spamolov

Какой анти-спам продукт вам кажется самым лучшим.

В этой теме 26 сообщений

Добрый день, коллеги.

Давно хотелось начать данную тему. Руки просто чесались.

Какой из имеющихся антиспам продуктов на Российском рынке кажется вам наиболее эффективным(именно для рускоязычных пользователей).

Принимаются любые субъективные мнения, приведу пример,чтобы как-то упорядочить точки зрения, которые здесь прозвучат.

например приходит кто-то из Яндекса и говорит: "Наша Спамооборона - самая лучшая, так как мы используем алгоритмы шинглирования и информацию об источниках

спама, которая доступна Яндексу".

с ним не согласен кто-либо из Лаборатории Касперского, "Мы эффективнее Яндекса, так как у нас работает большая лингвистическая лаборатория,которая добавляет

огромное количество лингвистических сигнатур в день." итд.

Примеры выше все вымышленные,так сказать для затравки, хотелось бы услышать обоснованные мнения людей использовавших антиспам продукты.

Какие фичи вам больше всего по душе,что может очень нравиться а что нет. Что вы бы хотели добавить итд. Хочеться слышать мнения о всех продуктах не зависимо

Российские ли они или Западные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а простейший фильтр на самом вэб-ящике вам религия на позволяет настроить?

TO -- IS NOT -- ***@***

точно так же, например, в Мыше_Летучем есть фильтр "выборочное скачивание"

(добавил через два часа)

гм, spamolov, прошу прощения за резкость.

перечитал вопрос. исправлять свой пост не стал.

собственно, выше описано, то чем пользуюсь я.

ну и наверно стоит добавить, что у меня несколько п/я, каждый из которых для

писем различной важности.

в тот, который я использую для регистрации на всяких "левых" ресурсах,

даже не заглядываю. :)

на Рамблере понравилась ф-ция пересылки письма отправителю с произвольным текстом в каменте. :)

можно отвести душу :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а простейший фильтр на самом вэб-ящике вам религия на позволяет настроить?

TO -- IS NOT -- ***@***

точно так же, например, в Мыше_Летучем есть фильтр "выборочное скачивание"

(добавил через два часа)

гм, spamolov, прошу прощения за резкость.

перечитал вопрос. исправлять свой пост не стал.

собственно, выше описано, то чем пользуюсь я.

ну и наверно стоит добавить, что у меня несколько п/я, каждый из которых для

писем различной важности.

в тот, который я использую для регистрации на всяких "левых" ресурсах,

даже не заглядываю. :)

на Рамблере понравилась ф-ция пересылки письма отправителю с произвольным текстом в каменте. :)

можно отвести душу :)

Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Какой из имеющихся антиспам продуктов на Российском рынке кажется вам наиболее эффективным(именно для рускоязычных пользователей).

Принимаются любые субъективные мнения, приведу пример,чтобы как-то упорядочить точки зрения, которые здесь прозвучат.

Я бы не стал использовать субъективные мнения. Есть тесты. Тот же Virus Bulletin, ругаемый антивирусниками, проводит хорошие, с точки зрения методологии, тестирования анти-спам систем. Можно посмотреть на результаты тестов. Жаль, что спамооборона не принимает участие. Один минус -- VB тестирует на потоке характерном для Англии, а не для России.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Я бы не стал использовать субъективные мнения. Есть тесты. Тот же Virus Bulletin, ругаемый антивирусниками, проводит хорошие, с точки зрения методологии, тестирования анти-спам систем. Можно посмотреть на результаты тестов. Жаль, что спамооборона не принимает участие. Один минус -- VB тестирует на потоке характерном для Англии, а не для России.

А я вот как раз хотел бы услышать субъективные мнения людей,которые все это используют,конечных пользователей так сказать. Я вот тут недавно видел в одном из пресс релизов,что Касперский Антиспам учавствовал в тестировании от VB. Хотел бы обсудить лично это дело.

Но для публики, вот что написано в пресс релизе(Вырезал именно часть которая описывает методологию теста):

В тесте использовались более 315 тысяч почтовых сообщений, из которых более 313 тысяч были спамом, включая 19,4 тысяч писем из архива спама Virus Bulletin и более 294 тысяч писем, поступающих в режиме реального времени от спам-ловушек проекта Project Honey Pot. Все тестируемые решения получали один и тот же поток почтовых сообщений.

Письма отсылались со специально созданных, фиксированных IP-адресов, что затрудняло обнаружение спама с помощью технологий фильтрации интернет-адресов. Для решения проблемы потери информации о реальном отправителе спама IP-адреса и/или доменные имена отправителей добавлялись в служебные заголовки писем.

Ну а насчет Спамообороны, мне кажется им незачем учавствовать в тесте от VB, так как они именно и специализируются на рускоязычном спаме и не лезут на западные рынки. Так что на потоке который идет для Англии они будут плохо выглядеть :) А в России, как я понимаю, нет достаточно авторитетного источника,который не был бы замечен в тесных контактах с вендорами. Поэтому у всех параноя что их обсчитают или выставят в неудобном свете :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Речь, в первую очередь, идет о корпоративных средствах борьбы, а не решениях на уровне одной рабочей станции.

