Перейти к содержанию

Recommended Posts

sergey ulasen

Продолжаем развивать свой продукт Live CD Vba32 Rescue. Рад сообщить вам о выходе новой бета-версии 3.12.3.0 beta.

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

Немного истории. Сейчас в релизе находится версия Live CD Vba32 Rescue 3.12.2.0, которая включает в себя:

- поддержка файловых систем: NTFS, FAT;

- консольный сканер Vba32.L под Linux (релизный);

- командная оболочка bash;

- файловый менеджер MC;

- пользовательский интерфейс (dialog);

- поддержка автомонтирования, в том числе сменных носителей;

- мультиязыковая поддержка: русский, английский.

Требования: процессор i586, ОЗУ - 128Мб.

Версия 3.12.3.0 beta, помимо обновленного программного содержимого (включая ядро Linux 2.6.30 и загрузчик grub2), значительно переработана, что позволило включить следующие возможности:

+ Добавлена возможность загрузки с флеш-носителей

Создать загрузочную флешку можно двумя способами.

1. Непосредственным копированием образа на носитель, при этом потеряв на ней все данные. Это можно успешно сделать как из-под самого компакт диска, так и из-под Linux и из-под Windows.

В данной версии продукта пока поддерживается только создание загрузочной флешки из-под Linux. Для этого служит утилита dd, входящая в состав каждого дистрибутива:

Общий вид команды:

dd if=<путь к образу> of=<путь к носителю>

Пример:

dd if=vbarescue-beta.iso of=/dev/sdb bs=1M

В одной из будущих версий появится новый пункт меню, который поможет в создании загрузочной флешки в автоматическом режиме с самого Live CD.

Также сейчас подготавливается набор утилит, которые позволят сделать тоже самое из-под Windows.

2. Также мы рассматриваем возможность создания в будущем загрузочной флешки без потери данных. К сожалению, эта возможность будет доступна только в Linux или на самом диске.

+ Поддержка сети

Сейчас данная возможность действует только в ручном режиме (с помощью команд Linux), а в будущем появится соответствующий пункт меню.

Также попытаемся решить воспрос с обновлением флеш-носителя. На ближайшую перспективу рассматриваем вопрос обновления антивирусного сканера, а на далекую и других модулей продукта.

+ Добавлена утилита memtest

* Расширена мультиязыковая поддержка

Добавился немецкий язык. Белорусский уже готов, осталось добавить в образ.

Таким образом, мы определились со структурой и содержимым продукта и подготовили почву для следующих серьезных изменений. Теперь будет происходить постепенное добавление заявленных возможностей и стабилизация его работы.

Просьба посмотреть и начать высказываться по сути продукта и тех возможностей, которые бы вы хотели там видеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Новая бета-версия 3.12.3.1 beta

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

+ Добавилась возможность создания загрузочного флеш-носителя из-под Windows

Для этого необходимо скачать архив:

ftp://anti-virus.by/pub/vbarescue_wintools.rar

ftp://vba.ok.by/vba/vbarescue_wintools.rar

1. Необходимо распаковать архив vbarescue_wintools.rar в отдельную папку;

2. Скопировать в папку vbarescue_wintools iso-образ vbarescue-beta.iso;

3. Запустить bat-файл runme.bat и следовать получаемым инструкциям.

ВНИМАНИЕ!!! Инструкции по записи удалят данные с флеш-носителя. Не забудьте скопировать информацию с флеш на другой носитель.

+ Добавлена утилита mhdd

* Расширена мультиязыковая поддержка

Добавился белорусский язык.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Сегодня на ресурсах доступна бета-версия 3.12.3.2 beta

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

Целью создания данной версии продукта, было достижение следующих возможностей:

+ Копирование образа в память при загрузке с освобождением носителя

Для этого в загрузчик добавился новый пункт меню vbarescue2ram.

Мы рекомендуем иметь объем ОЗУ не менее 256 Мб.

Преимущества:

1. Воспользовавшись одним образом можно одновременно просканировать множество компьютеров;

2. Создав загрузочную флешку из-под Windows, ее можно перезаписать из-под загруженного образа и использовать как обычную флешку.

