Перейти к содержанию
Сергей Ильин

Онлайн интервью с Олегом Зайцевым, технологическим экспертом Лаборатории Касперского

Recommended Posts

UIT

Насколько сложно (и нужно ли на Ваш взгляд) реализовать в AVZ или продукции Лаборатории

Касперского, следующий подход к обеспечению безопасности. Не только детект и

лечение..., а ряд превентивных мероприятий. Службы, порты и прочее. Может быть, некие наборы для

отключения лишнего. Нечто типа рекомендованных правил для приложений в брандмауэре - созданных

специалистами или проверенными и предложенными всем - правилами пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Насколько сложно (и нужно ли на Ваш взгляд) реализовать в AVZ или продукции Лаборатории

Касперского, следующий подход к обеспечению безопасности. Не только детект и

лечение..., а ряд превентивных мероприятий. Службы, порты и прочее. Может быть, некие наборы для

отключения лишнего. Нечто типа рекомендованных правил для приложений в брандмауэре - созданных

специалистами или проверенными и предложенными всем - правилами пользователей.

Это уже есть, например в KIS 2009, многие из подсистем которого носят характер превентимных мер, например изучение процесса перед его первым запуском с целью установления его потенциальной опасности для системы и включения ограничений пропорциотально этой степени опасности. Для явно подозрительных процессов будет выдана рекомендация блокировать запуск или запуск разрешить, но ограничить запускаемые процесс по максимуму (наборы ограничений для каждой категории преднастроены, но есть возможность их доработать при желании). В новой линейке продуктов плюс к этому появляется "песочница" - можно запустить подозрительную программу в песочнице, и у нее не останется пости никаких шансов навредить системе. Другим примером профилактических мер может служить "Анализ безопасности" KIS, который сводится к поиску потенциальных уязвимостей и дырок, наличие которых может способствовать заражению ПК или успешным атакам на него - мастер анализа безопасности находит такое уязвимое ПО, показывает уровень опасности и ссылки на сайты с описанием найденно проблемы или уязвимости. Периодиечская проверка системы таким мастером и установка обновлений и заплаток позволит значительно повысить защищенность ПК (контрпример - многие из посетителей "Помогите" на VirusInfo заражаются именно из-за того, что сидят на XP SP0-SP1, с старым браузером и AcrobatReader, на их ПК не установлены заплаты безопасности - и такой компьютер становится легкой мишенью для заловредов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Олег, расскажите немного про историю создания AVZ. Возможно где-то уже это было, но что подтолкнуло к тому, чтобы плотно заняться информационной безопасность, создать свой продукт?

И еще такой вопрос. Что вами движет по жизни, что мотивирует? Сейчас очень популярна прозападная позиция, что без денег ничего не делается ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1). Что думаете об ЛСД и об его позиции по отношению к алкоголю и табаку на двухосевом графике зависимости и физической вредности?

2). Слышали ли о том, что у Шевчука есть спокойные тихие песни?

3). Как дела с фильмами обстоят? Вот топ фильмов по версии кинопоиска: http://www.kinopoisk.ru/level/20/

Что из них понравилось? Могли бы составить такой свой список названий из пяти?

1. ЛСД - это наркота, и как и любое другое вещество, влияющее на работу мозга и (или) личность человека имхо является большим злом (независимо от того, есть к нему привыкание или его нет). Алкоголь в один ряд с наркотиком ставить сложно, но его употребление в больших дозах не менее плохо, чем наркота (причина та-же - влияние на работу мозга, пусть и не столь разрушительно для организма. Табак в данном случае пагубная привычка, на разум не влияющая - ну а деструктивное влияние на здоровье - это уже личный вопрос каждого человека (я например никогда не курил, поэтому понять логику курильщика не могу ...). В моем понимании допустимо например выпить хорошего качественного пива с не менее хорошим креветками, бокал дорогого шампанского, рюмку хорошего красного вина или "дриньк" хорошего коньяка (хорошее пиво у меня например даже пекинес пьет - в небольших дозах и это полезно, равно как кошка одно время балдела от поедания креветок, пока не обожралась ими и не засодила желудок - что наглядно показало, что все хорошо, но в меру :) ).

2. Шутка юмора - а кто такой Шевчук ? :) Я на самом деле редко вдаюсь в столь глубокое изучение творчества того или иного певца или группы ...

3. У меня в личное видеотеке более 350 видеодисков :) Поэтому выделить TOP5 сложно ... могу сказать только, что у меня много старых фильмов советской эпохи (сейчас их можно купить в отреставрированном виде) - например, 5 дисков Шерлох Холмс, Тот самый Мюнхгаузен, Формула любви, Собака на сене, Укрощение огня и т.п., много научной фантастики (например, все серии поголовно звездного пути и Вавилон-5) и всего прочего. Нет только одного - времени, чтобы это все смотреть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, у меня вопрос о продуктах других производителей антивирусного ПО - был ли в вашей жизни такой момент, когда Вы были восхищены каким-либо новшеством в антивирусе другого производителя? (не ЛК)

Поясню - как-то раз я по ошибке загрузил на Вирустотал зловреда в архиве под паролем. Потом вспомнил, что архив запаролен, но на отмену не стал нажимать, а дождался окончания проверки. К моему большому удивлению, один из антивирусов (причём один единственный) безошибочно задетектировал в запароленом архиве вредоносный файл. Я даже не поленился потом скачать этот антивирус и поставить себе на компьютер на виртуальную систему. Перепроверил - действительно, Fortinet без особого труда определяет вирусы в запароленных (но незашифрованных) архивах. Не знаю, насколько такая фича востребована, но она есть. Может в вашей практике было что-то подобное?