Корпоративных средств масса. В технологическом плане имеют преимущества известные вcем лидеры американского security-рынка:

Symantec, McAfee, Trend Micro. Дело в том, что линейка решений для предприятий по защите от спама у каждого из этих вендоров

очень богата и подойдет под любые требования любых компаний - как небольших, так и крупнейших.

Все зависит от этих самих требований.

- Есть решения для защиты groupware-серверов (Domino/Exchange), шлюзовых серверов.

- Есть решения для защиты SMTP/POP3 шлюза в виде софта, который интегрируется с MTA, и осуществляет сканирование почты

- Есть интегрированные апплайенсы, которые сочетают в себе MTA и сканер спама (доступные также и в виде VMware-образа).

По вопросу - какие фичи интересны. Мне лично нравятся последние технологии (присутствующие у всех упомянутых вендоров), направленные

на анализ IP по репутации и классификацию соединений (рейтинговая системе), которая позволяет блокировать SMTP-соединение еще до

его установления с mail-сервером. Это позволяет уже заранее срезать 80% спама, не затратив ресурсы на фильтрацию контента на самом сервере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Корпоративных средств масса. В технологическом плане имеют преимущества известные вcем лидеры американского security-рынка:

Symantec, McAfee, Trend Micro. Дело в том, что линейка решений для предприятий по защите от спама у каждого из этих вендоров

очень богата и подойдет под любые требования любых компаний - как небольших, так и крупнейших.

Все зависит от этих самих требований.

- Есть решения для защиты groupware-серверов (Domino/Exchange), шлюзовых серверов.

- Есть решения для защиты SMTP/POP3 шлюза в виде софта, который интегрируется с MTA, и осуществляет сканирование почты

- Есть интегрированные апплайенсы, которые сочетают в себе MTA и сканер спама (доступные также и в виде VMware-образа).

По вопросу - какие фичи интересны. Мне лично нравятся последние технологии (присутствующие у всех упомянутых вендоров), направленные

на анализ IP по репутации и классификацию соединений (рейтинговая системе), которая позволяет блокировать SMTP-соединение еще до

его установления с mail-сервером. Это позволяет уже заранее срезать 80% спама, не затратив ресурсы на фильтрацию контента на самом сервере.

Я тоже за репутацию, просто обеими руками,но вот тенденция пошла,что ее не всегда достаточно(к сожалению). А что если спам идет с hotmail серверов, с тысяч автоматически сгенерированных адресов, и к тому же на русском языке. Как ведут себя упомянутые вами решения, видно что у вас есть опыт в интеграции, сталкивались ли вы на практике с такими примерами. Я думаю здесь эффективнее будет контентная фильтрация заточенная именно под рускоязычного пользователя? Интересует ваше мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Соглашусь с мнением Павла выше. Стоит рассмотреть ведущие западные решения по фильтрации антиспама, в первую очередь от большой тройки Symantec, McAfee, Trend Micro.

У Symantec есть семейство Brightmail, которое еще до покупки одноименной компании во многом было ориентиром для всей индустрии по эффективности и функционалу. Также мне лично симпатичны репутационные методы, которые применяются в Trend Micro Network Reputation Services.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я тоже за репутацию, просто обеими руками,но вот тенденция пошла,что ее не всегда достаточно(к сожалению). А что если спам идет с hotmail серверов, с тысяч автоматически сгенерированных адресов, и к тому же на русском языке

Даже если с домена hotmail.com кто-то будет слать тысячи спам-собщений, все равно на уровне SMTP-соединения будет фиксироваться конечное число IP-соединений. Если присутствуют функции локальной репутации (как в Brightmail Gateway, например), то даже такие спам-атаки не пройдут.

У Symantec, как я уже говорил, имеется функция классификации соединений, которая ведет локальную статистику всех IP-адерсов, которые отправляют спам.

Кроме того есть тот же Traffic Shaping, который на основе данных классификации (по IP или домену) может:

А) Полностю блокировать SMTP-соединение еще до принятия письма вашим mail server'ом (SMTP reject)

Б) Снизить полосу пропускания канала для конкретного IP. Это означает, что те IP, которые отправляют много спама, получат меньше ресурсов

на соединение с вами. (SMTP defer).

В) Разрешить соединение с определенным IP.

Таким образом, возвращаясь к примеру с hotmail - со временем все IP отправителей будут постепенно (причем автоматически) заносится в раздел плохих. Как только все такие IP попадут в "черный" список, спаммерам станет невыгодно отправлять спам в ваш домен (это будет занимать

очень много времени).

Единственное НО - для того, чтобы эти функции успешно работали, должна накопится некоторая статистика "плохих" и "хороших" IP.

Я думаю здесь эффективнее будет контентная фильтрация заточенная именно под рускоязычного пользователя? Интересует ваше мнение.

Да, возможно. Но это потребует "обучения" фильтров и написания правил, которое займет время.

