Когда Symantec планирует (если планирует) включить в свои продукты возможность сканирования сетевого трафика

[Кирилл Керценбаум 671]

Кирилл, эта возможность (не знаю, как корректнее ее назвать) все еще есть в ваших антивирусах?

Identity Safe - все еще есть и будет

Будет ли она работать в NAV/NIS 2010?

NIS 2010 - Да, в NAV она не входит

Еще одно добавление - с 2009 версии Symantec IPS входит и в NAV также

[Андрей-001 1099]

Кирилл 

Признайтесь, какой ещё джокер (новинка) есть в "рукаве" (версиях 2010)?

[deviss 75]

Да, на 100% - нет

Да

Да, это покрывается функциональностью Generic Exploit Blocking в том же модуле Symantec IPS

Вы предлагаете "взламывать" шифрованный трафик, это мне кажется лишнее для "домашних продуктов"? Нет, такой возможности нет и не думаю что в ближайшее время она появится в домашних продуктах, в Enterprise продуктах DLP такая функциональность есть

На уровне Symantec IPS контролируется и этот трафик, можете посмотреть по данной ссылке, там очень много сигнатур для IM без отношения к клиенту. В перечисленных клиентах Norton дополнительно может сканировать пересылаемые файлы до их сохранения на диск, а также блокировать пересылку личной информации, такой как номера кредитных карт и др.

Мне все больше нравится продукция Symantec.

Но я еще позанудствую (если кому не понравится - пишите, будем думать, что со мной можно сделать ).

С одной стороны, Вы говорите, что продукты Symantec могут проверять защищенные (шифрованные) протоколы - это меня ЧРЕЗВЫЧАЙНО радует. Не хочется зайти на ресурс, на котором злоумышленники намеренно решили использовать шифрование, чтобы избежать обнаружения защитными системами и подхватить заразу. А с другой стороны, на вопрос об Антиспаме, сообщаете, что в домашних продуктах по зашифрованному протоколу спам проверять не планируете, ибо ("взламывать" и т.п., но причины сейчас неважны). Тогда поясните, если не сложно, как же одна система работает с любым трафиком, а на спам проверка производиться не может?

Но вообще, предполагая, что разница в обработке электронных сообщений и трафика существует и серьезная, дополнительный вопрос: так может тогда на спам проверять уже ПО пришествии сообщения, коли ДО нельзя?

P.S. Вообще, Бог с ним, со спамом, меня вполне устраивает встроенная в аутлук функциональность, вышеспрошенное (хм... странное слово, ну и ладно) это, наверное, действительно занудство. Вирусы с Gmail не пройдут (через почтовый клиент)? - вот важный вопрос (Ну, может не только с Gmail, сейчас многие почтовые серверы переходят на поддержку защищенных протоколов (Да, а как обстоят дела с Windows Live Mail, там вроде, MAPI используется. С ним-то наверняка Symantec "дружит" в любом виде?)).

Как есть,так есть.

P.S. Это одна из причин,почему я не пользуюсь продукцией Symantec.

Судя по тому, какие ответы были мною получены здесь, я все меньше склонен поддерживать подобную позицию.

[Z.E.A. 190]

А проверки веб-траффика вообще не было, или её убрали?

[Pavel Polyanskiy 65]

А проверки веб-траффика вообще не было, или её убрали?

Если не ошибаюсь, проверка Веб-траффика была в продукте Symantec Web Security of ISA Server,

но этот продукт больше не продается.

[Pavel Polyanskiy 65]

Мне все больше нравится продукция Symantec.

Тогда поясните, если не сложно, как же одна система работает с любым трафиком, а на спам проверка производиться не может?

Смотря о каком трафике идет речь, а главное - на каком уровне OSI (транспортном/прикладном/сетевом и т.д.).

Но вообще, предполагая, что разница в обработке электронных сообщений и трафика существует и серьезная, дополнительный вопрос: так может тогда на спам проверять уже ПО пришествии сообщения, коли ДО нельзя?