2. Ну и традиционный вопрос - назовите, кто по вашему мнению, входит в тройку лидеров антивирусной индустрии?

1. Если бы кто-то создал антивирус, отлавливающий любой заранее неизвестный (и любой существующий) зловред и при этом с нулевым уровнем фолсов, то я могу сказать честно - я был бы восхищен и шокирован примененной для этого технологией. Но подобное я думаю недостижимо (ввиду извечной "борьбы щита и меча"). В остальном я видел интересные технологии в ряде продуктов, которые как минимум заставляют уважать создавших их конкурентов.

2. Тройку лидеров если честно назвать сложно, так как можно составить какой-то рейтинг и выделить эту "тройку" на конкретный момент времени по конкретному направлению, на основании конкретных результатов оценки по какой-то методике (см. например тесты на anti-malware.ru), да и то можно долго спорить, правильная ли была методика оценки и все ли факторы учтены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Олег, расскажите немного про историю создания AVZ. Возможно где-то уже это было, но что подтолкнуло к тому, чтобы плотно заняться информационной безопасность, создать свой продукт?

2. И еще такой вопрос. Что вами движет по жизни, что мотивирует? Сейчас очень популярна прозападная позиция, что без денег ничего не делается ...

Если говорить о истории, то начинать необходимо с того, что практической вирусологией я занялся в 1992-93 году, гоняя злобного вируса на домашнем суперкомпьютере того времени - Искра-1030М (эта самая машинка оказалась у меня перед поступлением в институт, и у нее было памяти 640 кб и диск порядка 10-20 Мб (не путать с гигабайтом !), что казалась чудом инженерной мысли ... а еще там был принтер Электроника СМ 6337, который печатал в графике 9-ю иголками. Руткит (а точнее - буткит) имея размер чуть более 4 кб сидел в MBR диска, маскировался от обнаружения (показывая чистые сектора диска вместо своих) и в общем-то весьма сильно безобразничал (хотя деструктива никакого не содержал). Меня весьма заинтересовало, как же он это делает - что привело к покупке двухтомника "Справочник по прерываниям IBM PC" и ряда книжек по ASM. Зверь приехал вместе с этой самой Искрой, был в результате пойман, сектора дампированы, а сам зверь прибит. Как он называется - я не знаю, в теле вируса как сейчас помню была некриптованная строка "Zrobione" - что она значит, я не знаю - может, имя вируса или имя автора (по этой строке кстати поиском находится вот это - http://www.viruslist.com/en/viruses/encycl...a?virusid=18781 - по описанию похоже). Это все дело меня заинтересовало и после этого мне неоднократно приходилось писать небольшие "антивирусы" для лечения зараженных ПК на нашем институтском ВЦ или для чистки ПК знакомых (такое встречалось - надо лабу делать, а ПК например заражен и это явно видно, по заражению буквально на глазах только что скомпилированных EXE). У меня стали появляться разные идеи, как можно бороться с этим, которые закончились созданием действующей модели своего Sandbox HIPS на мертвом ныне языке C-- (эта штука сама была отчасти буткитом для защиты от ее выкидывания из автозапуска и сообразно простейшим правилам блокировала опасные операции), ловушки для вирусов (которая содержала набор из кучи EXE/COM файлов разного размера, с оверлеями и без - оболочка хранила их в зашированном виде, а при запуске сохраняла на диск под разными именами и делала с ними разные манипуляции - запуск, копирование, переименование. Если в памяти ПК был вирус, то он заражал эти "дрозофилы" и имея их эталонный вид и зараженный можно было сразу сказать, что заражает вирус, при какой операции, как внедряется ... запускающая семплы оболочка это и делала, плюс умела сравнивать побайтно как сразу, так и после загрузки с чистой дискеты (что позволяло ловить стелс-зверье, которых сейчас называют руткитами). Тогда-же я ставил опыты с поиском перехватов прерываний и их обхода (мало кто помнит, но в те времена был комплект от ЛК для анализа памяти и перехватов, антивирус с редактируемой базой сигнатур и инструкцией, как эти самые сигнатуры туда помещать ... и файл-менеджер VC - ВолковКоммандер с бортовым "антируткитом" - показывавшим, кто остался резидентным и какие прерывания перехватил :) ). Вот такая история ... далее мне приходилось лечить ПК, часто вручную ... - но массовости не было. Когда я пришел в СмоленскЭнерго, то столкнулся с сетью на сотен ПК и массой проблем безопасности ... это был 1999 год. Централизованной антивирусной защиты тогда не было, равно как и службы безопасности - юзеры как следствие нередко отключали антивирусы, перенастраивали их или вообще отказывались их ставить, нередко безобразничали с хакерскими программами - сканарами сети, "нюкерами". Далее пошли массовые эпидемии почтовых червяков, и получилось - что в принципе надо как-то лечить зараженные ПК и быстро их диагностировать. После создания нескольких "одноразовых антивирусов" для оператиного лечения ПК я понял, что надо как-то создавать свою базу данных. Плюс возник ряд проблем:

- необходимо было как-то удаленно и быстро обследовать ПК. Когда их несколько сотен (а сейчас например - тысяч), то бегать по ним нереально.