Если говорить о русском спаме, то единственная проблема может быть в том, что продукт западного вендора может не обнаруживать его

всилу того, что у вендора не достаточно ресурсов, чтобы отслеживать спам в России (например, мало ловушек или нет доступа к базам и RBL-листам).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Даже если с домена hotmail.com кто-то будет слать тысячи спам-собщений, все равно на уровне SMTP-соединения будет фиксироваться конечное число IP-соединений. Если присутствуют функции локальной репутации (как в Brightmail Gateway, например), то даже такие спам-атаки не пройдут.

У Symantec, как я уже говорил, имеется функция классификации соединений, которая ведет локальную статистику всех IP-адерсов, которые отправляют спам.

Кроме того есть тот же Traffic Shaping, который на основе данных классификации (по IP или домену) может:

А) Полностю блокировать SMTP-соединение еще до принятия письма вашим mail server'ом (SMTP reject)

Б) Снизить полосу пропускания канала для конкретного IP. Это означает, что те IP, которые отправляют много спама, получат меньше ресурсов

на соединение с вами. (SMTP defer).

В) Разрешить соединение с определенным IP.

Таким образом, возвращаясь к примеру с hotmail - со временем все IP отправителей будут постепенно (причем автоматически) заносится в раздел плохих. Как только все такие IP попадут в "черный" список, спаммерам станет невыгодно отправлять спам в ваш домен (это будет занимать

очень много времени).

Павел, спасибо за подробное объяснение того, как работают репутационные технологии. Вообще я в теме :)

По поводу hotmail, мы возможно с вами не поняли друг друга, я имел ввиду,что спам идет с настоящих серверов hotmail/gmail/mail.ru, письма даже подписаны domain keys(в случае gmail), но содержат в себе спам. У спамеров еще осталось куча настоящих email аккаунтов, которые им удалось сгенерировать когда была взломана google captcha.

В данный момент это очень распостранненый способ, расчитанный именно на обход репутации. И он весьма эффективно работает.

И вы, как я понимаю собираетесь заносить в черный список настоящие IP адреса серверов hotmail и gmail и сокращать колличество smtp соединений для них. Что может привести к весьма плачевным последствиям. Особенно в корпоративной среде.

Тут еще стоит отметить что спам рассылки, которые я отметил имеют весьма узкий таргетинг, и еще здесь накладывается ограничение на посылку одинаковых сообщений в сутки, которые накладывает gmail и hotmail. Если я не ошибаюсь - эта цифра равна 500 сообщениям в сутки. Но если в распоряжении спамера есть большое колличество email аккаунтов, то это ограничение тоже перестает быть проблемой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Соглашусь с мнением Павла выше. Стоит рассмотреть ведущие западные решения по фильтрации антиспама, в первую очередь от большой тройки Symantec, McAfee, Trend Micro.

У Symantec есть семейство Brightmail, которое еще до покупки одноименной компании во многом было ориентиром для всей индустрии по эффективности и функционалу. Также мне лично симпатичны репутационные методы, которые применяются в Trend Micro Network Reputation Services.

Сергей, если вам не трудно, объясните пожалуйста чем отличаются репутационные методы Trend Micro Network Reputation Services, от всех остальных представленных на рынке, скажем от Senderbase для IronPort или McAfee Trusted source. Именно какие отличия в технологическом плане. Очень интересует данная тема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
И вы, как я понимаю собираетесь заносить в черный список настоящие IP адреса серверов hotmail и gmail и сокращать колличество smtp соединений для них. Что может привести к весьма плачевным последствиям. Особенно в корпоративной среде.

В черный список адреса заносит не пользователь, а устройство или программа, выполняющее фильтрацию. Чем больше спаммерских писем пришло, тем меньше вероятность того, что письмо будет принято. На глобальной репутации gmail это почти не сказывается. А вот локальная репутация - со временем снижается.

А Вам часто приходят письма от корпоративных пользователей с домена hotmail или gmail? У большинства крупных предприятий

свои локальные сети, где происходит обмен письмами. И на деловую переписку между пользователями двух разных компаний блокировка новых сообщений с gmail никак не влияет - они продолжают получать свои письма.

Сергей, если вам не трудно, объясните пожалуйста чем отличаются репутационные методы Trend Micro Network Reputation Services, от всех остальных представленных на рынке, скажем от Senderbase для IronPort или McAfee Trusted source. Именно какие отличия в технологическом плане. Очень интересует данная тема.

Большинство анти-спам технологий схожи. Обычно все основывается на глобальной базе спам-ловушек, представляющих собой

истекшие и более не используемые аккаунты электронной почты, на которые стабильно приходит определенный процент спама каждый день.

Получая информацию с таких "сенсоров", можно нагдядно отследить картину спама в каждом регионе или стране, а затем получить сигнатуры

для фильтрации спама и деплойить их в форме анти-спам обновлений для своих продуктов. Или создать набор правил для проверки спам-сообщений.

Разумеется, эти базы огромные и чем больше такая база, тем более эффективно идет проверка на спам.

Т.е. происходит так же, как и с антивирусами.