+ Создание загрузочной флешки без потери данных на носителе в Linux

Для это необходимо воспользоваться утилитами:

ftp://anti-virus.by/pub/vbarescue_linux.tar.gz

ftp://vba.ok.by/vba/vbarescue_linux.tar.gz

1. Необходимо распаковать архив vbarescue_linux.tar.gz в отдельную папку;

2. Скопировать в ту же папку iso-образ vbarescue-beta.iso;

3. Примонтировать флешку с файловой системой FAT (строго!);

4. Запустить скрипт runme.sh и передать путь к точке монтирования флешки.

Примерно вот так:

wget ftp://anti-virus.by/pub/vbarescue_linux.tar.gzwget ftp://anti-virus.by/pub/vbarescue-beta.isotar -xzf vbarescue_linux.tar.gzmount /dev/sdb1 /mnt/flash -t vfat./runme.sh /mnt/flash

+ Создание загрузочной флешки без потери данных на носителе из-под VbaRescue

Добавился соответствующий пункт меню: Создание загрузочного носителя. Пока названия в пункте даны в черновом варианте, потом придумаем более красивые формулировки.

Для записи необходимо следовать инструкциям меню.

Преимущества:

Таким образом можно создать загрузочную флешку с файловой системой FAT (понятную ОС Windows) не влезая в дебри Linux.

+ Добавлена поддержка файловых систем ОС Linux

ext2

ext3

ext4

reiserfs

Они автоматически монтируются в папку /mnt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Преимущества:

1. Воспользовавшись одним образом можно одновременно просканировать множество компьютеров;

2. Создав загрузочную флешку из-под Windows, ее можно перезаписать из-под загруженного образа и использовать как обычную флешку.

А я вижу другое, более явное и более вкусное для пользователя - быстрота. Не нужно каждый раз подгружать базы для каждой новой задачи проверки.

Сергей, ваш РД умеет подхватывать

Мы рекомендуем иметь объем ОЗУ не менее 256 Мб.

У пользователя 128 Мб на WinXP. Чем это "грозит"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
А я вижу другое, более явное и более вкусное для пользователя - быстрота. Не нужно каждый раз подгружать базы для каждой новой задачи проверки.

Спасибо :) Базы загружать нужно, просто сама их загрузка будет происходить быстрее.

У пользователя 128 Мб на WinXP. Чем это "грозит"?

Пользователь не сможет воспользоваться возможностью копирования образа в память. Сканирование с самого носителя должно пройти успешно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Сканирование с самого носителя должно пройти успешно.

Хм. RD дружит с файлом подкачки Windows? Использует его при нехватке памяти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Хм. RD дружит с файлом подкачки Windows? Использует его при нехватке памяти?

В основе продукта лежит ядро Linux. Никаких файлов подкачки Windows не используется. Все "крутится" в оперативке компьютера.

Конечно, если на диске находятся большие контейнерные объекты (архивы, почтовые базы и т.д.) и будет включена их проверка, то 128 Мб будет явно недостаточно. Но отключив данные опции и установив только проверку типовых файлов, вылечить Sality или Virut вполне возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
+ Добавлена утилита mhdd

На всякий случай: Документация на MHDD MHDD.zip

MHDD.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
В основе продукта лежит ядро Linux. Никаких файлов подкачки Windows не используется.

У нас тоже Линукс, Генту. Мы подхватываем файл подкачки Win2k+ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У нас тоже Линукс, Генту. Мы подхватываем файл подкачки Win2k+ :)

Я не смотрел ваш продукт :) Только читал обзоры. Из того, что я понял - у нас совершенно разная концепция и реализация продукта. Но цели все же совпадают ;)

Вы пошли по пути создания полноценного графического интерфейса оболочки, мы же используем более простой dialog (и более легковесный). Вы воткнули в него графический сканер, а мы простую консольку под Linux (опять же более легкую). Вы использовали хитрый файловый менеджер, а мы обошлись более простым Midnight Commander. В замен мы получили простоту настройки (как мне кажется) и быструю загрузку. Вы используете/создаете файл подкачки, но загрузка продукта занимает минуты (судя по отзывам). У вашего подхода тоже есть свои несомненные плюсы.