- не всегда на ПК можно послать специалиста. Следовательно, необходимо средство, которое само соберет все данные, передаст в центр, там это будет обработано, и будут сформулированы какие-то тветные действия. Далее все пошло предсказуемыцм образом - сначала унификация собираемых данных и появление XML логов, потом идея скрипт-языка для обратной связи, быстрое накопление базы вирусных семплов, идея ловушек для вирусов различного типа... и появился первый "облачный" прототип AVZ - с невизуальным агентом и хранением баз и собранных данных в Oracle. Следующим шагом было появление мобильной версии AVZ, причем в самой первой версии не было никаких инструментов для запуска скрипта извне или визуальных средств создания и просмотра протоколов. К 2004-му году эта технология стала постепенно "расползаться" за пределы Смолэнерго, и я решил сделать данный инструмент публичным. Что было далее - все знают ...

2. Мотивации разные - в первую очередь интерес к глобальным исследованиям, созданию чего-то нового, проведению различных опытов и изысканий. В частности поэтому AVZ был и есть бесплатным инструментом - я не рассматривал его как средство наживы. С прозападной позицией не не согласен, так как материальная мотивация конечно всегда играет роль, но утверждать, что без денег ничего не делается - это имхо абсурд Типовой пример - я например никогда не беру денег, помогая например полечить компьютер или консультируя кого-то в какой-то проблеме.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

А можно ли добавить AVZ на ВТ,чтобы и он выдавал результат проверки файла?Например,подозрительность файла в ...% или с названием на подозрение что тот является вирусом.Вообщем в таком вот варианте.

Ведь AVZ востребована и популярна в лечении компов,а значит результат проверки был бы кстати.

Да и ещё. i,если выйдет в результате проверки,чтобы пользователь мог при наведении увидеть описание,к примеру,что файл опознан по базе безопасных.

Думаю,что вы поняли о чём я.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sandor

Олег!

Хэлперы на "Virusinfo" и "Борьба с вирусами" работают на общественных началах?

Есть ли у Вас с ними связь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

А можно ли добавить AVZ на ВТ,чтобы и он выдавал результат проверки файла?Например,подозрительность файла в ...% или с названием на подозрение что тот является вирусом.Вообщем в таком вот варианте.

Ведь AVZ востребована и популярна в лечении компов,а значит результат проверки был бы кстати.

Да и ещё. i,если выйдет в результате проверки,чтобы пользователь мог при наведении увидеть описание,к примеру,что файл опознан по базе безопасных.

Думаю,что вы поняли о чём я.

Это теоретически можно сделать, на практике я просто не знаю процедуру добавления сканирующего ядра в ВТ ... в принципе этот процесс не активизировался, так как задача AVZ далеко не в том, чтобы быть сканером (в базе описаны только распространенные малвари, с корыми в частности мне приходилось сталкиваться). А все чистые и звери из базы AVZ есть и в базах ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег!

Хэлперы на "Virusinfo" и "Борьба с вирусами" работают на общественных началах?

Есть ли у Вас с ними связь?

Хелперы работают на общественных началах, причем любой желающий стать хелпером может подать заявку и пройти бесплатное обучение на основании учебных методик Virusinfo и разбора реальных "дел". Кроме того, в среднем раз в квартал администрация форума премирует наиболее отличившихся хелперов деньгами, которые образуются за счет показа рекламы на сайте

С хелперами у меня естетсвенно есть связь, плюс "киберхелпер" круглосуточно мониторит все обращения, карантины, логи и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

А когда появится анализатор логов,хотя бы прблизительно?

Может ли этот анализатор гарантировать правильность выдачи скриптов на решение проблемы или возможны ошибки?

Перед использованием ответа-скрипта от анализатора надо ли проверять правильность действия по файлу,чтобы удостовериться,что тот не ошибся?

Просто чайники могут сразу взять полученный скрипт и запустить,а в итоге окажется,что анализатор ошибся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

1. А когда появится анализатор логов,хотя бы прблизительно?

2. Может ли этот анализатор гарантировать правильность выдачи скриптов на решение проблемы или возможны ошибки?

3. Перед использованием ответа-скрипта от анализатора надо ли проверять правильность действия по файлу,чтобы удостовериться,что тот не ошибся?

4. Просто чайники могут сразу взять полученный скрипт и запустить,а в итоге окажется,что анализатор ошибся.

