Перейти к содержанию
VladB

Проактивная защита. Плюсы и... минусы

Recommended Posts

VladB

Когда мы взяли на тест корпоративную версию то за 10 минут написали 15 замечаний.

Очень интересен ваш опыт. Не могли бы вы перечислить, какие свойства подобного продукта для вас принципиальны?

Я попробую найти свои замечания к продукту и описать их. Только с вашего позволения немного позже. Скорее всего с понедельника

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

А вот он какой Safe'n'Sec 2.0, см. скриншоты:

http://www.anti-malware.ru/images/safensec2/1.gif

http://www.anti-malware.ru/images/safensec2/2.gif

прогресс как говориться на лицо :!:

Теперь его можно обучать, есть список довенных приложений. Интерфейс стал довольно приятный. Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
А вот он какой Safe'n'Sec 2.0, см. скриншоты:

http://www.anti-malware.ru/images/safensec2/1.gif

http://www.anti-malware.ru/images/safensec2/2.gif

прогресс как говориться на лицо :!:

Теперь его можно обучать, есть список довенных приложений. Интерфейс стал довольно приятный. Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Я постараюь поставить его дома сегодня на комп, тогда и поговорим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Подучу его, посмотрю поближе в работе и выкачу обзор :-)

Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

На самом деле все, что касается превентивной защиты - это не для простого смертного, увы. Я смотрел несколько таких решений. Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Мне кажется, что я нащупал еще одну проблему. Обзоры делают профессионалы, а программами пользуются простые смертные. Я себе с трудом предствляю, чем подобный продукт поможет "простому смертному", хотя для профессионала он может обеспечить супер-защиту.

Согласен с высказыванием, пользователь не искушенный в вопросах безопасности, пусть даже неплохо подготовленный не будет понимать как надореагировать на то или иное сообщение программы.

Продукт не говорит что надо делать, а просто констатирует факт.

Мне сейчас уже очевидно, что тот же Safe'n'sec должен быть уже предобучен и не задовать "глупых" впоросав о работе стандартных виндовых модулей, а беспокоить если действительно что-то подозрительное произошло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Я говорил об этом им еще в мае месяце. Однако воз и ныне там. Это было одной из главных претензий к ним

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

Я сам не видел KAV 2006, но на ваш взгяд, поможет ли эта функциональность простому смертному?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Наиболее грамотное пояснение - в KAV 2006 В остальных - тяжелее

Я сам не видел KAV 2006, но на ваш взгяд, поможет ли эта функциональность простому смертному?

На мой взгляд поможет, однако вместе с тем стоит понять, что чем дальше тем тяжелее в вопросах безопасности придется простому смертному

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
На мой взгляд поможет, однако вместе с тем стоит понять, что чем дальше тем тяжелее в вопросах безопасности придется простому смертному

То есть, чем дальше, тем хуже защиту будет обеспечивать данный продукт?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

То есть, чем дальше, тем хуже защиту будет обеспечивать данный продукт?!
Нет, тем больше знаний потребуется простому смертному. Увы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Нет, тем больше знаний потребуется простому смертному. Увы

"потребуется больше знаний", которых не будет (откуда им взяться, когда люди (население, пользователи, ламеры --- нужное подчеркнуть) с трудом складывают 1/5+1/7), а следственно защита будет хуже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Нет, тем больше знаний потребуется простому смертному. Увы

"потребуется больше знаний", которых не будет (откуда им взяться, когда люди (население, пользователи, ламеры --- нужное подчеркнуть) с трудом складывают 1/5+1/7), а следственно защита будет хуже.

Извините, но как угадать, вы сами запускаете ИЕ с параметром или это вредоносный код? Вы запускаете скрытую инсталляцию ии это шпион? Программа этого не решит! Думать всегда нужно самим!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

По пунктам:

Извините, но как угадать, вы сами запускаете ИЕ с параметром или это вредоносный код? Вы запускаете скрытую инсталляцию ии это шпион?

Подавляющее большенство пользователей не может ответить на эти вопросы, так как они не знают, что такое "запусе ИЕ с параметром", "вредонсоный код", "скрытая инсталляция", ...

Как можно ответить на вопрос, в котором фигурируют непонятные сущности?

Программа этого не решит!

Значит плохая программа, технология, подход (нужное подчеркнуть).

Думать всегда нужно самим!

Это паравильно, только как от "простого сметрного" ожидать специфических познаний в устройстве Windows, если все сделано для того, чтобы собственно устройтво было скрыто, а на поверхности были кнопочки "MS Word", "Интернет", "напечатать" ... --- это те сущности, с которыми простой пользователь уже свыкся и понимает, что они значат (в объеме, который нужен ему для решения его задач)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

В чем-то вы правы, но программа обязана реагировать на запуск ИЕ со страницей в каестве параметра, верно? А откуда ей знать, вы инициировали запуск со страницей (с параметром) или это вредоносный код? На самом деле, эвристика (проактивная защита) это только подсказка и не более. Т.е. непродвинутые пользователи не будут этим пользоваться и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Я думаю основная проблема обсуждаемого подхода в том, что программы (в нашем случае IDS) не говорит что надо делать.