Меряться тут можно долго, но не интересно B) Пускай пользователи разбираются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Возможно, я ведь ваш тоже не смотрел. :)

Файл подкачки только используем, не создаем. Если не смогли его подцепить, то работаем без него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft

Итак, представляем следующую версию Live CD Vba32 Rescue 3.12.3.3 beta:

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

Целью создания данной версии продукта было включение поддержки сети.

* Добавился пункт меню Сеть

Выбрав данный пункт меню, система определяет сетевые интерфейсы компьютера (ethernet) и дает возможность настроить каждый из них. Настройка может производиться как автоматически (используя DHCP), так и в ручном режиме.

* Добавились приложения для работы с сетью

dropbear (ssh client)

tcpdump (sniffer)

Обновлен MidnightCommander до версии 4.7.0-rc1 для работы с ftp.

Кроме того, доступны традиционные утилиты wget и ping.

* Отключен режим энергосбережения монитора

* Добавилась поддержка манипулятора типа мышь

* Вернулась поддержка выбора разрешения монитора

* Изменилось меню управления настройками сканирования

Было перенесено на верхний уровень меню управления Карантином, Настроек отчета и Выбора диска для отчета. Кроме того, теперь Карантин включен по умолчанию.

* Появилась возможность обновления сканера в ручном режиме

Для этого необходимо воспользоваться командой vbacl --update.

Данные на самом носителе не изменяются!!!

Изменился механизм распределения памяти

Дадим следующие рекомендации:

1. Для обычного сканирования достаточно около 100 Мб ОЗУ;

2. Для обновления и последующего сканирования - около 200 Мб ОЗУ;

3. Для освобождения носителя и последующего сканирования - около 200 Мб ОЗУ;

4. Для освобождения носителя, обновления и последующего сканирования - около 300 Мб ОЗУ.

В планах на будущее:

1. Запись обновленного сканера на носитель (флешка);

2. Добавление отдельного пункта меню для обновления;

3. Создание и использование файла подкачки.

Ждем замечаний B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Представляем следующую версию продукта Vba32 Rescue 3.12.3.4 beta:

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

+ Возможность создания и использования файла подкачки

Причиной создания файла подкачки стала необходимость освобождения носителя, обновления сканера и успешного сканирования на машинах с недостаточным количеством ОЗУ. Был установлен порог, при котором файл подкачки не будет создаваться на машинах с ОЗУ 512 Мб и более. На машинах с меньшим количеством ОЗУ будет создаваться своп размером от 128 до 512 Мб. При этом на разделах всегда будут оставаться свободными как минимум 128 Мб.

* Изменился механизм распределения памяти

1. Для обычного сканирования достаточно около 100 Мб ОЗУ;

2. Для обновления и последующего сканирования - около 200 Мб ОЗУ;

3. Для освобождения носителя и последующего сканирования - около 200 Мб ОЗУ;

4. Для освобождения носителя, обновления и последующего сканирования - около 300 Мб ОЗУ.

Теперь, в виду использования файла подкачки и нового механизма распределения памяти, достаточно иметь 128 Мб ОЗУ.

+ Добавление отдельного пункта меню для обновления

По-умолчанию задан путь обновления с нашего сервера (http://www.anti-virus.by/update/), но по необходимости данный путь можно изменить, к примеру, на свой локальный.

Кроме того ведется лог обновления, который сохраняется в папку VBARESCUE.

+ Возможность использования прокси-сервера

Доступно определение адреса в формате Host[:Рort] и параметров аутентификации Login[:Рassword].

* Извлечение лотка CD/DVD при размонтировании/освобождении носителя

Мелочь, а приятно :)

* Сканирование носителя, с которого производилась загрузка образа

Предоставляет возможность лечения зараженного носителя.

* Вывод истории загрузки образа на экран

На экран выдается информация о найденных разделах, файловой системе на них, найденных образах и создаваемых файлах подкачки:

>> partition : file system [> drive]    >> image [ > memory]    >> swap > size

Исключительно для ценителей :

* Обновлено ядро Linux до версии 2.6.31

Исользуется линукс-ядро от команды www.zen-sources.org.

Пополнился список поддерживаемых файловых систем: reiser4 и btrfs.

Использован альтернативный планировщик процессов BFS.

