Перейти к содержанию
SergeyUser

Проблема с системой фильтрации web-трафика

Recommended Posts

SergeyUser

Недавно столкнулся с проблемой - один из корпоративных сайтов компании, в которой я работаю, был заблокирован антивирусом, с указанием следующего сообщения:

--------------------------------------------------------------------------------------------------------------

Trend Micro Worry-Free Business Security

________________________________________

Page Blocked

URL address: http://reclassify.wrs.trendmicro.com, там есть feedback form) с указанием проблемы, ответа не последовало в течение месяца;

4. Общение со службами поддержки в России и США ничего не дали - было сказано, что общаться нужно именно через указанный сервис, что в Trend Micro есть специальная команда, которая занимается этой фильтрацией, и все.

В итоге более месяца проблему решить не получается. Это вызывает, надо сказать, неоднозначные чувства о работе Trend Micro, в силу отсутствия какой-либо вообще реакции на данную проблему. Если честно, я даже не мог предположить, что такой крупный вендор может относиться с таким уровнем безразличия к указанным проблемам, IMHO это подрывает репутацию, особенно на корпоративном уровне. Не думаю, что любая компания, которая столкнется с подобной проблемой, будет даже рассматривать Trend Micro в качестве альтернативы для покупки AV-решения.

Однако оставив эмоции в стороне, хочу поинтересоваться у экспертов - что еще можно сделать, как решить проблему? Заранее благодарен за помощь.

P.S.: Сайт не пишу, но если кто-то их экспертов захочет проверить лично заявленный behavior - могу сбросить в ЛС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
Недавно столкнулся с проблемой - один из корпоративных сайтов компании, в которой я работаю, был заблокирован антивирусом, с указанием следующего сообщения:

--------------------------------------------------------------------------------------------------------------

Trend Micro Worry-Free Business Security

________________________________________

Page Blocked

URL address: http://***/

Я лично с этим продуктом не работал, но там есть white или exception list?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser
Я лично с этим продуктом не работал, но там есть white или exception list?

Я этим продуктом даже не пользуюсь, меня волнует, что с данной проблемой (неправильной классификацией сайта) могут столкнуться посетители сайта, которые пользуются указанным решением от Trend Micro. Соответственно, никаких шансов что-то им прописать в while или exception list нет, это не подходит в принципе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser

У кого-то есть идеи? Неужели на форуме по продуктам Trend Micro никто даже ничего посоветовать не может :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У кого-то есть идеи? Неужели на форуме по продуктам Trend Micro никто даже ничего посоветовать не может :huh:

Идея одна есть, и я очень надеюсь, что вам поможет (сам не пользуюсь продуктом): попробуйте идти на следующую страницу: https://securecloud.com/

Насколько я понял от своих американских коллег, после выбора продукта + логин, там как раз можно работать с белыми и чёрными списками.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser
Идея одна есть, и я очень надеюсь, что вам поможет (сам не пользуюсь продуктом): попробуйте идти на следующую страницу: https://securecloud.com/

Насколько я понял от своих американских коллег, после выбора продукта + логин, там как раз можно работать с белыми и чёрными списками.

Paul

p2u, спасибо за совет. Проблема в том, что мне требуется не настроить Trend Micro, а исключить корпоративный сайт, ничего общего не имеющий и не имевший с фишингом, из базы Trend Micro, у всех пользователей. Это не относится к вопросу настройки продукта для конкретной организации, вопрос в неправильной классификации сайта как такового, и отсутствии возможности как-то повлиять на ситуацию. Понятное дело, что whitelists - локальные, а тут вопрос в том, чтобы убрать неправильно выставленный сайту статус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
URL address: http://***/

Адрес сайта в студию

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser

Михаил Кондрашин,

Что скажете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил Кондрашин,

Что скажете?

Я пока не выяснил. В настоящий момент моя рабочая гипотеза заключается в том, что автоматика классифицирует этот сайт, как фишинговый и менять свой вердикт не собирается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser
Я пока не выяснил. В настоящий момент моя рабочая гипотеза заключается в том, что автоматика классифицирует этот сайт, как фишинговый и менять свой вердикт не собирается.

Михаил, спасибо за информацию. Было бы очень интересно узнать, что заставляет систему так думать, и что может повлиять на этот самый вердикт. Сайт абсолютно обычный, ничего такого на нем нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил, спасибо за информацию. Было бы очень интересно узнать, что заставляет систему так думать, и что может повлиять на этот самый вердикт. Сайт абсолютно обычный, ничего такого на нем нет.

Я сам посмотрел сайт и разделяю ваше мнение

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SergeyUser
Я сам посмотрел сайт и разделяю ваше мнение

Михаил, на текущий момент проблему, наконец, удалось решить через службу поддержки (они сказали, что сменили классификацию сайта manually, как я понял), так что в принципе проблема решена. Остается минимальный интерес, впрочем, узнать, как вообще такая ситуация могла возникнуть, и с чем связана такая плохая обработка запросов на ре-классификацию сайтов (они, фактически, все были потеряны, только активное общение со службой поддержки позволило решить проблему).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×