Троян/руткит против DLP - кто победит?

[BDV 10]

вот мы и пришли к интересной мысли, что если человек сможет установить самописный драйвер то он обойдет DLP. чем больще будет DLP систем в мире установлено тем быстрее появится Anti-DLP для "несчастных" корпоративных пользователей.

Вот результаты теста, где такие возможности и проверялись у антивирусных продуктов на руткитах и не только:

http://www.anti-malware.ru/malware_treatment_test_2008

угу. а вот бы тот же самый тест, но на _неизвестных_ вирусах, троянах и руткитах.

[Valery Ledovskoy 1082]

угу. а вот бы тот же самый тест, но на _неизвестных_ вирусах, троянах и руткитах.

Уж сколько раз говорили - читайте методологию теста, а потом ляпайте.

Тест на лечение активного заражения показывает, насколько каждый из антивирусов может противодействовать механизмам скрытия в системе и способности восстанавливать работоспособное состояние системы при лечении если это необходимо. Понимаете, _механизмам_. Если бы в этом тесте на лечение активных заражений тестировались и неизвестные антивирусам сэмплы, то было бы непонятно - смог бы антивирус противодействовать данному вредоносу, если бы он был в базе или антивирус не смог бы ему противодействовать в принципе.

Детект неизвестных вирусов (эвристики, проактивки и пр.) исследуются в тестах другого типа, и они тоже проводятся, если внимательно ознакомитесь с общим списком тестирований.

[Сергей Ильин 1538]

ответить могу так - именно из-за этой проблемы и происходит сращивание антивирусов и DLP.

Все верно, очень правильный тренд и с точки зрения развития технологий и с точки зрения потребностей клиента. Тот же Symantec DLP (Vontu) в следующей версии будет очень тесно интегрирован с Endpoint Protection, даже агент обещают единый сделать.

[BDV 10]

Уж сколько раз говорили - читайте методологию теста, а потом ляпайте.

Детект неизвестных вирусов (эвристики, проактивки и пр.) исследуются в тестах другого типа, и они тоже проводятся, если внимательно ознакомитесь с общим списком тестирований.

можно ссылку на тесты по обнаружению неизвестных вирусов?

[Valery Ledovskoy 1082]

angry.gif

Не гневайтесь. Просто Вы уже не из первого десятка, кто на тест на лечение активного заражения смотрите со скепсисом, а читаете только результаты, не вникая в суть теста. Ни одно из тестирований сейчас не может сказать, что один антивирус лучше другого. Тесты отвечают обычно на вопрос "какой из антивирусов обеспечивает лучшие результаты при данной методологии теста, если использовать такой-то компонент антивируса". И вопрос "а что если мы изменим методологию и будем проверять другой компонент?" вполне очевиден - будут другие результаты.

Слово "ляпнуть" вполне соответствует тому, что произошло:

ЛЯПАТЬ - несов. перех. разг.-сниж.

1. Делать что-л. наспех, небрежно, как попало.

2. Говорить что-л. необдуманно, бестактно.

(с) gramota.ru

Если я сказал бы другое слово, то Вы бы и не задумались, о чём я написал, как не задумываются о том, что же такое тесты и в каких границах их можно применять, большинство пользователей антивирусов. Уж никак нельзя выбирать антивирус для ежедневного длительного использования, руководствуясь результатами тестирований. Их нужно принимать во внимание, но необходимо понимать, что применимость их достаточно ограничена и не отвечает на вопрос "какой антивирус лучше?".

можно ссылку на тесты по обнаружению неизвестных вирусов?

Вот список всех тестов АМ:

http://anti-malware.ru/tests

Вас должны интересовать тесты с такими названиями:

- Тест проактивной антивирусной защиты;

- Тест антивирусов на поддержку упаковщиков;

- Тест антивирусов и антируткитов на обнаружение и удаление современных руткитов (здесь исследовалась и проактивная составляющая, т.е. эвристические технологии обнаружения и другие технологии, позволяющие определять по некоторым признакам образцы, детект которых не присутствует в базе антивируса явно).