Отличие состоит в том, что одни компании OEM'ят базы других компаний.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В черный список адреса заносит не пользователь, а устройство или программа, выполняющее фильтрацию. Чем больше спаммерских писем пришло, тем меньше вероятность того, что письмо будет принято. На глобальной репутации gmail это почти не сказывается. А вот локальная репутация - со временем снижается.

Эта часть мне абсолютно понятна, я имею ввиду кто заносит IP адреса в черный список и как это происходит. Моя задача доказать вам что репутация - это не всегда панацея и я считаю что ее роль очень сильно преувеличина маркетологами, а особенно маркетологами из большой тройки (Symantec,Trendmicro, McAfee). Вот вы сказали,что репутации тоже требуется время для накопления информации о плохих/хороших адресах и я здесь с вами полностью согласен. А позвольте вас спросить на основании чего копится эта репутация? То есть скажем как мы определяем является

IP адрес хорошим или плохим. Я вам отвечу, она копиться засчет срабатывания антиспам сигнатур(в том числе лингвистических итд),которые добавляются в ручную и срабатываний антивируса, плюс к этому прибавляем добавление/удаление адресов в ручную спам аналитиками.

Можно еще сюда включитьпереработку информации в автоматическом режиме со spam traps, но этот процесс тоже должен контролироваться в ручную, и никто из вендоров не считает априори все что идет в ловушки спамом - это весьма опасный подход, так как можно опять же добавить например новый сервер gmail в черный список глобальной репутации и сильно навредить уже своей репутации :).

То есть скажем чтобы накопить репутацию о неизвестном IP адресе рассылающем спам, вам придется все равно на первом этапе ловить спам сигнатурами и ничем иным. Под сигнатурами здесь я подразумеваю обширный список, от regex до URI_BL, итд.

То есть соответственно репутация без сигнатур и без быстрой реакции производителя решения - это ни что иное как безполезная поделка. А при примере который я описал, когда спам идет с аккаунтов на бесплатных email сервисах, тут она вообще перестает работать, так как даже если вы и накопите багаж локальной репутации, вам никто не позволит держать адреса серверов gmail или mail.ru в черных списках, почему я опишу ниже ответив на вашу следующую реплику.

По моему мнению репутация работает менее эффективно в России, где спам более изощеренный и тут нет такой ситуации как на западе, что спам рассылка живет без изменений месяц и более и рассылается с одних и тех же машин. Здесь скорее все рассылки индивидуальны, спамеры все больше и больше пользуются узким таргетированием, чаще пользуются свежими ботнетами, и поэтому с русским спамом лучше справляются продукты наших производителей, ориентированные больше на контентный анализ и быстрое обновление сигнатур.

А Вам часто приходят письма от корпоративных пользователей с домена hotmail или gmail? У большинства крупных предприятий

свои локальные сети, где происходит обмен письмами. И на деловую переписку между пользователями двух разных компаний блокировка новых сообщений с gmail никак не влияет - они продолжают получать свои письма.

Я вам отвечу так, возьмем пример из реальной жизни, адвокатское бюро(специализирующееся на работе с физическими лицами), или страховая компания занимающаяся приемущественно страховкой частных автомобилей. Эти компании приемущественно работают с физическими лицами, а у физических лиц очень часто бывают акаунты на бесплатных серверах. И в нашем примере, если мы заблокируем локальной репутацией какой-либо из серверов gmail/hotmail/mail.ru, все может закончится плачевно :) Потерей клиента или еще чем-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Большинство анти-спам технологий схожи. Обычно все основывается на глобальной базе спам-ловушек, представляющих собой

истекшие и более не используемые аккаунты электронной почты, на которые стабильно приходит определенный процент спама каждый день.

Получая информацию с таких "сенсоров", можно нагдядно отследить картину спама в каждом регионе или стране, а затем получить сигнатуры

для фильтрации спама и деплойить их в форме анти-спам обновлений для своих продуктов. Или создать набор правил для проверки спам-сообщений.

Разумеется, эти базы огромные и чем больше такая база, тем более эффективно идет проверка на спам.

Т.е. происходит так же, как и с антивирусами.

Отличие состоит в том, что одни компании OEM'ят базы других компаний.

Павел,спасибо, за пояснение, именно этим я и занимаюсь последние пять лет своей профессиональной деятельности :) А вопрос так был сформулирован Сергею специально, чтобы он пояснил чем именно репутационные решения Trend Micro, отличаются от всех остальных. Так как он выделил эти решения как лично ему понравившиеся, по определенным причинам, хотелось бы их услышать, если возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По моему мнению репутация работает менее эффективно в России, где спам более изощеренный и тут нет такой ситуации как на западе, что спам рассылка живет без изменений месяц и более и рассылается с одних и тех же машин. Здесь скорее все рассылки индивидуальны, спамеры все больше и больше пользуются узким таргетированием, чаще пользуются свежими ботнетами, и поэтому с русским спамом лучше справляются продукты наших производителей, ориентированные больше на контентный анализ и быстрое обновление сигнатур.