1. Анализатор уже появился и отлично работает ... можно понаблюдать, как он ползает по темам VirusInfo :) Однако он пока помогает работать хелперам, "права голоса" он еще не заслужил

2. Да, может. Но чтобы была близкая к 100% гарантия, анализатору необходимо долго учиться - как на чистых системах, так и на зверях. И обрастать контурами защиты, за счет которыз ошибка будет маловероятна - анализатор в любом случае сначала попробует закарантинить объект и запросить его, получив изучит и только убедившить в его опасности будет предлагать удалить (собственно, сейчас в роли такого анализатора работает хелпер на VirusInfo, отрабатывая логику вида "логи" -> "скрипты карантина" -> "карантин" -> "скрипты лечения" - эту логико несложно видеть в правилах оказания помощи раздела "помогите")

3. Нет, это не потребуется. Более того, у анализатора есть свои "три закона робототехники", призванные защищать пользователя от неадекватной агрессии (дело в том, что искусственный интеллект - штука хитрая. В отличие от экспертной системы, где все прописано и если нет ошибок в правилах, то и нет ошибок в работе, тут правил то правил нет ... поэтому нужен контроль)

4. Вот поэтому анализатор не будет ошибаться :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
2. Шутка юмора - а кто такой Шевчук ? smile.gif Я на самом деле редко вдаюсь в столь глубокое изучение творчества того или иного певца или группы ...

Шевчук = ДДТ. Этот вопрос я задал потому что Вы незаслуженно рок назвали громким. А на сегодняшний день роком себя называют почти все певцы, которые не хотят быть попсой ;)

Ознакомьтесь:

это один из их шедевров.

Олег, как относитесь к поэзии?

Читаете ли блог Гостева?

Как относитесь к юмору? ("кривое зеркало", естественно, юмором не считается)

Плавать умеете?

Куда-нибудь путешествовали?

PS: доп. материалы:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Зайцев Олег

1. AVZ есть в отдельном виде и в составе KIS, а не планируется ли, если такое вообще возможно по разным причинам, его совмещение с другими продуктами других вендоров?

2. И поступали ли когда-нибудь такие предложения от сторонних вендоров вообще?

3. Если время неожиданным образом не станет Вам мешать, то не хотели бы Вы сделать вместо AVZ совершенное другое средство?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Зайцев Олег

Когда я пытался "поговорить" с AVZ в KIS 2009 через окна, то KIS просто зависал. Понятно, чтон выводить окна диалоговые не умеет, а движок AVZ ждал ответа. И понятно, что те, кто этим будет пользоваться (техподдержка?) знают об этой особенности. Но можно ли ожидать, что в 2011 это будет исправлено?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Когда я пытался "поговорить" с AVZ в KIS 2009 через окна, то KIS просто зависал. Понятно, чтон выводить окна диалоговые не умеет, а движок AVZ ждал ответа. И понятно, что те, кто этим будет пользоваться (техподдержка?) знают об этой особенности. Но можно ли ожидать, что в 2011 это будет исправлено?

Это не будет исправлено, скорее это будет документировано ... ядро AVZ работает в KIS под SYSTEM, и как следствие окно то выводится - но не на десктоп пользователя :) Поэтому в KIS и в AVPTool нельзя применять диалоговые функции ... прецедентов пока не было, так как собственно назначение скриптов как раз в том, чтобы автоматически сделать что-то без участия пользователя и диалога с ним.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

1. AVZ есть в отдельном виде и в составе KIS, а не планируется ли, если такое вообще возможно по разным причинам, его совмещение с другими продуктами других вендоров?

2. И поступали ли когда-нибудь такие предложения от сторонних вендоров вообще?

3. Если время неожиданным образом не станет Вам мешать, то не хотели бы Вы сделать вместо AVZ совершенное другое средство?

1. Технически это возможно. А практически если какой-то вендор договорится об этом с ЛК и будет принято решение это сделать, то оно и будет сделано ...

2. До моего прихода в ЛК (да и после тоже) таких предложений поступала тьма (купить, сдать в аренду, продать, сделать ребрендинг и т.п.). Однако переход AVZ в руки уважаемой мной компании (и продолжение существования и развития этого проекта) это одно, а выпуск под брендом "Super Puper Russia Antivirus 200x © Рога и Копыта Inc" - совершенно другое.

3. Время мне и так не мешает - кроме AVZ у меня есть еще десятки разработок и наработок, в области безопасности в том числе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Шевчук = ДДТ. Этот вопрос я задал потому что Вы незаслуженно рок назвали громким. А на сегодняшний день роком себя называют почти все певцы, которые не хотят быть попсой ;)

1. Ознакомьтесь:

это один из их шедевров.

2. Олег, как относитесь к поэзии?

3. Читаете ли блог Гостева?

4. Как относитесь к юмору? ("кривое зеркало", естественно, юмором не считается)

5. Плавать умеете?

6. Куда-нибудь путешествовали?