[BDV 10]

да в том то и дело что нет таких тестов. один интересный тест сделала Secunia http://secunia.com/gfx/Secunia_Exploit-vs-...st-Oct-2008.pdf но там результат плачевный, поскольку это скорее был тест для систем предотвращения атак, которые либо по поведению либо по анализу структуры файла либо по обнаружению переполнения буфера либо еще как-то понимают, что используется одна из дырок.

[Сергей Ильин 1538]

Коллеги, давайте тему тестов обсуждать в соответствующем разделе форума

http://www.anti-malware.ru/forum/index.php?showforum=50

[vaber 350]

можно ссылку на тесты по обнаружению неизвестных вирусов?

А как Вы себе представляете такой тест?

З.Ы. Просьба к модераторам перенести обсуждения тестов в отдельную тему, чтобы не потерялась тема обсуждения

[BDV 10]

тему в принципе уже можно закрывать. все ответы получены: DLP можно обойти руткитом + DLP надо ставить с дополнительной защитой от известных и неизвестных вредоносных программ.

А как Вы себе представляете такой тест?

пишем N своих собственных зловредов и подтыкаем всем известным антивирусам. проблема будет в том, что это попадает под 273 статью УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ".

[vaber 350]

пишем N своих собственных зловредов и подтыкаем всем известным антивирусам. (к юристам просьба помолчать smile.gif )

1) N - это сколько?

2) Что этот тест покажет? Если Сережа напишет их так, что у всех будет 0% детекта, Дима напишет так, что будет 20% детекта, а Юра напишет так, что будет 95% детекта.

3) Какое это будет иметь отношения к суровым реалиям? Когда прежде чем малварь выпустить ее проверяют на детект со стороны тех антивирусов, детект которых должен отсутствовать и, если он есть, бинарник обрабатывают до тех пор, пока детекта не станет? + учесть всевозможные крипторы/протекторы

4) и .т.д. т.п.)

З.Ы. И вдогонку - это нечто подобное тому, что Вы желаете видеть:

http://www.anti-malware.ru/node/111

[BDV 10]

- например, Secunia создала 144 вредоносных файла (точнее PoC) и 156 вредоносных HTML страниц. результаты тут

- тест покажет несостоятельность антивирусов как средств защиты от этих самых вирусов (всех типов) ну и плюс неумение Юры писать вирусы

- вот почему надо тестировать системы предотвращения атак как новый класс защиты от суровых реалий.

- да, в этом, на мой взгляд, замечательном тесте антивирусных эмуляторов, это и было протестировано - такой же компонент входит в системы предотвращения атак.

вот например Virus Prevention Without Signatures

[vaber 350]

ну например Secunia создала 144 вредоносных файла (точнее PoC) и 156 вредоносных HTML страниц. результаты тут

Читал сразу после публикации - у нас на форуме даже обсуждение этого тестирования было.

тест покажет несостоятельность антивирусов как средств защиты от этих самых вирусов (всех типов) ну и плюс неумение Юры писать вирусы smile.gif

Тест равным счетом ничего не покажет - поскольку и так очевидно, что обойти любой эвристик несложно, в отличии, например, обхода hips. Поэтому низкие показатели антивирусов в таком тесте ничего ровным счетом не покажут (точнее покажут как просто обойти антивирус,в котором кроме эвристика ничего нету).

вот почему надо тестировать системы предотвращения атак как новый класс защиты от суровых реалий.

Согласен. Если есть желание можно всем вместе обсудить методологию проведения подобных тестов, поскольку на данный момент она сырая.

Вот недавнее сравнение, которое позволяет и оценить эффективность комплекса в целом:

http://www.anti-malware.ru/node/885

и в этом, на мой взгляд, замечательном тесте антивирусных эмуляторов это и было протестировано

так никто же не спорит, что он замечательный . Только вот в нем упор был на эмуляцию и использование поэтому антиэмуляционных трюков.