В России, действительно, даже у Symantec были проблемы с обнаружением спама продуктами семейства Brightmail.

Дело в том, что сама база спам-ловушек Symantec в России - совсем небольшая, мягко говоря. Поэтому были случаи, когда спам проходил в

больших количествах, причем у заказчиков не только из России.

Я вам отвечу так, возьмем пример из реальной жизни, адвокатское бюро(специализирующееся на работе с физическими лицами), или страховая компания занимающаяся приемущественно страховкой частных автомобилей. Эти компании приемущественно работают с физическими лицами, а у физических лиц очень часто бывают акаунты на бесплатных серверах. И в нашем примере, если мы заблокируем локальной репутацией какой-либо из серверов gmail/hotmail/mail.ru, все может закончится плачевно :) Потерей клиента или еще чем-либо.

Согласен с этим полностью.

Получается, что даже лучшие репутационные технологии требуют хорошей поддержки специалистов службы Security Response, а

без них будут блокировать легитимные адреса и "хороших" отправителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Моя задача доказать вам что репутация - это не всегда панацея и я считаю что ее роль очень сильно преувеличина маркетологами, а особенно маркетологами из большой тройки (Symantec,Trendmicro, McAfee). Вот вы сказали,что репутации тоже требуется время для накопления информации о плохих/хороших адресах и я здесь с вами полностью согласен. А позвольте вас спросить на основании чего копится эта репутация? То есть скажем как мы определяем является

IP адрес хорошим или плохим. Я вам отвечу, она копиться засчет срабатывания антиспам сигнатур(в том числе лингвистических итд),которые добавляются в ручную и срабатываний антивируса, плюс к этому прибавляем добавление/удаление адресов в ручную спам аналитиками.

Немного не так все происходит. Если не углубляться в конкретные реализации вендоров, то репутационная база строится следующим образом. Есть некий "динамический RBL", куда оперативно заносится информация от сенсоров-ловушек о спамерах, тут вы правы.

Но есть еще очень важная вещь. Какова цель спама, что там обычно бывает? Там бывают линки на зараженные сайты и линки на разные сайты заказчиков. Крупные секьюрити-вендоры имеют динамические базы как зараженных URL, так и те самые базы заказчиков спама. Если в письме есть ссылка на сайта типа xxxclub.noname.ru и этот URL уже был замечен в спаме не раз, то почти на 100% можно говорить, что и сейчас нам пришел спам. Тоже самое и с зараженными URL. Если корреляционная антивирусная репутационная база показывает, что по этому адресу был вредонос, то по-любому это сообщение нежелательное.

В общих чертах как-то так :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Немного не так все происходит. Если не углубляться в конкретные реализации вендоров, то репутационная база строится следующим образом. Есть некий "динамический RBL", куда оперативно заносится информация от сенсоров-ловушек о спамерах, тут вы правы.

Но есть еще очень важная вещь. Какова цель спама, что там обычно бывает? Там бывают линки на зараженные сайты и линки на разные сайты заказчиков. Крупные секьюрити-вендоры имеют динамические базы как зараженных URL, так и те самые базы заказчиков спама. Если в письме есть ссылка на сайта типа xxxclub.noname.ru и этот URL уже был замечен в спаме не раз, то почти на 100% можно говорить, что и сейчас нам пришел спам. Тоже самое и с зараженными URL. Если корреляционная антивирусная репутационная база показывает, что по этому адресу был вредонос, то по-любому это сообщение нежелательное.

В общих чертах как-то так :)

Сергей, вы меня наверное не так поняли, помоему все так и происходит как я написал, так как под спам сигнатурами я понимаю и описанный вами выше URI_BL (URI Blacklist). Это тоже сигнатура. Например в Спам Ассассин, если письмо сожержит плохой URL ему присваевается повышенный вес. Поэтому я и включил все методы на основании которых копится IP репутация(именно ее мы рассматриваем) в название "спам сигнатуры".

Тут еще что надо отметить, с каждым днем спамеры все меньше и меньше используют собственноручно созданные URL адреса, так как они весьма быстро блокируются и письма перестают попадать в ящики жертв. Спамерам выгоднее использовать например Google/Yahoo Groups, Или сервисы Google Documents, недавно видел что размещают картинки с Виагрой на Facebook. Это безотказный способ, так как не надо иметь свою инфраструктуру. Тут еще надо отметить,что спамеры никогда не шлют сами спам письма с тех же IP на который размещены сайты рекламируемые ими.

Плюс к выше сказанному, русские спамеры пошли еще дальше и вместо URL чаще используют телефонные номера вида (Ч95) З65 O8 49 (Буквы вместо цифр итд) либо номера ICQ.

Так что борьба продолжается :)

Не поясните все таки чем конкретно отличается реализация репутации на примере конкретного вендора, к примеру Trend Micro. Было бы интересно.

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей, вы меня наверное не так поняли, помоему все так и происходит как я написал, так как под спам сигнатурами я понимаю и описанный вами выше URI_BL (URI Blacklist). Это тоже сигнатура. Например в Спам Ассассин, если письмо сожержит плохой URL ему присваевается повышенный вес. Поэтому я и включил все методы на основании которых копится IP репутация(именно ее мы рассматриваем) в название "спам сигнатуры".