Проверка на спам обычно происходит на уровне SMTP-соединения ( 1) в момент установления соединения с МТА и 2) уже после установления соединения с МТА, но до того, как письмо доставлено МТА). Проверять на наличие спама ПО пришествии сообщения можно путем проверки хранилища писем на почтовом сервере (например, Exchange).

На почтовом клиенте обычно есть отдельный spam folder для просмотра таких писем (или его можно установить).

[kamerton 5]

У меня тут вот буквално пару деньков назад, произошло заражение одного компа, на нём стояла ХР, антивирусник с максимальным уровнем эвристики включённым з долго до появленияв ируса.

И что получилось. Юзер лазил где то в инете, и ему там где то вывалилось сообщение типа у вас нет антивирусника, давайте поставим. она естественно нажала ДА, и он успешно установился. При этом он запускается показыват что нашёл какие то трояны, типа сканирует систему ... в общем делает вид что он самый умный.

НУ какую то часть его антивирусник грохнул. но вот этот модуль как был так и остался. При этом ни полное сканирование ни сторонние антивирусники его не удалялют.

Ну это фиг с ним, его я удалил. Но вото проблема обращения к сетевым ресурсам появилась, сразу после того как антивирусник удалил какую то часть этой хрени.

Как выяснилось, сервис IPSEC не стартует, сетуя на то что не может найти файл. Ну я проверил, файлы присутствуют, на целостность их проверил всё нормально, подписи мелкософта на месте, в реестре по рекомендации мелкософта проверил запись на службу эту не поломалась. В конечном итоге, пришлось просто переустановить систему.

Но мало того, эта хрень успела залезть на флэшку к тому же юзеру. Пока восстанавливал комп, она воткнула на соседнем компе флэшку, антивирусник там тоже включён на максимум, что бы было меньше сюрпризов. Он успешно грохнул вирь, но сервис IPSEC снова не запускается теперь уже на другом компе.

Т.е. вирь успевает что то сделать до того как антивирусник его опознает, хотя он включён на максимальный уровень эвристики.

Флэшку почистил, и снова переустановка системы..

Ну пипец просто, я даже не знаю где они нашли такое счастье то...

[A lone 20]

... антивирусник там тоже включён на максимум, что бы было меньше сюрпризов. Он успешно грохнул вирь, но сервис IPSEC снова не запускается теперь уже на другом компе.

Т.е. вирь успевает что то сделать до того как антивирусник его опознает, хотя он включён на максимальный уровень эвристики.

Флэшку почистил, и снова переустановка системы..

Ну пипец просто, я даже не знаю где они нашли такое счастье то...

Рискну предположить, что данная ссылка поможет http://saule-spb.ru/articles/hijackthis.html (описание секции O10). Сам интересуюсь почему возникают проблемы с IPSEC, но все как-то под руками "подопытного кролика" не было, так что по результатам прошу отписаться.

[пользователь 65]

что бы было меньше сюрпризов.

Чтобы было меньше сюрпризов - не позволяйте пользователям работать с админскими правами.

[kamerton 5]

Чтобы было меньше сюрпризов - не позволяйте пользователям работать с админскими правами.

Да это не основная работа, это шабашка, там захотели такого порядка. Я конечно сопротивлялся, но....

[_start: 35]

Кирилл, простите великодушно, вы поняли сами что сказали? "технологий сканирования трафика на уровне сетевых пакетов (на этом уровне нет ограничений в типе сканируемого трафика), что является более эффективным решением и не оказывает существенного влияния на производительность".

Тема сканирования не раскрыта, в PDF-ке нет никакой информации по теме тоже. Раскройте свою мысль, я не предлагаю вдаваться слишком уж глубоко в техническую сторону (вы ведь несравнимо больше по маркетингу) но ведь вы начали говорить - договаривайте. У вас там какие-то плагины к браузерам? И ещё, какие из антивирусов используют эти "устаревшие технологии", я хочу знать чтобы прекратить использование этих антивирусов. =)

Я полный нуб в этих ваших Нортонах, а очень интересно.