PS: доп. материалы:

1. Ознакомился - там поют под музыку, громкость регулируется :) А если серьезно, я же имел в виду "рок" как пример, а не как общее определение и не как оценку конкретного творчества ... не будучи специалистам по музыкальным течениям я могу весьма условно классифицировать (это как произрастающий на работе гербарий с делю на "кактусы" и "фикусы" - по ниличию на растении иголок или отсутствую таковых). Рок явно тоже бывает разных течений, которые для неспециалиста туманны

2. затрудняюсь сказать. Сам сочинять точно не пробовал :) (я на самом деле являюсь ярко выраженным технарем, гуманитарные науки я понятное дело изучал в школе/институте, но особой тяги к ним никогда не испытывал)

3. Читаю иногда, но не отслеживаю постоянно ... обычно когда там публикуется что-то новое и интересное, то слух об этом быстро распространяется и появляется повод сходить и почитать

4. Положительно, если это качественный и хороший юмор

5. Скажем так - в случае спасения с тонущего судна поплыву :)

6. Да, но это было давно и не очень часто ... хочу как-нибудь вырваться в Европу, посмотреть, как там народ живет. Но это опять-же время нужно, и много

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Зайцев Олег

Как долго этот анализатор будет учится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
...Другим примером профилактических мер может служить "Анализ безопасности" KIS, который сводится к поиску потенциальных уязвимостей и дырок, наличие которых может способствовать заражению ПК или успешным атакам на него - мастер анализа безопасности находит такое уязвимое ПО, показывает уровень опасности и ссылки на сайты с описанием найденно проблемы или уязвимости. Периодиечская проверка системы таким мастером и установка обновлений и заплаток позволит значительно повысить защищенность ПК

Нужно будет попробовать поставить продукт и провести у себя проверку мастером "Анализ безопасности". Извините, если данный компонент выполняет то, о чем я спрашиваю. Однако, мой вопрос был несколько в следующем ключе. Например ситуация: одиночный ПК, без сети, без подключения USB устройств... - я выбираю/корректирую из предложенного для моей ситуации списка, перечень рекомендованных действий и выполняю. И отключаются, например, DHCP-клиент, DNS-клиент, Сервер, Рабочая станция... NetBIOS через TCP/IP, использование LMHOSTS, компонент "Клиент для сетей Microsoft" и прочее, прочее лишнее.

Стоит ли ожидать такой функционал в AVZ или продукции Лаборатории Касперского?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Зайцев Олег

Как долго этот анализатор будет учится?

Процесс обучения идет постоянно... я думаю еще не менее нескольких месяцев

Нужно будет попробовать поставить продукт и провести у себя проверку мастером "Анализ безопасности". Извините, если данный компонент выполняет то, о чем я спрашиваю. Однако, мой вопрос был несколько в следующем ключе. Например ситуация: одиночный ПК, без сети, без подключения USB устройств... - я выбираю/корректирую из предложенного для моей ситуации списка, перечень рекомендованных действий и выполняю. И отключаются, например, DHCP-клиент, DNS-клиент, Сервер, Рабочая станция... NetBIOS через TCP/IP, использование LMHOSTS, компонент "Клиент для сетей Microsoft" и прочее, прочее лишнее.

Стоит ли ожидать такой функционал в AVZ или продукции Лаборатории Касперского?

А откуда мастер может понять, что на данном ПК например не нужен "Клиент для сетей Microsoft" ?! В том-то и беда, что решить это автоматом нельзя, а задавать такой вопрос юзеру бессмыссленно, и можно такого понаотключать ... а вот в корпоративном антивирусе в этом направлении запланирован ряд весьма интересных фич, так как там есть админ, который будет решать, что и как должно быть. Плюс в AVZ и KIS любая автонастройка системы легко достижима скриптом AVZ (как следствие например чтобы не отключать каждый раз некие службы, опытный специалист может сделать себе скрипты AVZ или набор REG файлов)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
А откуда мастер может понять, что на данном ПК например не нужен "Клиент для сетей Microsoft" ?! В том-то и беда, что решить это автоматом нельзя, а задавать такой вопрос юзеру бессмыссленно, и можно такого понаотключать

Пошаговый мастер, вопросы узнающие подробно, что у пользователя за ситуация, какой провайдер итд. Или сразу блок настроек - для желающих.

опытный специалист может сделать себе скрипты AVZ или набор REG файлов

Это понятно. Хотелось для не очень подготовленного но страждущего пользователя.

А впрочем ладно, может быть и мало кому из пользователей действительно будет это интересно.

... а вот в корпоративном антивирусе в этом направлении запланирован ряд весьма интересных фич,

Если будет применимо и для обособленного ПК, надеюсь это "переплывет" во все вариации антивируса.

Отдельный вопрос

В настоящее время, можно выбрать для использования антивирус от одной компании, брандмауэр от другой, HIPS от третьей. Или приобрести комплексный продукт включающий все эти компоненты у 1-2-3-или 4 компании.

Продукт, где все компоненты собраны в единую цепочку, как бусины на нитке:), мне кажется в целом весьма привлекательным (естественно если устраивает). Хотя, я сам, не использую такой вариант.

Скажите пожалуйста, как Вам видется будущее компаний, не имеющих возможности или не планирующих появления в своем арсенале комплексного решения на уровне — «не хуже чем у других» - через 2-6 лет.

Отредактировал UIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Пошаговый мастер, вопросы узнающие подробно, что у пользователя за ситуация, какой провайдер итд. Или сразу блок настроек - для желающих.

Это понятно. Хотелось для не очень подготовленного но страждущего пользователя.

А впрочем ладно, может быть и мало кому из пользователей действительно будет это интересно.