Верно, то тут важна природа этих баз. Если мы будет собирать тот же URI_BL из самого спама - это одна эффективность, а если будем использовать корреляции из других баз, например, упомянутых мной зараженных URL или сайтов с низкой репутацией (тот самый in the cloud), то эффективность будет другая.

Рука руку моет. Как бот сети зараженных компьютеров используется для рассылки спама, так и спам используется для заражения новых компьютеров и пополнения бот-сетей. URL может еще не использоваться в спаме, но информация о том, что он подозрительный или зараженный может давно уже быть.

Тут еще что надо отметить, с каждым днем спамеры все меньше и меньше используют собственноручно созданные URL адреса, так как они весьма быстро блокируются и письма перестают попадать в ящики жертв. Спамерам выгоднее использовать например Google/Yahoo Groups, Или сервисы Google Documents, недавно видел что размещают картинки с Виагрой на Facebook. Это безотказный способ, так как не надо иметь свою инфраструктуру. Тут еще надо отметить,что спамеры никогда не шлют сами спам письма с тех же IP на который размещены сайты рекламируемые ими.

Вот это действительно проблема, пока я не совсем понимаю, как можно эффективно этому противостоять. <_<

Если Андрей Никишин увидит тему, то может расскажет, как с этим борются в ЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот это действительно проблема, пока я не совсем понимаю, как можно эффективно этому противостоять. <_<

Если Андрей Никишин увидит тему, то может расскажет, как с этим борются в ЛК.

Сергей, не вполне понял в чем проблема? Максим все понятно описал как работает URIBL, твои идеи с корреляцией так же понятны и могут сработать (только не так в лоб, а чуть по-другому).

Получил уточняющий вопрос. Как бороться сло ссылками на Facebook, MySpace, Google и пр

Точно так же как и с остальным спамом -- ссылка есть сигнатура. С другой стороны, кроме ссылок обычно бывают тексты, а еще бывают IP адреса, с которых рассылают спам, а еще... много чего. Я не вижу борльшой проблемы в ловле спаса со ссылками на google, myspace и пр

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей, не вполне понял в чем проблема? Максим все понятно описал как работает URIBL, твои идеи с корреляцией так же понятны и могут сработать (только не так в лоб, а чуть по-другому).

Получил уточняющий вопрос. Как бороться сло ссылками на Facebook, MySpace, Google и пр

Точно так же как и с остальным спамом -- ссылка есть сигнатура. С другой стороны, кроме ссылок обычно бывают тексты, а еще бывают IP адреса, с которых рассылают спам, а еще... много чего. Я не вижу борльшой проблемы в ловле спаса со ссылками на google, myspace и пр

Да именно так и только так, ссылка есть сигнатура(Так как любая ссылка уникальна), тут стоит пояснить подробнее, сканер должен работать примерно так: рассмотрим превентивный сценарий, когда мы еще не видели данную ссылку встречающуюся в спаме соответсвенно не можем добавить ее в базу,

чтобы исключить ложные срабатывания необходимо не давать никакого веса для правила(регулярного) выражения, которое определяет есть ли в письме ссылка на Google, Yahoo итд, а вот если на данном письме еще и срабатывает какая-либо другая группа правил(например поддельные часы или медикаменты, то тут надо увеличивать вес.

Этот метод не всегда эффективен,так как иногда спамеры просто шлют URL и кучу разных непонятных по смыслу слов и выражений, но иногда очень помогает остановить только начавшиеся эпидемии. Это так как я с этим борюсь :)

А так Андрей совершенно прав, проблемы как таковой зедесь нет. Разьве что спамеру теперь можно обходить такие процессы как регистарация домена на подставные лица и с поддельных кредитных карт, да и не нужно делать свою инфраструктуру, а при начале блокирования его ссылок на бесплатных ресурсах, просто поменять их или переехать на другой ресурс и делают они это быстро. Вот где проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Разьве что спамеру теперь можно обходить такие процессы как регистарация домена на подставные лица и с поддельных кредитных карт, да и не нужно делать свою инфраструктуру, а при начале блокирования его ссылок на бесплатных ресурсах, просто поменять их или переехать на другой ресурс и делают они это быстро. Вот где проблема.

Это не проблема. Это большой плс для спамеров. Cloudные технологии :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это не проблема. Это большой плс для спамеров. Cloudные технологии :-)

Ну да, для спамеров это не проблема, для нас это проблема :)

Тут еще можно отметить "быструю" реакцию самих социальных сервисов, на спам вот тут есть ссылка обнаруженная мной 13 августа сего года, неделю назад была жива картиночка :) А сколько таких даже страшно подумать.

http://www.facebook.com/notes.php?id=100000107458067

Так как это всего лишь картинка и ничего больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы. Преимущество его в том, что не ведется никакая база данных с сигнатурами сообщений (которых теоретически может быть бесконечное множество, и выгода производителей таких анитиспамов очивидна - постоянная зависимость от них). Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Эффективность таких методов защиты проверена в течении 3-х лет на почтовом сервере крупной копмании. 90% спама просто не принимается сервером. Потери незначительны, проблемы решаются быстро с помощью настроек фильтра.