Констатируя факт опасного поведения какого-то процесса в Safe'n'Sec ничего не посути не предлагается. Тоже самое в первом приближении и в КАВ.

Мне как пользователю все равно что там куча лезит и что запускается с каими параметрами. Я хочу знать что мне сделать или не сделать, чтобы потом не было проблем. Соответственно такого совета я не получаю в данном случае. Неинтеллектуально!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В чем-то вы правы, но программа обязана реагировать на запуск ИЕ со страницей в качестве параметра, верно? А откуда ей знать, вы инициировали запуск со страницей (с параметром) или это вредоносный код?

Это риторический вопрос.

На самом деле, эвристика (проактивная защита) это только подсказка и не более.

Давайте осторожно применять слова "эвристика", "проактивная защита", особенно в контексте, что это "только подсказка и не более". На этот счет есть и другие мнения.

Вот если бы продукт, обнаружив подозрительную активность, проводил какое-нибудь углубленное автоматическое расследование, тогда это было бы интересно.

Т.е. непродвинутые пользователи не будут этим пользоваться и все

Можно считать, что этой функции нет, так как непродвинутых пользователей 99%. Обсуждение функций, которые полезны оставшемуся 1% (нам с вами) --- это все "в пользу бедных".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Вот если бы продукт, обнаружив подозрительную активность, проводил какое-нибудь углубленное автоматическое расследование, тогда это было бы интересно.

Можно считать, что этой функции нет, так как непродвинутых пользователей 99%. Обсуждение функций, которые полезны оставшемуся 1% (нам с вами) --- это все "в пользу бедных".

Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

Это все к тому, что "проактивная защита" и "эвристика", это то, что защищает без точного занния о конкретной угрозе. Когда это знание пытаются получить от [несчастного] пользователя, это не защита вовсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Согласен, но таких продуктов на рынке нет И не знаю когда будут. В крайнем случае я таких не видел!

Это все к тому, что "проактивная защита" и "эвристика", это то, что защищает без точного занния о конкретной угрозе. Когда это знание пытаются получить от [несчастного] пользователя, это не защита вовсе.

Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

Я тоже не согласен. По кускам:

"пользователь" --- в большенстве своем не специалист

"нужно" --- он ищет в Вебе рецепт салата, это ему "нужно", а если вдруг всплывет невразумительный вопрос, в котором термины не из его предметной области, то он не сможет понять, "нужно" это ему или не "нужно"

"действие" --- имеет смысл только в контексте потрохов ОС для пользователя это абракадабра (запись в реестр, запуск чего-нибудь).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Я не согласен. Пользователь должен сам определять, нужно ли ему то или другое действие или нет!

Я тоже не согласен. По кускам:

"пользователь" --- в большенстве своем не специалист

"нужно" --- он ищет в Вебе рецепт салата, это ему "нужно", а если вдруг всплывет невразумительный вопрос, в котором термины не из его предметной области, то он не сможет понять, "нужно" это ему или не "нужно"

"действие" --- имеет смысл только в контексте потрохов ОС для пользователя это абракадабра (запись в реестр, запуск чего-нибудь).

На работе - безусловно, не пользователь основной а его администратор безопасности, сисадмин, а дома, простите, если мне по умолчанию предлагают удалить весь хакерский софт, которым я активно пользуюсь, мне решать, жить ему или нет!

"Оставим же человеку человеческое, а вычислительной машине машинное!" (Н.Винер)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
На работе - безусловно, не пользователь основной а его администратор безопасности, сисадмин, а дома, простите, если мне по умолчанию предлагают удалить весь хакерский софт, которым я активно пользуюсь, мне решать, жить ему или нет!

"Оставим же человеку человеческое, а вычислительной машине машинное!" (Н.Винер)

В этом смысле, вы абсолютно правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Romko

Приветствую всех :)

Очень интересная дискуccия по поводу проактивной защиты и некоторых продуктов в частности :). Только хотелось бы все же вернутся к теме форума, а не обсуждать кто где раньше работал, кто не успел, а кто опоздал и почему так получилось :)

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно :)

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо? Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Приветствую всех :)

Очень интересная дискуccия по поводу проактивной защиты и некоторых продуктов в частности :). Только хотелось бы все же вернутся к теме форума, а не обсуждать кто где раньше работал, кто не успел, а кто опоздал и почему так получилось :)

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно :)

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо? Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Посмотрел вторую версию. Отличия от 1.1 огромные и нужно сказать авторам - в лучшую сторону. Так как смотрел только буквально полчаса, то говорить пока о достоинствах (недостатках) прсто не могу, но впечатление первое намного интереснее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×