Если будет применимо и для обособленного ПК, надеюсь это "переплывет" во все вариации антивируса.

Отдельный вопрос

2.В настоящее время, можно выбрать для использования антивирус от одной компании, брандмауэр от другой, HIPS от третьей. Или приобрести комплексный продукт включающий все эти компоненты у 1-2-3-или 4 компании.

Продукт, где все компоненты собраны в единую цепочку, как бусины на нитке:), мне кажется в целом весьма привлекательным (естественно если устраивает). Хотя, я сам, не использую такой вариант.

Скажите пожалуйста, как Вам видется будущее компаний, не имеющих возможности или не планирующих появления в своем арсенале комплексного решения на уровне — «не хуже чем у других» - через 2-6 лет.

1. В самом вопросе логический парадокс. Не очень подготовленный, но страждущий пользователь не сможет точно ответить на большинство технических вопросов, и как следствие нередко опаснее (причем для самого себя) обезьяны с пулеметом - так как он чего-то хочет, но до конца не понимает, чего именно :) Я с этим постоянно сталкиваюсь по работе в энергетике - у меня в ЛВС например запрещены оптимизаторы реестра, разные твикеры, ускорители и т.п. - т.к. пользователь их принесет, затвикает насмерть свой ПК, а затем удивляется, почему например после применения "ускорителя ЛВС" не работает корпоративный документооброт (самое смешное - этого потом и админы не понимают, так как оценить результат ряда неизвестных манипуляций с настройками системы крайне сложно). А главная заповедь антивируса: "не навреди" (как у врачей)... Еще два момента по теме:

- пользователь нередко отвечает что-то, не сильно вдаваясь в суть вопроса (собенно опасны вопросы "вы хотите ... [да] [нет]" в диалоговом окне. Изучая причины ввода бредовых данных в корпоративные БД несмотря на алерты системы я ставил живодерские опыты - имитировал ошибку у случайно выбранного пользователя в процессе его работы с БД, и выдавал диалоговое окно с запросом вида "Внимание ! Обнаружен перегрев ядра атомного реактора. Опустить регулирующие стержни ? [Да] [Нет]". 10 из 10 участников опыта нажали [Да] ... именно поэтому тот-же KIS например пытается по возможности принимать решения сам, или если это невозможно, то предлагая выбор действия указывает рекомендуемое. А в корпоративном KAV например у меня в сети все настроено на автомат без взаимодействия с пользователем

- хорошо пытаться "оптимизировать" систему с нуля, при четко определенной сфере применения ПК. Но до этого он мог быть обработан 2-3 твикерами, и условия применения не всегда прозрачны.

Поэтому разные идеи по оптимизации системы и повышению ее защищенности и быстродействия обсуждаются, ставятся разные опыты и некий подобный функционал со временем будет появляться и в домашних продуктах линейки KIS/KTS, но туда попадет только то, что сможет безошибочно найти проблемы и качественно и корретно их устранить, без пагубных последствий и конфликтов - рубить с плеча тут нельзя.

2. по моему мнению за комбайнами будущее. Причина проста - все больше пользователей ПК являются именно "пользователями", т.е. у них нет специальных знаний в области вычислительной техники и они им соственно не нужны ... и заниматься изучением нескольких продуктов, их настройкой и т.п. им сложно. Такому пользователю необходим какой-то простой и единый комплексный продукт, по принципу - "купил->поставил->забыл" (типовой пример я вижу на своих родителях - они инженеры, для них ноутбук - это аналог кульмана для работы с чертежами и средство для просмотра новостей и прогноза погоды в Интернет. Антивируса они не замечают, и средство комплексной защиты для них состоит в красной букве "К" в трее). Еще момент - комбайн имеет единое управление и обновление, на него покупается единая лицензия и конфликтовать сам с собой не может :) В случае легального применения нескольких продуктов это окажется дороже "комбайна", каждый продукт придется покупать, настраивать и обновлять отдельно, между продуктами различных вендоров могут быть конфликты, возможны лишние "тормоза" за счет того, что несколько продуктов по сути делают одно и тоже. И уровень защиты может оказаться ниже, так как например антивирус "знает" о том, что приложение X небезопасно, но он не может "сказать" об этом Firewall-у или HIPS другой фирмы

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Поэтому разные идеи по оптимизации системы и повышению ее защищенности и быстродействия обсуждаются, ставятся разные опыты и некий подобный функционал со временем будет появляться и в домашних продуктах линейки KIS/KTS, но туда попадет только то, что сможет безошибочно найти проблемы и качественно и корретно их устранить, без пагубных последствий и конфликтов - рубить с плеча тут нельзя.

Понятно стремление к корректности и без пагубности в коммерческом продукте особенно ориентированном на использование обычным пользователем. С реактором это весьма показательно. Но бывает иногда печально, что некоторые пользователи так и не смогут почувствовать радость и море приятных эмоций и понять всю прелесть более глубокой настройки системы и необходимость хоть немного уделять внимание своему рабочему или игровому ПК - когда ммм, бушует очередная эпидемия и многие вопрошают - как удалить зловреда, и как все вернуть. А у тебя - тишина. Все тихо и спокойно, и уже много много лет:) А они смотрят на тебя пустым взглядом и соглашаются с простейшими рекомендациями регулярно обновлять ОС и антивирусные бызы. Но все бросают, буквально через несколько дней.