Основное преимущество - простота настроек, бесплатная техподдержка на протяжении всего периода использования, цена невысокая.

Это не спам-сообщение в форум, просто борьба со спамом - это бизнес, приносящий производителям ПО большие прибыли. Отсюда их незаинтересованность в эффективных методах борьбы со спамом, а они существуют. Но куда нам тягаться с монстрами на рынке ПО, потому я выбрал такой способ, надеюсь не вызову нареканий со стороны уважаемых форумян :)

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы. Преимущество его в том, что не ведется никакая база данных с сигнатурами сообщений (которых теоретически может быть бесконечное множество, и выгода производителей таких анитиспамов очивидна - постоянная зависимость от них). Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Эффективность таких методов защиты проверена в течении 3-х лет на почтовом сервере крупной копмании. 90% спама просто не принимается сервером. Потери незначительны, проблемы решаются быстро с помощью настроек фильтра.

Основное преимущество - простота настроек, бесплатная техподдержка на протяжении всего периода использования, цена невысокая.

Это не спам-сообщение в форум, просто борьба со спамом - это бизнес, приносящий производителям ПО большие прибыли. Отсюда их незаинтересованность в эффективных методах борьбы со спамом, а они существуют. Но куда нам тягаться с монстрами на рынке ПО, потому я выбрал такой способ, надеюсь не вызову нареканий со стороны уважаемых форумян :)

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

Ну давайте пообщаемся поподробнее о вашем чудо творении здесь :) Заговор...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Могу предложить Вам антиспам-фильтр, который работает по иному принципу, чем все распространенные и известные антиспамы.

Фильтрация спама происходит по признакам подключения и содержимому SMTP-протокола, чтобы отфильтровать сообщения не нужно их получать, достаточно пообщаться с отправителем спама на уровне протокола, и сделать вывод.

Если Вас заинтересовало мое сообщение, предлагаю пообщаться подробнее.

