Обсуждение Safe'n'Sec 2.0

[AM_Bot 48]

Коллеги, предлагаю перенести обсуждение продукта Safe'n'Sec 2.0 в эту ветку, так всем будет удобнее.

[AM_Bot 48]

Ответ на http://www.anti-malware.ru/phpbb/viewtopic.php?p=391#391

Юрий, рад видель Вас на нашем форуме, надеюсь, что Выс станете у нас одним из активных участников.

В настоящее время есть немного решений в области проактивной защиты, некоторые правда выдает под этим соусом частое обновление или контроль скриптов - но это не так важно

Насколько то или иное решение плохое или хорошее можно говорить после сравнительного тестирования того или иного продукта. Справляется ли он с основной задачей защиты или нет? Как тестировать непонятно, да и тестов нет, говорят некоторые. Так можно использовать известные leaktest-ы, прогнать по вирусной коллекции, как делают антивирусники, оценить влияние на производительность системы. Обычные тесты на обычные угрозы - а другое надо?

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

Наверное надо думать о возможных вариантах и всегда можно придумать решение как обойти ЛЮБУЮ защиту. Думаю с этим никто не будет спорить. С другой стороны случаи появление ультранового вирья (которое использует новые методы) малы по сравнению с ОБЫЧНОЙ массой malware, которое гуляет в инете (как ни странно ДО СИХ ПОР подавляющее большинство пытается наивно прописать себя на автозапуск ). Могу ошибаться, но с этой задачей проактивная защита справляется

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Далее. Головная боль - ложные срабатывания. Они были, есть и будут, задача добится допустимого уровня false alarm-ов и не рушить мозг пользователю на предмет принятия решения. Я пока не видел приемлемого решения, и в Safe'n'Sec на сегодняшний день есть над чем работать. С другой стороны, если вспомнить проблему антивирусов производительность и уровень детектирования - чем то приходится жертвовать (хочешь ловить все - осознанно жертвуй производительностью). С false alarm отдаленно похоже. В одном случае лучше переспросить пользователя и не пропустить, в другом - это так достает, что не нужна мне такая защита. Что лучше?

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Про Safe'n'Sec. Все ругают 1.1. Соглашусь - далеко от идеала. Но...первая версия, все с чего то начинали У некоторых и пятая и шестая версии - все такие же , у нас только вторая . Давайте посмотрим на то что есть сегодня и если это будет интересно всем присутствующим я бы хотел рассказать и пояснить некоторые моменты по версии 2.0 и наших планах на будущее.

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

[VladB 60]

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо

[AM_Bot 48]

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

[VladB 60]

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Это уже не так страшно. В 1.1 окна были страшнее, так что все хорошо

Конечно, новая версия НАМНОГО лучше, видно, что была людьми была проделана большая работа. Поэтому версия и 2.0, а не 1.2 :-)

А теперь серьезно. Я поставил 2.0 дома. О впечатлениях с точки зрения рядового пользователя - расскажу

[Romko 0]

To Admin

Не могли бы Вы привести какой-то примерный перечень угроз (атак, опасных действий в системе) от которых защищает Safe'n'Sec 2.0?

Думаю не все это хорошо понимают, зачем его покупать если есть "обычные" антивирусы и файрволы, которых вроде как достаточно.

По типам активности, которую контролитует SnS. Я не буду описывать ВСЕ - правил много, приведу только некоторые для примера.

1. File. Здесь понятно. Есть критические системные файлы и данные пользователя доступ к которым надо контролировать. Пользователь может определить правила доступа например для My Documents, кто может смотреть и изменять эти данные. Системные ресурсы - изменять содержимое system32 может как очередное обновление MS, так вирье, которое очень "любит" туда прописываться.

2. Registry. Здесь тоже понятно. Типичные действие, которые могут вызвать вопросы - автозапуск или изменение настроек IE.

3. Process Interaction В основном вмешательство одних процессов в "жизнь" других, нетипичные для обычного приложения - WriteProcessMemory, TerminateProcess, SuspendThread. Думаю что не стоит объяснять предназначение этих функций и опасность которую они могут представлять. Для примера - техника dll-injection многим знакома.

4. Network Activity Функциональность firewall, но до полноценного firewall мы пока не дотягиваем. Хотя ликтесты (http://www.firewallleaktester.com/tests.htm и др.) прошли на уровне известных файерволов TDI драйвер. UDP и TCP. Установка соединения и передача данных. В 2.0 сетевай активность контролируется в режиме обучения, т.е. на каждое соединения подымается алерт и там приходится решеть по поводу сетевой активности приложения - разрешать или запрещать и создавать ли правила автоматом. В 2.1 докрутим нормальный режим обучения, с которого можно будет переключаться.