Использован альтернативный планировщик ввода-вывода BFQ.

Известные проблемы:

* детектирование файлов в собственном карантине

Эта проблема больше относится к консольному сканеру и будет решена в ближайшее время в версии 3.12.12.0.

* невозможность лечения файлов, сжатых на файловой системе NTFS

Эти файлы успешно детектируются и удаляются с диска. Проблемы возникают только с редактированием файлов.

Рекомендации: снятие атрибута сжатия с файла, папки или диска в целом.

* увеличение времени загрузки образа

1) Серьезно увеличилось время загрузки при создании свопа, но это неактуально для машин с достаточным количеством ОЗУ. И временем загрузки пришлось пожертвовать в угоду новым возможностям.

2) Раньше мы практиковали "распараллеленную загрузку", что приводило к некоторым проблемам в инициализации. Пришлось отказаться от этого и перейти к "последовательной загрузке". Естественно визуально время загрузки возрасло, хотя время полной загрузки не изменилось.

Мы держим этот параметр на контроле и будем пытаться уменьшать его значение, но не в угоду в стабильности.

* есть некоторые проблемы с локалазициями

В процессе выпуска новых бета-версий продукта мы не занимаемся промежуточными переводами, по причине частого их изменения. Поддерживаем только русскую и английскую версии.

По плану до релиза нам не хватает:

* исправление известных проблем;

* запись обновленного сканера на носитель (флешка);

* пользовательская документация.

Ждем замечаний и предложений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Представляем следующую версию продукта Vba32 Rescue 3.12.3.5 beta:

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

+ Возможность сохранения обновленного сканера на носитель (USB)

Последовательность действий следующая:

1. Загрузка образа в память;

2. Настройка сети;

3. Обновление сканера;

4. Создание загрузочного носителя.

В результате образ просто перезапишется на тот же носитель, с которого он был загружен.

Естественно, это не единственный вариант использования. Можно и на новый носитель записать, тогда нет необходимости в загрузке образа в память и т.д.

В данной бета-версии все. Я думаю, что впереди нас ждет еще одна (скорее всего, уже последняя) бета, которая выйдет после релиза ядра 3.12.12.0.

Пользуемся B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Cегодня выпускаем последнюю бета-версию Vba32 Rescue 3.12.3.6:

ftp://anti-virus.by/pub/vbarescue-beta.iso

ftp://vba.ok.by/vba/vbarescue-beta.iso

В нее вошли следующие изменения:

* Переработан интерфейс пользователя

Изменены названия некоторых пунктов меню на более корректные. Исправлена логика работы некоторых пунктов.

* Актуализированы языковые файлы

Актуализированы русский, белорусский и английский языки. Немецкий язык тоже изменен, но некоторые пункты еще требуют актуализации.

* Повышена стабильность работы продукта

Исправлены мелкие недочеты, обнаруженные во время тестирования.

Вот, в общем-то, и все. Впереди остался только релиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Вчера был выпущен релиз Спасательного Образа Vba32 Rescue 3.12.4.0. Продукт доступен для скачивания по следующим ссылкам:

ftp://anti-virus.by/pub/vbarescue.iso

ftp://vba.ok.by/vba/vbarescue.iso

На сегодняшний день размер образа составляет ~90МБ.

Также были обновлены утилиты для создания загрузочного USB-носителя.

Утилита для Windows доступна:

ftp://anti-virus.by/pub/vbarescue_wintools.zip

ftp://vba.ok.by/vba/vbarescue_wintools.zip

Утилита для Linux доступна:

ftp://anti-virus.by/pub/vbarescue_linux.tar.gz

ftp://vba.ok.by/vba/vbarescue_linux.tar.gz

Также доступна пользовательская документация на русском языке (27 стр.):

ftp://anti-virus.by/pub/docs/russian/Vba3...ser%20Guide.pdf

ftp://vba.ok.by/vba/docs/russian/Vba32%20...ser%20Guide.pdf

Страница, посвященная данному продукту, на нашем русском и английском сайтах появится после Нового Года. Тогда же появится и англоязычная документация.