Спасибо. :-*

[Vadim Fedorov 255]

_start:, пожалуйста, постарайтесь формулировать последующие сообщения в более корректном тоне.

Если у Вас есть какие-либо конкретные вопросы о продуктах Symantec, которые Вы хотели бы задать Кириллу,

постарайтесь сформулировать их более предметно и по-существу.

[_start: 35]

Хорошо, сделаем вид что у нас клуб благородных девиц и интеллектуальных снобов. Было высказано и выделено: "технологий сканирование трафика на уровне сетевых пакетов (на этом уровне нет ограничений в типе сканируемого трафика), что является более эффективным решением и не оказывает существенного влияния на производительность". Однако сетевой трафик сам по себе состоит из пакетов, и отсюда вопрос: 1) чем в таком случае заключается принципиальное отличие технологий сканирования трафика у Norton и у антивирусов с "устаревшими" технологиями. 2) Какие именно антивирусы используют эти устаревшие технологии.

Кроме того я попросил отвечать очень технически, т.к. уважаемый Кирилл больше по продажным делам, а не по тех. части, тем самым я намекнул, что возможно стоит спросить что ответить у тех. сотрудника.

PS: Надеюсь теперь никто не скажет "фииииии" >_>

[Vadim Fedorov 255]

_start:, еще раз предлагаю Вам придерживаться более корректного тона при размещении сообщений,

и избегать цитат, никак не относящихся к тематике форума.

-----------------------------------------------------------------------------------

Мне кажется, что Кирилл предоставил достаточно исчерпывающий ответ

на вопрос, ставший причиной создания данной темы. Возможно, более внимательное прочтение

позволило бы избежать повторных вопросов.

Модуль IPS (Intrusion Prevention System), входящий в состав продуктов Norton, является частью проактивных технологий,

работающих на сетевом уровне, и представляющих собой первый защитный слой в многоуровневой системе продуктов Norton,

защищающей компьютеры пользователей от проникновения вредоносных программ.

При помощи модуля IPS осуществляется тщательная проверка всего трафика, разрешенного фаерволом.

Операционные системы и приложения, взаимодействующие с Internet, могут содержать различные уязвимости,

как правило, устраняемые производителями ПО по мере их обнаружения при помощи выпуска исправлений,

что, тем не менее, не гарантирует их своевременного устранения в общем, применения конечными пользователями в частности,

и может потенциально явиться причиной заражения системы вредоносным ПО.

Модуль IPS защищает от подобных уязвимостей путем проверки сетевого трафика на наличие кода, эксплуатирующего уязвимости.

Записи ("сигнатуры") для модуля IPS регулярно обновляются, и загружаются во время обычных обновлений антивирусных баз.

Характерным является то, что одна запись в базе модуля IPS способна защитить от нескольких вариантов вредоносного кода,

эксплуатирующих определенный тип уязвимостей.

В новых продуктах Norton 2010 модуль IPS был полностью переработан, в него были внесены значительные

усовершенствования, направленные на повышение уровня защиты (от более широкого спектра угроз) и производительности,

и более тесную интеграцию данного модуля с другими защитными технологиями, входящими в состав продуктов Norton 2010.

[_start: 35]

Спасибо за ответ.

Однако очень хотелось бы знать какие именно антивирусы используют "сетевого трафика в классическом понимании на уровне ПК". Я не совсем понял что понимается под "классикой", это то как это делает, к примеру, Dr.Web или?

[Vadim Fedorov 255]

Однако очень хотелось бы знать какие именно антивирусы используют "сетевого трафика в классическом понимании на уровне ПК". Я не совсем понял что понимается под "классикой", это то как это делает, к примеру, Dr.Web или?

