1. высокие требования к квалификации пользователя

2. сложная настройка

3. большое количество ложных срабатываний (присуще всех проактивным технологиям)

Еще у меня есть еще подозрения, что с реализацией концепции Trustworthy Computing в альянсе Trusted Computing Group (TCG). http://www.anti-malware.ru/phpbb/viewtopic.php?t=67 такие продукты не будут нужны. Потому как технология Intel LaGrande как раз предусматривает доверенное и недовенное пространство для приложений. Или я не прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Очень интересно, насколько я понял DefenseWall- это Host-based Intrusion Prevention System, т.е. к нему можно отнести все минусы Safe'n'Sec, который обсуждался здесь выше:

1. высокие требования к квалификации пользователя

2. сложная настройка

3. большое количество ложных срабатываний (присуще всех проактивным технологиям)

HIPS- это название большого класса программных продуктов, внутри которого существуют подклассы (buffer overflow protection, application firewall, sandbox). Safe'n'Sec- это application firewall. DefenseWall- sandbox. Они делают одну задачу, но разными методами. Поэтому, по пунктам:

1. Работать с программой может любая домохозяйка. Специальных знаний не нужно вообще. Всё легко и просто.

2. Настройна проста до примитивизма- нужно только добавить приложение в спислк недоверенных.

3. Ложные срабатывания, естественно, существуют, но они не мешают человеку работать. Ди и фильтрацию ложняков никто не отменял....

Еще у меня есть еще подозрения, что с реализацией концепции Trustworthy Computing в альянсе Trusted Computing Group (TCG). http://www.anti-malware.ru/phpbb/viewtopic.php?t=67 такие продукты не будут нужны. Потому как технология Intel LaGrande как раз предусматривает доверенное и недовенное пространство для приложений. Или я не прав?

Не совсем правы. Дело в том, что оно предусматривает отдельные пространства операционной системы, а не для отдельных приложений. Но даже если это и так, то время, которое нужно будет затратить этой технологии для продвижения- годы, а защищаться нужно уже сегодня, прямо немедленно!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

Господа,

проведите аналогию со спамом. Никто уже не спорит, что обнаруживать спам по сигнатурам неэффективно, т.е. работа без эвристики невозможна. Переход к широкому использованию эвристики (а именно основной упор на эвристические методы) и sandbox - вопрос времени. Простой пример - политика ЛК.

Конечно, сигнатуры не исчезнут никогда, хочется же знать, как все же этот обнаруженный вирус называется... :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

На самом деле проблема таких систем на сегодня (на мой взгляд) в их сложности и высоких требованиях к квалификации пользователей. А пользователи, увы, учиться НЕ ХОТЯТ! И это факт!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Никто не против эвристики, но...

Господа,

проведите аналогию со спамом. Никто уже не спорит, что обнаруживать спам по сигнатурам неэффективно, т.е. работа без эвристики невозможна.

Аналогия не есть доказательство. Для антиспамаспама ложные срабатывания это норма. Для антивируса ложное срабатывание --- катастрофа.

Переход к широкому использованию эвристики (а именно основной упор на эвристические методы) и sandbox - вопрос времени. Простой пример - политика ЛК.

"Более широкое использование эвристики" --- это морковка, которая висит перед осликом. Реалии таковы: Угрозы настолько быстро мимикрируют, что разработка изощренных универсальных (превентивных, эвристических --- нужное подчеркнуть) методов защиты не поспевает.

Эвристические методы разрабатываются давно, но панацеей они не становятся, то есть они не охватывают, скажем, 70% угроз, а только 20%. Подчеркну, что низкая эффективность объясняется не тем, что технологии плохи, а тем, что угроз становится больше. (В своем классе угроз универсальная технология может показвать даже близкий в 100% результат, как например многочисленные технологии блокировки макровирусов, но это не меняет ситуации в целом)

sandbox -- это не панацея. Мы с Ильей Рабиновичем на эту тему очень много спорили, но мне не удалось его убедить в бесперспективности этого подхода. На столько не убедил, что он даже свою собственную программму написал, реализующию универсальный sandbox...

symantec_s.jpg

post-14-1138699136.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
Для антиспамаспама ложные срабатывания это норма.