Огромное спасибо тем, кому данный продукт интересен, и тем, кто принимал активное участие в его тестировании. Мы надеемся, что его применение поможет многим пользователям в борьбе со сложнейшими вирусными заражениями. СПАСИБО!!!

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Orestik

Здравствуйте! Скажите пожалуйста как можно привязать данный образ к мультизагрузочной флешке на основе Gruba загрузчика ? Очень интересно этот продукт потестить!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Здравствуйте! Скажите пожалуйста как можно привязать данный образ к мультизагрузочной флешке на основе Gruba загрузчика ? Очень интересно этот продукт потестить!

Привет!

Извините, что долго не отвечали. Надо было допросить нашего спеца, потому что вопрос достаточно узкий.

"Для этого необходимо иметь флэшку разбитую на разделы с файловой системой fat32. Вам достаточно скопировать содержимое образа ( его нужно распаковать ) в корень вашей флэшки ( папку vba ) и добавить пункт загрузки vbarescue в ваш загрузчик. Для загрузчика специальных опций не требуется, достаточно прописать путь к vba/kernel и vba/initrd ( пример для grub2 можно посмотреть на самом образе )."

Если нужно что-то уточнить или непонятно, не стесняйтесь... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Orestik

Спасибо за ответ! Блин, что то не могу связать и написать код загрузки........

Вот так попробовал:

title VBA

kernel /vba/kernel quiet vga=0x318 initrd /vba/initrd screen 1024x768

6087dd1d58f8.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
title VBA

kernel /vba/kernel quiet vga=0x318 initrd /vba/initrd screen 1024x768

Вот так будет правильнее:

title VBA

kernel /vba/kernel quiet vga=0x318

initrd /vba/initrd

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Orestik

Спасибо Сергей! Все работает, будем тестить....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tsekhovoy Eugene

Здравствуйте. В настоящее время доступна новая версия спасательного образа VbaRescue 3.12.4.2 с новыми утилитами для записи на сменные USB носители под windows и linux. Основное изменение - это возможность создания загрузочной флешки c ФС FAT32 и NTFS не трогая пользовательские данные при наличии MBR, если таблица разделов оствутствует, то будет предложено создать ее с последующим форматированием носителя.