_start:, вряд ли можно будет назвать особо корректным прямое противопоставление с продуктами других антивирусных компаний.

У Вас есть возможность получить информацию о продуктах Symantec, сравнить ее с доступной информацией

о продуктах других антивирусных компаний, и после этого сделать самостоятельный вывод о технологиях,

используемых в различных антивирусных продуктах.

[_start: 35]

У меня нет этой возможности. Дело в том, что Симантек не очень любит вдаваться в подробности работы своих продуктов в публикациях, кроме того ни вы не Кирилл тоже этого не делаете. Мне не достаточно сравнивать по сути рекламные статьи одних вендоров с другими, где всё что я вижу это заявления о том что, к примеру, есть некие "классические" понимания (что имелось в виду не уточняется), а есть пакетное сканирование, и оно в Симантек и это лучше и быстрее, мне не достаточно.

Я к примеру знаю что каспер ставит NDIS драйвер, так как это рекомендовано Майкрософтом, я могу найти как это работает. А с Симантеком не пойму ничего, одни заявления, суть которых никто пояснить не берётся. Nuff Said!

[Pavel Polyanskiy 65]

Я к примеру знаю что каспер ставит NDIS драйвер, так как это рекомендовано Майкрософтом, я могу найти как это работает. А с Симантеком не пойму ничего, одни заявления, суть которых никто пояснить не берётся. Nuff Said!

Можете поискать инфомрацию в открытых патентах Symantec, например, на Patent Storm

Техническая часть там описана всегда. Иногда бывает очень полезно.

[deviss 75]

У меня нет этой возможности. Дело в том, что Симантек не очень любит вдаваться в подробности работы своих продуктов в публикациях, кроме того ни вы не Кирилл тоже этого не делаете. Мне не достаточно сравнивать по сути рекламные статьи одних вендоров с другими, где всё что я вижу это заявления о том что, к примеру, есть некие "классические" понимания (что имелось в виду не уточняется), а есть пакетное сканирование, и оно в Симантек и это лучше и быстрее, мне не достаточно.

Я к примеру знаю что каспер ставит NDIS драйвер, так как это рекомендовано Майкрософтом, я могу найти как это работает. А с Симантеком не пойму ничего, одни заявления, суть которых никто пояснить не берётся. Nuff Said!

Полагаю, под "классическим" понимается следующее: имеется некий веб-модуль в каком-то антивирусном продукте, который "захватывает", скажем, по каким-то портам трафик (установка, например, NDIS драйвера в таком случае - просто необходимость). Захватив его, и воссоздав/собрав из пакетов ДАННЫЕ (а это могут быть и файлы, и скрипты и т.п.) данный модуль начинает обычную антивирусную проверку (в том числе и с использованием эвристики и кучи других технологий, которых у разных вендоров великое множество) ровно так же, как это сделал бы ЛЮБОЙ приличный классический антивирус, попади эти данные на компьютер каким-либо другим путем (например, копированием из одной папки в другую). Считаю, что при таком подходе - это неоправданное дублирование ОДНОЙ И ТОЙ ЖЕ функциональности в разных модулях одной и той же программы. Понятно, что ни скорости работы, ни надежности, это, увы, не прибавляет.

Что же касается подходов компании Symantec, (конечно, технических деталей я не знаю, ведь наверняка это есть коммерческая тайна) то в данном случае они на поверхности: компания не собирается поддерживать такой, в некотором смысле ущербный подход, а реализует другой принцип работы с сетью, в том числе и в плане обеспечения антивирусной защиты. Следует понимать, что защита в сети - это прежде всего защита от ВОЗДЕЙСТВИЯ. Оно - воздействие - может осуществляться по-разному, но применительно к сети, это передача пакетов данных (в том числе и деструктивных) и именно серьезная пакетная фильтрация, которая осуществляется в продуктах компании при помощи модуля IPS и позволяет избежать такого злонамеренного воздействия.

