AM_Bot

Обсуждение Safe'n'Sec 2.0

В этой теме 12 сообщений

Коллеги, предлагаю перенести обсуждение продукта Safe'n'Sec 2.0 в эту ветку, так всем будет удобнее.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответ на http://www.anti-malware.ru/phpbb/viewtopic.php?p=391#391

Юрий, рад видель Вас на нашем форуме, надеюсь, что Выс станете у нас одним из активных участников.

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо?

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск :) ). Могу ошибаться, но с этой задачей проактивная защита справляется :)

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали :) У некоторых и пятая и шестая версии - все такие же :(, у нас только вторая :). Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо :)

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

А теперь серьезно. Я поставил 2.0 дома. О впечатлениях с точки зрения рядового пользователя - расскажу

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

To Admin

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

По типам активности, которую контролитует SnS. Я не буду описывать ВСЕ - правил много, приведу только некоторые для примера.

1. File. Здесь понятно. Есть критические системные файлы и данные пользователя доступ к которым надо контролировать. Пользователь может определить правила доступа например для My Documents, кто может смотреть и изменять эти данные. Системные ресурсы - изменять содержимое system32 может как очередное обновление MS, так вирье, которое очень "любит" туда прописываться.

2. Registry. Здесь тоже понятно. Типичные действие, которые могут вызвать вопросы - автозапуск или изменение настроек IE.

3. Process Interaction В основном вмешательство одних процессов в "жизнь" других, нетипичные для обычного приложения - WriteProcessMemory, TerminateProcess, SuspendThread. Думаю что не стоит объяснять предназначение этих функций и опасность которую они могут представлять. Для примера - техника dll-injection многим знакома.

4. Network Activity Функциональность firewall, но до полноценного firewall мы пока не дотягиваем. Хотя ликтесты (http://www.firewallleaktester.com/tests.htm и др.) прошли на уровне известных файерволов :) TDI драйвер. UDP и TCP. Установка соединения и передача данных. В 2.0 сетевай активность контролируется в режиме обучения, т.е. на каждое соединения подымается алерт и там приходится решеть по поводу сетевой активности приложения - разрешать или запрещать и создавать ли правила автоматом. В 2.1 докрутим нормальный режим обучения, с которого можно будет переключаться.

5. System API Call User Mode Hook. Для примера SetWindowsHookEx для установки перехватчика клавы keyloger.

To Admin

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Что обновляется:

- правила контроля активности. есть системные, есть пользователя, обновляем тока системные. Для примера в XP появилась функция SuspendProcess -добавлем ее обработчик и обновляем. Обновления редко - раз в месяц.

- база известных приложений. Приложения, которые мы можем точно идентифицировать независимо от версии и знает их активность. Обновления - раз в неделю.

- базы AV, если есть в продукте. Обновления - от вендора.

To Admin

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Учим :) См. предыдущий пост о сетевой активности и режиме обучения.

To Admin

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители :) усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Про конфликты. Совместимость с антивирусами и файерволами было основным требованием к продукту. Поэтому тестируем и проверяем. В отличиии от некоторых AV мы не выставляем требования, что необходимо удалить конкурирующее ПО и тогда будет все работать :) Была несовместимость с KAV, они обещали ее исправить - надеюсь что сделали :)

Позиционирование. Здесь ныне декларируемый принцип многослойной защиты. 100% не даст никто. И одно решение дополняет другое. Есть AV, FireWall, IDS, IPS.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Я пока не видел 2006 и не смотрел что они реально добавили, поэтому пока не готов ответить. Надо посмотреть и погонять.

По 2005 версии заметил сильное торможение системы и не реагировал продукт на тесты вирусной активности. Я разговривал с их техсупортом и даже посылал семпл с кодом чтобы они объяснили почему приложение не ловит эти действия - ответа не получил. Но когда у Вас сносят системный файлы, я думаю это неприятная процедура и на нее как то надо реагировать.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новый символ Safe'n'Sec - киберносорог.

Креативно, маркетологам и дизайнеру - 5 баллов :-)

blue.gif

post-4-1135686466.gif

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • demkd
      Исправил косяк, анализ svchost пока отложен, может быть на следующей неделе будет время заняться.
      ---------------------------------------------------------
       4.0.6
      ---------------------------------------------------------
       o Исправлена функция эмулятора WOW64 для командных строк и функция анализа параметров 32-х битных служб.  o В лог добавлено предупреждение при невозможности открыть процесс. (для обычного режима сканирования)  
    • AM_Bot
      Компьютеры нефтяной компании «Роснефти» подверглись «мощной хакерской атаке», внешне похожей на модификацию нашумевшего вируса-шифровальщика WannaCry. Компания обратилась в правоохранительные органы, идет расследование. Читать далее
    • Wenderoy
      Еще напишу насчет "protable" версии. Надо отметить то, что сканирование никогда и ничего не обнаружит без файла dbase.dat на 190 МБ. Это никакой не мусор, а база данных. Поэтому проверять что-либо подобной версией бесполезно. Во-вторых, в самом инсталляторе предусмотрен определенный алгоритм, позволяющий внедрять программу в ОС - установка службы самозащиты и т. д. В распакованном виде этого ничего не будет. Также отмечу то, что удалить portable-версию будет невозможно - или же очень сложно, т. к. в стандартном виде включен деинсталлятор, который все самостоятельно очистит.
    • Чеширский Кот
      Кто может посоветовать душевную баню для небольшой компании?
    • AM_Bot
      В этом году специалисты компании Microsoft уже неоднократно выпускали внеплановые патчи для Malware Protection Engine (MsMpEng). Напомню, что это защитное решение лежит «в сердце» таких продуктов, как Windows Defender, Microsoft Security Essentials, Microsoft Endpoint Protection, Microsoft System Center Endpoint Protection, Windows Intune Endpoint Protection, Microsoft Forefront Security for SharePoint Service Pack 3, Microsoft Forefront Endpoint Protection 2010. Читать далее