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      значит добавлю это дело в uVS, иногда будет полезно распутывать цепочки запуска
    • santy
      Привет. предложенный метод сработал.     но здесь он и в задачи попал, возможно не успел все зачистить    
    • AM_Bot
      Платформа «Антифишинг» позволяет проводить высокоэффективное обучение сотрудников и выработку у них навыков безопасного поведения при работе за компьютером, в интернете и с электронной почтой. В результате значительно снижается риск успешных кибератак, большая часть которых начинается с рассылки вредоносных писем. Новая версия платформы получила ряд уникальных функций, среди которых — отслеживание ключевых показателей в режиме реального времени, прямое взаимодействие с SOC и пользовательский поток данных Threat Intelligence, а также максимально реалистичные полноэкранные атаки.    ВведениеНовая система визуализации2.1. Показатели охвата по ключевым процессам2.2. Показатели эффективности процессов и детализация показателей охвата2.2.1. Эффективность работы с сотрудниками2.2.2. Эффективность процессов обучения2.2.3. Эффективность процессов тренировки навыковПлагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюГруппировка сотрудников по приоритетам и уровню рискаИмитированные атаки5.1. Реалистичные полноэкранные атаки5.2. Шаблоны атак из электронной почтыАвтоматизация через API «Антифишинга»: параметр externalKeyАвторизация администраторов через LDAPАнонимизация данныхВыводыВведениеФишинг и другие цифровые атаки на сотрудников продолжают оставаться основным способом проникновения в корпоративные сети, а также самым эффективным средством доставки вредоносных программ и получения учётных данных пользователей. В основе этих атак лежат не эксплойты и другие технические средства, а социальная инженерия. Воздействуя на слабые места людей с помощью выверенных психологических приёмов, преступники убеждают сотрудников компаний выполнить нужные им действия.По данным исследований «Антифишинга», собранных в отчёте о защищённости сотрудников в 2020 году, в среднем 37 % людей открывают письма мошенников, а 79 % из них совершают затем опасные для компании действия: вводят свои логины и пароли на сторонних сайтах, открывают потенциально опасные вложения или даже скачивают и устанавливают вредоносные программы, замаскированные под обновления системы.Проблему с небезопасным поведением людей обычно пытаются решить техническими блокировками и через обучение (повышение осведомлённости). Однако, по данным исследования, после года обучения лишь 9 % сотрудников меняют своё поведение на безопасное.Намного более выраженный эффект даёт проведение тренировок навыков безопасного поведения сотрудников с помощью имитированных атак, максимально похожих на реальные атаки преступников.Платформа «Антифишинг» позволяет проводить обучение сотрудников с помощью курсов в привычном SCORM-формате и тренировать навыки безопасного поведения с помощью имитированных атак.В новой версии 2.4.3 была значительно расширена функциональность системы, добавлена удобная визуализация процессов обучения и тренировки навыков, а также внедрена возможность ещё сильнее вовлекать сотрудников в защиту компании.Рассмотрим эти возможности более подробно.Новая система визуализацииЧтобы качественно и эффективно управлять любыми процессами безопасности, в частности — обучением и тренировками навыков сотрудников, объективно оценивать результаты и вовремя вносить изменения, важно видеть наглядную картину по всем ключевым показателям в режиме реального времени.Новые визуальные представления «Антифишинга» позволяют наглядно увидеть главные показатели охвата сотрудников процессами обучения и тренировки навыков, а также оценить ключевые показатели эффективности этих процессов.Показатели охвата по ключевым процессам Рисунок 1. Визуализация показателей по ключевым процессам Первая группа показателей, которые мы рекомендуем контролировать, — показатели охвата процессов обучения (повышения осведомлённости) и тренировки навыков сотрудников по информационной безопасности: по людям, по обучению, по тренировкам и по мотивации.Каждый такой показатель позволяет оценить, сколько людей в компании в принципе добавлены в систему и участвуют в процессах (были назначены на обучение, проходили тренировки навыков), а также отображает очень важный индикатор, о котором обычно забывают: склонность сотрудников к соблюдению правил безопасности.Показатели эффективности процессов и детализация показателей охватаВторая группа показателей — данные по эффективности процессов, которые раскрываются при выборе соответствующего показателя охвата.Эффективность работы с сотрудникамиЭтот график показывает, как изменялось число сотрудников, которые были добавлены в систему или разрешены в лицензии, а также общее число сотрудников в организации.