[Skorpion 55]

тогда вопрос, Что это такое "пакетное" сканирование Norton?

[deviss 75]

тогда вопрос, Что это такое "пакетное" сканирование Norton?

Вероятно то, о чем говорилось чуть выше - использование модуля IPS (Intrusion Prevention System).

Если хотите, IPS - это тот же антивирус, только на сетевом, а не файловом уровне (если так понятнее). Он имеет специальную базу "правил" (считайте их теми же сигнатурами), только в этих правилах описано состояние пакетов, соответствующих неким злонамеренным действиям. Например, использованию той или иной уязвимости в каком-либо ПО.

Впрочем, это мое собственное понимание, и специалисты смогут ответить подробнее/правильнее.

[_start: 35]

Ну, дык, обновляемые сигнатуры сетевых атак, это ясно. IPS тоже, не новость всё это в моём антивирусе есть. Мне всё же интересно чем нас хотели удивить.

>> тогда вопрос, Что это такое "пакетное" сканирование Norton?

Присоединяюсь к вопросу.

[deviss 75]

Ну, дык, обновляемые сигнатуры сетевых атак, это ясно. IPS тоже, не новость всё это в моём антивирусе есть. Мне всё же интересно чем нас хотели удивить.

>> тогда вопрос, Что это такое "пакетное" сканирование Norton?

Присоединяюсь к вопросу.

Я не сотрудник компании Symantec, поэтому не в курсе их желания "удивить", просто ответил на вопросы в той мере, как сам их понимаю.

Честно говоря, я вовсе не думаю, что нас хотели чем-то "удивить". Просто есть технологии, отработанные и совершенствующиеся, в рамках существующей ситуации в области обеспечения безопасности эти технологии и продукты на их базе РАБОТАЮТ.

Пожалуй, только относительно новой линейки продуктов можно назвать (не "удивительным", а вполне логичным) серьезным продвижением, и я надеюсь, что время это покажет, кроме совершенствования уже хорошо зарекомендовавших себя технологий (IPS, Sonar и т.д.) еще и создание и внедрение самой концепции/модели защиты Quorum.

P.S. Хотите, можете проводить параллели с продуктами и подходами к защите у других вендоров (типа Artemis, KSN, Panda Cloud и пр. - а если они есть, пусть и не в таком виде, значит это тренд, значит МНОЖЕСТВО специалистов отдают себе отчет в том, что это необходимо), только надо понимать, что сама по себе концепция - это хорошо, но вот ее грамотное и, главное, эффективное внедрение и использование в существующих продуктах - очень серьезный вопрос и не всякому с наскока удастся. У Symantec предпосылки для такого грамотного и эффективного использования данной концепции - есть. И они реализованы в в ее новейших продуктах.

[Vadim Fedorov 255]

Мне всё же интересно чем нас хотели удивить.

_start:, к чему относится Ваша цитата о том, что кто-то "вас хотел удивить" не совсем понятно,

т.к. какой-либо логике она не поддается.

Вы решили принять участие в обсуждении, задали интересующие Вас вопросы, после чего получили

ответы на вопросы по существу темы. На всякий случай, приведу ссылки, содержащие ответы:

1). Исчерпывающий ответ Кирилла

Ключевая часть -

" Данные технологии позволяют решать целый спектр задач, с которыми не в состоянии справиться ни один классический Веб Антивирус,

среди которых:

- Защита от использования уязвимостей в ОС и приложениях, включая браузеры

- Защита от возможночти "Загрузок без разрешения", включая блокировку опасных скриптов

- Защита от атак с использованием специализированных средств взлома

- Защита от поддельных приложений

- Контроль возможного заражения ПК и изоляция заражения "

2). Дополнительный ответ

3). Ответ Павла, содержащий ссылку на источник специализированной информации

Предлагаю ознакомиться с ними еще раз.

[Skorpion 55]

Если мы используем Оперу, лишаемся половины перечисленных пунктов?