Ну... тут можно спорить бесконечно... Эвристика в антиспаме - вынужденная мера, и ложные срабатывания - не норма, а плата за хоть какую-то эффективность. А насчет катастрофы - улет в помойку письма от делового партнера большая катастрофа, чем лишний звонок в хелпдеск при ложном срабатывании антивируса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Проактивные антивирусные технологии, которые сейчас активно продвигаются в все равно вернутся к сигнатурам, только эти сигнатуры будут несколько другими (некие сигнатуры возможных атак). И их все равно надо будет обновлять постоянно, т.е развитие технологий идет по спирали :-)

Эту мысль Касперский неоднократно высказывал уже.

А спорить здесь действительноможно бесконечно. Использовать можно и нужно разные наборы средств защиты, это можно назвать эволюционным технологическиим путем - выживут наиболее "сильные" технологии.

P.S. Ложное срабатывае антвивируса очень критично, так можно на ошибочном лечении одного файла положить все сетку на предприятиии, что обернется в очень большую сумму.

Но и потеря одного важного письма также очень чревата, хотя такое все же менее вероятно, так как все серьезные сделки и т.д. по мылу не обсуждаются (изначально несекьюрно :-))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Ну... тут можно спорить бесконечно... Эвристика в антиспаме - вынужденная мера, и ложные срабатывания - не норма, а плата за хоть какую-то эффективность.

Правильно.

А насчет катастрофы - улет в помойку письма от делового партнера большая катастрофа, чем лишний звонок в хелпдеск при ложном срабатывании антивируса.

Не правильно.

Для делового партнера можно сделать запись в белом списке и спать спокойно, можно поискать письмо в карантине и т.д.

Если антивирус в одно прекрасное утро удалит kernel.32.dll, как вирус со всех рабочих станций в сети, то это будет катастрофа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

В пользу sandbox

Возьмем анализ под названием Reaction Times of the latest MS05-039-based Worm Attacks с сайта http://www.av-test.org/

Кто на первом месте по времени реакции? В большинстве случаев касперский.

Однако, антивирус BitDefender, использующий sandbox, обнаружил все шесть вирусов без апдейтов.

Антивирус NOD32 с неплохой эвристикой - 5 из 6.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
Для делового партнера можно сделать запись в белом списке и спать спокойно,

Если знаешь, что это партнер, а не потенциальный партнер.

Это то же самое, что запретить от записи в файл kernel.32.dll во встречном примере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
P.S. Ложное срабатывае антвивируса очень критично, так можно на ошибочном лечении одного файла положить все сетку на предприятиии, что обернется в очень большую сумму.

Эвристические методы не предполагают лечения в силу своей природы... А удаление по подозрению - ну тут надо винить админу себя за разрушение сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все таки всегда, когда мы говорим о проактивной защите, нужно держать в голове ложные срабатывания, жаль нормальных тестов антивирусов на ложные срабатывания пока нет :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

наличие ложных срабатываний сложней всего обосновать руководству и пользователям..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Все таки всегда, когда мы говорим о проактивной защите, нужно держать в голове ложные срабатывания, жаль нормальных тестов антивирусов на ложные срабатывания пока нет :(

Мне казалось, что VB где-то писали, что они и на ложные проверяют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
sandbox -- это не панацея. Мы с Ильей Рабиновичем на эту тему очень много спорили, но мне не удалось его убедить в бесперспективности этого подхода. На столько не убедил, что он даже свою собственную программму написал, реализующию универсальный sandbox...

Ну, если она так бесперспективна, то почему тогда она у меня продаётся? Почему три западных стартапа идут в том же направлении, что и я? Нет, Миш, просто у тебя небольшое закостенение. Приходи на РусКрипто, послушай мой доклад на тему sandbox HIPS и почему именно эта технология перспективна в области защиты от malware.

Кстати, я никогда не говорил, что оно- панацея. Оно- часть стратегии "защита в глубину". Причём абсолютно необходимая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну, если она так бесперспективна, то почему тогда она у меня Приходи на РусКрипто, послушай мой доклад на тему sandbox HIPS и почему именно эта технология перспективна в области защиты от malware.

Не могли бы вы поделиться подробной информацией о РусКрипто, и кагда там можно будет послушать имеено ваш доклад?

Если можно, то в этой ветке http://www.anti-malware.ru/phpbb/viewtopic.php?t=370

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Ссылку уже привели, а мой доклад будет в эту субботу с 18.15 до 18.30.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
...я никогда не говорил, что оно- панацея. Оно- часть стратегии "защита в глубину". ...