5. System API Call User Mode Hook. Для примера SetWindowsHookEx для установки перехватчика клавы keyloger.

To Admin

Постоянно появляются какие-то новые виды вирусов, троянов и т.д. Надо подставивать под них проактивную защиту. Каким образом и как часто произодит обновление в Safe'n'Sec? Затрагивают ли обновления программу целиком или обновляются лишь некие "проактивные сигнатуры"?

Что обновляется:

- правила контроля активности. есть системные, есть пользователя, обновляем тока системные. Для примера в XP появилась функция SuspendProcess -добавлем ее обработчик и обновляем. Обновления редко - раз в месяц.

- база известных приложений. Приложения, которые мы можем точно идентифицировать независимо от версии и знает их активность. Обновления - раз в неделю.

- базы AV, если есть в продукте. Обновления - от вендора.

To Admin

Когда я поставил новую версию Safe'n'Sec, у меня сразу на Windows 2000 вылезло следующее предупреждение

http://www.anti-malware.ru/images/safensec2/1.gif

Врое как обычный, типовой процесс Windows (service.exe), нельзя ли было предобучить продукт, чтобы так сразу не пугать людей?

Учим См. предыдущий пост о сетевой активности и режиме обучения.

To Admin

Еще несколько вопросов:

1. Емеется версия продукта со встроенным антивирусом BitDefender, почему выбор пал именно на этот движек?

2. Насколько я понял антивирус осуществляет проверку только по требованию, почему нет полноценного антивирусного монитора?

1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

[AM_Bot 48]

1. С Битом было проще всего договорится и SDK у них проще.Некоторые известные росийские производители усмотрев в нас конкурентов их AV и SDK у них далек от идеала и не удобен в использовании.

2. AV - не основная функциональность. И в нашем случае повторять OnAcees Monitor нет никакого смысла - другой принцип работы. Встречный вопрос - А зачем он нужен и какие задачи будет выполнять? Единственное о чем мы думаем и сделаем - это проверка антивирусом (если он есть) проложения, которое делает подозрительное действие.

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

[VladB 60]

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

[Romko 0]

Всем известно, что в подавляющем большинстве случае антивирусы друг с другом не живут. Продукты Safe'n'Sec 2.0 не будут конфликтовать с уже имеющимся антивирусным монитором?

Ведь перехват событий идет по одинковому принципу.

Вообще Safe'n'Sec 2.0 как самостоятельный продукт способен обеспечить защиту или все же он позиционируется как дополнение к уже имеющему у клиента антивирусу?

Про конфликты. Совместимость с антивирусами и файерволами было основным требованием к продукту. Поэтому тестируем и проверяем. В отличиии от некоторых AV мы не выставляем требования, что необходимо удалить конкурирующее ПО и тогда будет все работать Была несовместимость с KAV, они обещали ее исправить - надеюсь что сделали

Позиционирование. Здесь ныне декларируемый принцип многослойной защиты. 100% не даст никто. И одно решение дополняет другое. Есть AV, FireWall, IDS, IPS.

[AM_Bot 48]

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

[Romko 0]

Конфликтов с KAV 4.5, 5.0, 2006 не обнаружено ни в 1.1 ни в 2.0 Я в крайнем случае не нашел

У меня с на домашней машине с KAV2006 тоже не конфликтует, просто хотел уточнить.

Safe'n'Sec 2.0 придется конкурировать с Panda TruPrevent Personal (у них тоже вышла на днях новая версия 2006).

Хотелось бы для себя понять, какие преимущества у Safe'n'Sec пред конкурентом? :roll:

Panda TruPrevent уже достаточно раскручен и если правильно позиционировать Safe'n'Sec на его фоне, можно хорошо продвинуть его на рынке. Понимаю, может быть это сложный вопрос, но все таки, когда продукт разрабатываля не могли не думать о его будущих преимуществах.

Я пока не видел 2006 и не смотрел что они реально добавили, поэтому пока не готов ответить. Надо посмотреть и погонять.

По 2005 версии заметил сильное торможение системы и не реагировал продукт на тесты вирусной активности. Я разговривал с их техсупортом и даже посылал семпл с кодом чтобы они объяснили почему приложение не ловит эти действия - ответа не получил. Но когда у Вас сносят системный файлы, я думаю это неприятная процедура и на нее как то надо реагировать.

[Сергей Ильин 1538]

Новый символ Safe'n'Sec - киберносорог.

Креативно, маркетологам и дизайнеру - 5 баллов :-)