График помогает увидеть детальное и историческое изменение данных, которые определяют показатель охвата по людям: ось абсцисс — время, ось ординат — число сотрудников в указанной категории. Рисунок 2. Динамика изменения охвата по людям Эффективность процессов обученияЭтот график показывает, какая доля общего числа сотрудников прошла или не прошла обучение в назначенный срок, либо находится на обучении, либо ни разу не была назначена на обучение. Рисунок 3. Динамика показателей эффективности обучения по времени Так же как и в предыдущем случае, на оси абсцисс — время, а на оси ординат — число сотрудников в указанной категории.Эффективность процессов тренировки навыковЗдесь показано, какая доля общего числа сотрудников не тренировалась, выдержала атаку либо выполнила то или иное небезопасное действие. Рисунок 4. График изменения показателей эффективности процессов Ось абсцисс — по-прежнему время, а ось ординат — вновь число сотрудников в указанной категории.Плагин «Антифишинга»: сотрудники сообщают об атаках и помогают защитить организациюПомимо проверки и тренировки навыков «несовершения» опасных действий, очень важно формировать у сотрудников привычки безопасного, правильного поведения.Важно, чтобы люди не только могли заметить какую-то цифровую атаку и не стать её жертвой, но и сообщили о ней в службу безопасности, таким образом активно помогая защите своей организации.Чтобы формировать у сотрудников нужные навыки, мы добавили плагин «Антифишинга», который позволяет сообщать об атаках по электронной почте непосредственно из почтового клиента Microsoft Outlook. Рисунок 5. Плагин «Антифишинга», интегрированный в окно сообщения Microsoft Outlook Теперь сотруднику не нужно помнить адрес и номер телефона службы безопасности — в его рабочем пространстве всегда есть возможность «Сообщить об атаке».Плагин интегрируется с инфраструктурой Microsoft Exchange и Office 365, что позволяет службам безопасности сразу получить все исходные сообщения от сотрудников, провести детальный анализ этих сообщений и применить соответствующие технические меры защиты.После корректной установки сотрудники видят у себя в почтовом клиенте Microsoft Outlook новый плагин (рис. 6). Рисунок 6. Кнопка плагина в панели инструментов Outlook После нажатия на плагин сотрудник видит окно обратной связи.Если атака была имитированной, то окно выглядит так, как показано на рисунке 7. Рисунок 7. Окно плагина после сообщения об атаке Плагин попросит сотрудника разметить эту атаку по психологическим векторам и по атрибуции. Они описаны в классификации «Антифишинга», об этих же векторах рассказывается в обучающих курсах, которые проходит сотрудник. Дополнительное внимание сотрудника к эмоциям, которые вызвала атака, помогает сформировать важный навык психологического торможения и более осознанное отношение к возможным цифровым атакам в будущем.После сообщения об атаке через плагин письмо с имитированной атакой удаляется из почтового ящика пользователя, атака отображается в поле «Сообщил об атаке», к текущему статусу сотрудника в системе добавляется цветной ободок, а к рейтингу — 1 балл. Рисунок 8. Всплывающие подсказки информируют о действиях сотрудника Плагин умеет различать имитированные атаки из «Антифишинга» и не пересылает их на анализ в службу безопасности.Если же сотрудник выявит реальную атаку, то окно обратной связи будет выглядеть так, как на рисунке 9. Рисунок 9. Интерфейс плагина после детектирования реальной атаки В этом случае сотрудник также может разметить атаку по психологическим векторам и атрибуции.Копия письма со всеми заголовками и содержимым пересылается на адрес службы безопасности и переносится в папку нежелательной почты в почтовом ящике сотрудника.Фактически, благодаря плагину «Антифишинга» сами сотрудники могут генерировать внутренний социоинженерный поток данных (фид) Threat Intelligence, который службы безопасности могут использовать, чтобы быстро и вовремя останавливать активные цифровые атаки. Теперь служба безопасности сможет выявлять и анализировать возможные инциденты, а также реагировать на них ещё быстрее.Вот как это работает (см. рис. 10). Рисунок 10. Формирование социоинженерного фида Threat Intelligence благодаря коммуникации пользователей и экспертов SOC Внимательные и лояльные сотрудники выявили цифровую атаку.Статистика об этих безопасных и корректных действиях сохранилась в «Антифишинге».Исходные данные ушли на анализ в адрес корпоративного центра мониторинга и реагирования на инциденты (Security Operations Center, SOC).Аналитики смогли провести расследование и извлечь собственные индикаторы компрометации (IoC).SOC блокирует атаки по выявленным IoC на технических средствах защиты ещё до того, как информация об этих IoC станет доступна во внешних фидах.Группировка сотрудников по приоритетам и уровню рискаРазные категории сотрудников имеют различные приоритеты с точки зрения рисков и процессов безопасности. Не всегда эти приоритеты отражаются организационной структурой — часто сотрудники из разных подразделений и отделов должны быть сведены в единую параллельную структуру, которая имеет свой приоритет и позволяет вести процессы особенным способом.