...Ну, предположим, это отнюдь не полумера. Это средство защиты от неизвестных антивирусам зловредов. Для меня лично- замена антивируса. ...

...Гонял на своём компе зловреды в качестве тестов- без последствий. ...

Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?Представим,что до этого правила составлены там средним провинутым,но не профи.

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.Кстати,программа на русском?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Если бы провести тест,где DefenseWall по правилам антивирусов тестируется,насколько это возможно,то сколько бы % вирусов и прочего,что там подносят,она задержала?

А что вы подразумеваете под правилами для антивирусов?

Уже был этот вопрос,но повторим,почему бы не подшлифовать DefenseWall к какому-нибудь АВ так,что бы можно было не поверхностно,а полноценно,в глубину по требованию комп просканировать или файлы?Я бы заплатил за оба продукта.Кто не хочет,берёт один,но АВ-автору это только выгодно,так как за упрощённую (что бы DefenseWall'у не мешала) версию деньги идут всё равно ему за АВ-лицензию и за апдейты баз,линк рядом с DefenseWall разместить,как компатибельный АВ с актуализируемыми базами.А DefenseWall может любое подозрение давать на проверку сигнатурой антивирусу,и если такое ещё не известно как вирян,то по чисто своим алгоритмам-правилам.В случае,если вирян,то ясно и широкому пользователю легче.

У меня напрочь отсутствует ощущение, что вы не можете определить вирус по его поведению. ;)

Не вижу смысла в интеграции. Можно вкрутить возможность запроса на проверку действующим антивирусом из самой программы, как это делает System Safety Monitor. А шлифовать антивирусы для совместимости... ну что вы такое говорите... :) Системы проактивной защиты не конфликтуют с антивирусами..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn
Кстати,программа на русском?

Забыл,что при инсталлировании прог на русском у меня вместо букв вопросы,поэтому бесполезно.Хватило бы вполне,если в документации можно на русском прочитать,что одна или другая кнопка означает,а также всплывающие окна что спрашивают.

А что вы подразумеваете под правилами для антивирусов?

Пользуется DefenseWall'ом (в данном случае о ней разговор) среднепродвинутый пользователь и старательно составляет правила.Потом запускаем вирусы,которые "по незнанию" попадают под стрелку мышки.

У меня напрочь отсутствует ощущение, что вы не можете определить вирус по его поведению.

Вполне вероятно.Поэтому завишу от того,кто лучше меня понимает.Интересует меня результат,его я понимаю.Могу протестироватьпродукт.Ответить разок-десятый на кучу вопросов для создания правил не боюсь.Лишь бы были механизмы,могущие соблюдать "запрещено всё,что не разрешено".Конечно,если создатель облегчит всё это,то можно и мне пользоваться.Проактивка KIS'а в том плане оказалась не подходящей,не достаточно широка.Нечем опасные действия,используемые до сих пор самыми простыми вирусами (пользователь щёлкает по новопоявившемуся,до этого не разрешённому инсталляционсфайлу,происходит куча записей и созданий новых файлов),заранее запретить.

Не вижу смысла в интеграции. Можно вкрутить возможность запроса на проверку действующим антивирусом из самой программы, как это делает System Safety Monitor. А шлифовать антивирусы для совместимости... ну что вы такое говорите... Системы проактивной защиты не конфликтуют с антивирусами..

Проактивная защита KIS'a есть недостаточна для меня и простыми способами обходима.Достаточно пользваться компом неопытному.При этом всё равно,что админ бы догадался запретить некие действия,при этом неважно,пользователь это делает напрямую,или вирус исхитрился нечто съимитировать,что через щелчёк ползователя инициировало его инсталляцию,но у админа нет против этого осуществляющего механизма.Не говорю,что проактивка не остановит вирусов,но мне,и я думаю не только мне,нужна прога,которая и без меня при ещё не разрешённом комплексе действий способна его запретить только потому,что разрешения не было этому инсталлируемому файлу "так поступать".По-моему,это ещё очень простой пример.

Смысл интеграции в том,что некоторые действия,возможно,можно более однозначно по сигнатуре идентифицировать.Огромный плюс есть возможность периодически сканировать комп или какой файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×