Пожалуй у меня все. Спасибо Вам, за интересные и познавательные ответы.

P.S. А нет ли возможности у ЛК смотивировать p2u на написание книги? Очень было бы здорово почитать рекомендации от Paul Wynant. И как Вы относитесь к советам Паула?

Отредактировал UIT

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
кроме AVZ у меня есть еще десятки разработок и наработок, в области безопасности...

А это засекречено или нет? :)

Знаю только об Anti Port Sсanner.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • mirkosmetik
      Спасибо, полезно.  
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
    • AM_Bot
      Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM. В конце 2020 года состоялся релиз новой, 9-й версии; слоганом презентации стало «Дальше только космос». Рассмотрим, какие изменения произошли по сравнению с предыдущей, 8-й версией.    ВведениеНовые возможности Ideco UTM 9Системные требования Ideco UTM 9 для разного количества пользователейПреимущества Ideco UTM 9 перед конкурентамиКонцепция постоянных обновлений Ideco UTM 9Принцип «всегда на связи»ВыводыВведениеIdeco UTM представляет собой шлюз безопасности типа Unified Threat Management (система единообразной обработки угроз) российского разработчика «Айдеко». Предыдущая, 8-я, версия этого шлюза рассматривалась на нашем сайте весьма подробно. Новая редакция продукта обладает широкими функциональными возможностями за счёт использования таких модулей и механизмов, как защита от несанкционированного доступа и внешних угроз (межсетевой экран, WAF, контроль приложений и другие), контроль доступа, контентная фильтрация, антивирусная проверка трафика, антиспам (на основе технологий «Лаборатории Касперского»), возможности работы в качестве VPN-, DNS-, DHCP- и даже почтового сервера.Исходя из перечисленных функций можно сказать, что Ideco UTM уже вышел за рамки привычного класса устройств для сетевой безопасности и представляет собой экосистему, работающую не только для организации и защиты сети, но также для частичного построения серверной инфраструктуры.За прошедшие 15 лет это решение стали использовать такие компании и ведомства, как Федеральная таможенная служба, холдинг «Вертолёты России», ArcelorMittal. В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.Ещё одним преимуществом рассматриваемого решения является его наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных. Это позволяет использовать Ideco UTM 9 для целей обеспечения государственных и муниципальных нужд в соответствии с постановлением Правительства Российской Федерации № 1236 от 16 ноября 2015 г., а также в рамках программы импортозамещения, что важно в свете планируемого перевода субъектов КИИ на российские продукты.Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11. В этой версии обновлены многие системные пакеты, увеличена производительность, включена поддержка новых платформ.Переработан веб-интерфейс администратора. Теперь он ещё удобнее с точки зрения структуры и работает быстрее, чем раньше. Рисунок 1. Интерфейс администратора Ideco UTM 9 Добавлена ролевая модель администраторов. Теперь благодаря ей доступ разделён на две категории: полный доступ и только чтение, что позволяет предоставлять его обучающимся или неопытным пользователям. Рисунок 2. Добавление учётной записи администратора Реализован раздельный доступ в консоль по SSH под логинами администраторов. Это позволяет настроить сети, из которых возможен доступ по SSH. Раньше была возможность подключаться только к веб-интерфейсу шлюза. Рисунок 3. Управление доступом по SSH В обновлённой версии шлюза безопасности добавлена установка пароля администратора при развёртывании сервера. Данная возможность исключает использование стандартных паролей и делает необходимой их ручную смену после установки продукта. Это позволяет избавиться от типичной проблемы использования нестойких и подверженных взлому паролей в привилегированных учётных записях.В межсетевой экран добавлены счётчики срабатывания правил, что позволяет эффективнее управлять правилами, удаляя или дорабатывая правила файрвола не имеющие срабатываний. Рисунок 4. Управление правилами файрвола В Ideco UTM 9 появился почтовый узел («релей») с возможностью работы в качестве полноценного почтового сервера с модулем антиспама от «Лаборатории Касперского». Рисунок 5. Основные настройки почтового релея Почтовый релей может подписывать исходящие письма DKIM-ключом, который используется почтовыми сервисами для идентификации и классификации электронной почты. Рисунок 6. Включение функции DKIM В продукте обновлён модуль системы предотвращения вторжений. Теперь он более эффективен в выявлении и предотвращении атак.Добавлена возможность отправки оповещений о событиях на сервере с помощью телеграм-бота. Рисунок 7. Настройка телеграм-бота Системные требования Ideco UTM 9 для разного количества пользователейIdeco UTM — это программное решение, что весьма выгодно с точки зрения отсутствия необходимости покупать продукт вместе с аппаратной частью. Достаточно выделить соответствующие ресурсы из уже имеющихся. Несмотря на новые функции, появившиеся в версии 9, требования к аппаратному обеспечению не изменились по сравнению с 8-й версией. Таблица 1. Минимальные системные требования, предъявляемые Ideco UTM 9Минимальные системные требованияПримечаниеПлатформаОбязательна поддержка UEFI Гипервизор2-е поколение виртуальных машин HyperV (с отключённым SecurityBoot) ПроцессорIntel Pentium G / i3 / i5 / Xeon E3 / Xeon E5 с поддержкой инструкций SSE 4.2Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов, таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Для работы системы требуется минимум два, лучше четыре ядра процессора.