Для решения этой задачи и визуального представления разных категорий сотрудников в «Антифишинге» появилась возможность группировать сотрудников — объединять их без привязки к организационной структуре. Рисунок 11. Наглядное представление с цветовыми кодами групп по числу людей в группах Изначально все сотрудники помещаются в категорию «Сотрудники без группы».Администратор может самостоятельно создавать и настраивать новые группы (рис. 12). Рисунок 12. Создание новой группы риска Сотрудников, которые создают наибольший риск с точки зрения процессов безопасности, рекомендуется помещать в группу наиболее высокого приоритета.Группировка и последующие действия с сотрудниками разных групп могут быть автоматизированы встроенными средствами платформы, а также через API «Антифишинга».Имитированные атакиРеалистичные полноэкранные атакиНовый тип атак выглядит для сотрудника как реалистичная фишинговая страница, на которой даже знающие все правила безопасности люди всё равно могут ввести свой пароль. Рисунок 13. Адрес страницы и домен, значок https и все другие элементы выглядят для пользователя легитимно Механизм создания подобных атак на базе «Антифишинга» задействует Fullscreen API и работает во всех современных браузерах.Атаки создаются с учётом реального окружения пользователя у каждого заказчика — браузеры, операционная система и темы оформления подбираются на этапе согласования шаблона атаки.Шаблоны атак из электронной почтыДля тренировки сотрудников очень важно использовать максимально реалистичные имитированные атаки.Если в организации есть адрес электронной почты, на который уже поступают примеры атак от пользователей, можно подключить этот адрес к «Антифишингу» и загрузить письмо как шаблон имитированной атаки напрямую из электронной почты.Автоматизация через API «Антифишинга»: параметр externalKeyИдентификация сотрудников в «Антифишинге» всегда происходила по адресу электронной почты. В версии 2.4.3 был добавлен новый атрибут, который не видно из интерфейса, но можно использовать при работе с «Антифишингом» через API, как дополнительный параметр в связке с электронной почтой.Схема работы1. При создании и редактировании сотрудника можно будет задать externalKey — внешний (по отношению к «Антифишингу») ключ сотрудника.Запрос будет выглядеть так:curl --location --request POST 'https://antiphish/v2/targets' \--header 'Authorization: Bearer TOKEN' \--header 'Content-Type: application/json' \--data-raw '{   "fullName": "тtbdБВ&sЪs:m;0Х ьДRМPк#aЙuвЧЗIZ ?бДa^шрюu2ЖZMЮэ",   "position": "Менеджер ФhWбш8+рVВ+чёъЕ",   "email": "[email protected]",   "department": {       "id": 80,       "name": "Отдел К^К7~_RLЙЬЩBjhЦ"   },   "marks": [       "яМк",       "-гЛоx5SФB",       "жMишО",       "q"   ],   "externalKey": "006f1f83-b419-4252-8dba-6e7883035301"}'2. Используя externalKey, можно будет найти сотрудника в «Антифишинге» через запрос:/v2/targets/external/externalKeyили/v2/targets/external/?key=externalKey3. Получив объект сотрудника, можно уже оперировать с ним в соответствии с описанными сценариями, в том числе редактировать, удалять, менять адрес электронной почты.Авторизация администраторов через LDAPТеперь пароли для входа и парольная политика администраторов не только определяются локальными настройками «Антифишинга», но и управляются через единый корпоративный каталог LDAP.Для администраторов это упрощает вход в систему. Больше не нужно хранить и запоминать пароли от нескольких систем, можно всегда использовать корпоративную учётную запись. Данные для входа берутся из LDAP, поэтому парольные политики «Антифишинга» по умолчанию соответствуют всем корпоративным требованиям по безопасности.Если учётная запись пользователя в Active Directory, которая подключена к учётной записи администратора в «Антифишинге» с типом авторизации «LDAP», удаляется или блокируется в AD, то администратор больше не сможет заходить в систему.Анонимизация данныхЧтобы избежать ситуаций, когда администратор дискриминирует сотрудников по их показателям в системе, мы добавили в «Антифишинг» возможность анонимизации данных. Это — новый режим работы системы, в котором нельзя сопоставить персональные данные сотрудников с их рейтингом и статистикой по обучению.Анонимный режим позволяет выполнить ряд требований в соответствии с общим регламентом защиты персональных данных — GDPR, что особенно актуально при работе с сотрудниками — гражданами ЕС.ВыводыНовый выпуск платформы «Антифишинг» получил функциональность, которая значительно облегчает работу сотрудников подразделений ИБ и HR:позволяет в режиме реального времени отслеживать состояние защищённости организации от цифровых атак на сотрудников;интегрирует процессы обучения и тренировки сотрудников с процессами мониторинга и реагирования на инциденты, которые уже ведутся в организации с помощью IRP / SOC;выводит коммуникации ИБ-подразделения с остальными сотрудниками на новый уровень. Читать далее
    • Invillagola
      общежитие раменское
      Tegs: общежитие ржавки https://www.hotelhot.ru/

      хостелы в москве без посредников недорого срочно
      хостелы на невском проспекте
      хостелы санкт-петербург забронировать
    • sellAbery
×