Объём оперативной памяти8 ГБ (16 ГБ при количестве пользователей более 75)Дисковая подсистемаЖёсткий диск (магнитный или SSD) объёмом 64 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID. В случае использования почтового сервера — второй жёсткий диск.Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет или материнскую плату). При использовании аппаратных RAID-контроллеров настоятельно рекомендуется использовать плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива. Не поддерживаются диски объёмом выше 2 ТБ.Сетевые адаптерыДва сетевых адаптераРекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek со скоростью 100/1000 Mбит/с.ДополнительноМонитор, клавиатураДля установки и работы Ideco UTM не требуются предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты. Ниже в таблице представлены несколько типов конфигураций, которые зависят от количества пользователей. Таблица 2. Минимальные характеристики сервера для Ideco UTM 9 в зависимости от количества пользователей в сетиКоличество пользователей2550–200200–50010002000Модель процессораIntel Pentium Gold G5400 или совместимыйIntel i3 8100 или совместимыйIntel i5, i7, Xeon E3 от 3 ГГц или совместимыйIntel Xeon E3, E5 или совместимыйIntel Xeon E5 или совместимый 8-ядерныйОбъём оперативной памяти4 ГБ (рекомендуется 8 ГБ)8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБHDD 500 ГБ либо SSD 256 ГБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБСетевые адаптерыДва сетевых адаптера Преимущества Ideco UTM 9 перед конкурентамиIdeco UTM имеет немало особенностей и отличий. Как было сказано выше, это — программное решение, поддерживаемое всеми гипервизорами, без привязки к конкретным аппаратным платформам. Благодаря этому можно разворачивать продукт как на собственных мощностях, так и в облаке.Настройка шлюза упрощена за счёт большей автоматизации процесса. Рисунок 8. Настройка контроля приложений Время внедрения системы в организации минимизировано благодаря интеграции с Active Directory, SIEM, DLP-системами, а также предпродажной (presale) поддержке от производителя решения. Рисунок 9. Настройка интеграции с Active Directory Рисунок 10. Настройка отправки отчётов в SIEM Рисунок 11. Настройка интеграции Ideco UTM с сервисами ICAP (DLP, антивирусы и т. д.) В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.Одна из концепций «Айдеко» — использование опенсорс-продуктов в совокупности со своими разработками. Компания не скрывает факта использования программ с открытым исходным кодом: ядра Linux, Suricata, Nginx, Squid и других. «Айдеко» дорабатывает их и делится этими доработками с сообществом. Собственные разработки «Айдеко» касаются создания правил для определения и предотвращения атак.Отметим усовершенствованную систему справки — рядом с каждым пунктом меню веб-интерфейса продукта есть иконка, нажав на которую администратор перейдёт к соответствующему пункту документации. Рисунок 12. Иконка вызова документации Рисунок 13. Переход в документацию Быстрые релизы и постоянное развитие продукта — принцип «agile» в действии. Также отдельного упоминания заслуживают мгновенные ответы техподдержки по различным каналам коммуникации.Давайте рассмотрим последние два принципа чуть подробнее.Концепция постоянных обновлений Ideco UTM 9Компания «Айдеко» уделяет огромное внимание управлению изменениями своего продукта. С момента выхода 9-й версии в конце 2020 года выпущено уже 8 релизов. Средний интервал между ними составляет около 2 недель.Обновления касаются не только исправления выявленных ошибок, но и улучшения используемых модулей (например, в редакции от 19 марта обновлён модуль системы предотвращения вторжений Suricata до версии 6.0.2), а также ввода новой функциональности (в релизе от 5 февраля добавлены новые возможности, касающиеся учёта и отчётов по веб-трафику).Таким образом, компания заботится о том, чтобы решение было удобно для организаций и действительно работало так, как это нужно пользователям.Принцип «всегда на связи»Забота о клиентах проявляется не только в том, что компания регулярно обновляет свой продукт, но и в том, что она обеспечивает его поддержку и собирает обратную связь для выявления потребностей используя абсолютно разные каналы связи. Это — классическая почта и портал технической поддержки, многоканальный телефон, телеграм-бот и канал в Telegram, чат в веб-интерфейсе самого продукта. Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.ВыводыIdeco UTM 9 — это постоянно развивающееся отечественное решение, включившее в себя не только функциональную часть как таковую, но и современный подход к разработке и сопровождению продукта. С одной стороны, это IPS, межсетевой экран, почтовый релей и т. д., а с другой стороны — постоянная обратная связь с производителем решения, регулярные релизы и обновления.С каждой версией производитель всё больше заботится об администраторах с базовыми знаниями сетевых технологий, упрощая процесс настройки шлюза безопасности, структурируя веб-интерфейс и принудительно заставляя уходить от «пустых» паролей и паролей «по умолчанию», что важно для бюджетных организаций и компаний с маленьким штатом ИТ-сотрудников. Читать далее
×