ICQ 568198000

А почему аськой, Давайте здесь -- интересно не только Спамолову. Коллега, опишите чуть более подробно что вы сделате во время сессии, плс. Я знаю с пяток разных разностей в SMTP сессии (ну и имена компаний это делающих тоже:-), чтобы поймать спам, что делаете вы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • sharyga777
    • AM_Bot
      Генеральный директор компании «Аванпост» Андрей Конусов поделился с Anti-Malware.ru своим видением ситуации на российском рынке систем IDM. О том, что нужно российским заказчикам IDM , по каким критериям сегодня они выбирают такие системы, каковы сроки окупаемости внедрения — об этом и многом другом читайте в интервью. Читать далее
    • AM_Bot
      Тематика платформ реагирования на инциденты (Incident Response Platforms, или IRP) набрала популярность в последние несколько лет — что подтверждает экспертная оценка. В этой статье мы определим, что такое IRP, и посмотрим, какое предложение IRP существует на рынке на начале 2018 года.     ВведениеОпределение предметной области и рынка платформ реагирования на инцидентыРоссийские поставщики платформ реагирования на инциденты3.1. Jet Signal3.2. R-Vision Incident Response Platform3.3. Security Vision Incident Response PlatformЗарубежные поставщики платформ реагирования на инциденты4.1. CyberBit4.2. IBMOpen-Source-платформы реагирования на инциденты5.1. Fast Incident Response (FIR)5.2. The HiveВыводы ВведениеРост популярности IRP вызван как видимыми бизнесу атаками (WannaCry, Petya, большие DDoS-атаки на российские банковские и государственные структуры), так и постепенным уменьшением объема доступной на рынке труда экспертизе по ИБ. Демографический кризис в сочетании с «клиповым» мышлением приводят к обмелению ранее обманчиво кажущегося безбрежным кадрового моря ИБ-талантов, и заставляет организации искать пути повышения КПД имеющегося персонала, а именно через разработку, внедрение и автоматизацию процессов ИБ, управления инцидентами и реагирования на инциденты, в частности.Особую актуальность тематика автоматизации реагирования приобрела из-за точности и скорости процедур и процессов реагирования. Ведь именно в этот момент счет идет на секунды — организации стремятся снизить время реагирования (а значит, понесенный ущерб) до минимального значения. Определение предметной области и рынка платформ реагирования на инцидентыОпределения IRP в зависимости от источника существенно различаются, но в целом IRP — это класс технологий, направленных на автоматизацию и повышение эффективности процессов управления, реагирования и расследования инцидентов ИБ. Иногда поставщики называют IRP технологической основой для SOC — и с точки зрения рыночных практик с ними трудно спорить, ведь историческая основа для SOC SIEM потихоньку сходит с рынка, а понимание центральной роли log management (и концепции data lake в целом) на рынок еще не проникло в полной мере.Определяющими характеристиками IRP являются наличие функций по автоматизации жизненного цикла управления инцидентами (Incidents management & investigations) и определенная база знаний (Security Knowledge Base), ценятся также функции проведения киберучений (Wargames), автоматического реагирования на инциденты определенного типа (Active Response) и интеграции с различными источниками данных об угрозах (например, платформами управления информацией об угрозах — Threat Intelligence Management Platforms),  что позволяет определить IRP как пересечение четырех множеств на рисунке 2. Рисунок 1. Модель IRP аналитического центра Anti-Malware.ru версии 1.0  Каждое из направлений  IRP имеет свою специфику, например, автоматизация процессов ИБ (incident workflow management & orchestration) предназначена и имеет функции для поддержки достижения трех целей:Контроль качества работы аналитиков в части классификации инцидентов и определениях их статуса (false positive) — архив инцидентов и кастомизируемые карточки инцидентов.Контроль оперативности работы аналитиков — контроль выполнения SLA.Повышение полезной нагрузки на аналитика — автоматическое распределение и назначение инцидентов.На рисунке 2 приведен пример функциональности IRP, что поддерживает процессы реагирования на инциденты ИБ: Рисунок 2. Пример функциональности IRP, поддерживающей процессы реагирования на инциденты ИБ  Рынок IRP включает в себя российских и зарубежных поставщиков решений, а также возможно использовать различные Open-Source-решения. Российские поставщики платформ реагирования на инцидентыРынок IRP в России представлен в первую очередь российскими поставщиками. Особой специфики в российском рынке IRP автору не удалось найти, но локальные игроки традиционно ведут более гибкие продуктовые и ценовые политики.Jet SignalОдним из наиболее молодых игроков на рынке IRP стала компания «Инфосистемы Джет». Компания давно известна своей способностью создавать продукты ИБ — на ее счету Dozor Jet, Jet InView, «Тропа» и много других, и несмотря на выделение вендорского ИБ-бизнеса в компанию Solar Security в 2015, «Джет» продолжает создавать новые продукты ИБ.Вендор позиционирует Jet Signal как систему класса IRP — технологическую платформу для создания SOC, основные задачи которой — управление инцидентами ИБ на всех этапах жизненного цикла: сбор событий ИБ от подсистем ИБ, SIEM, неавтоматизированных источников, управление планами реагирования, автоматизация расследования, организация работы дежурных смен, ведение базы знаний, систематизация данных Threat Intelligence и т. д.Достоинства:Архитектура — как новое на рынке решение, система не имеет legacy-кода.Киберучения — система позволяет проводить киберучения для подразделения мониторинга ИБ (нет отдельного модуля но можно создать синтетический инцидент).Сертификация — система имеет сертификат соответствия требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны и поддерживает комплекс средств защиты Astra Linux. Рисунки 3, 4, 5. Возможности модулей Jet Signal и интерфейс Jet Signal  R-Vision Incident Response PlatformR-Vision IRP стал результатом развития R-Vision GRC в сторону автоматизации процессов мониторинга и реагирования на инциденты ИБ, поэтому в решении традиционно сильны компоненты работы с активами, а за счет длинного присутствия на рынке R-Vision GRC многие функции решения достигли промышленной зрелости и решение разворачивается из коробки — вендор готов проводить пилотные проекты для многих клиентов.Однако стоит отметить, что любая кастомизация предполагает затраты с каждой из сторон, поэтому запросы на добавление функциональности решения определенно будут учтены, но могут быть не приняты вендором без дополнительной оплаты.Достоинства:Опыт проектов в России — источники в индустрии и публичные выступления (например, кейс МТС-банка на Сколково CyberDay 2017) свидетельствуют о значительном опыте вендора по автоматизации процессов реагирования на инциденты ИБ в России в организациях разного масштаба — например, банки топ-50, банки топ-10, государственные структуры.Интеграция — R-Vision инвестировал миллионы в интеграцию с самыми разными средствами защиты информации, некоторые консоли управления от вендоров интегрируемых систем отображают меньше информации, чем R-Vision.Наличие готовых скриптов реагирования (cmd, sh script, Power Shell) и возможность добавления собственных (cmd, sh script, Power Shell , а также в средах python, java и perl).Динамические playbooks. Возможность включения в цепочку действия, результат которого будет зависеть от результата предыдущего.Наличие функциональности по управлению активами и уязвимостями — редкий функциональный блок для классических, прежде всего, западных IRP-решений. Благодаря взаимосвязи указанных блоков с блоком управления реагированием на инциденты значительно повышается эффективность работы аналитиков SOC при расследовании инцидентов, устранении их последствий, установлении причин или оценке ущерба. Рисунки 6, 7, 8, 9. Архитектура и интерфейс R-Vision IRP    Security Vision Incident Response PlatformКомпания Security Vision работала над базовыми функциями IRP, когда аббревиатуры IRP не существовало на российском рынке, одни из первых автоматизировали жизненный цикл управления инцидентами на примере Сбербанка России, где решение находится в промышленной эксплуатации более 3 лет.Для реагирования на инциденты (Active Response) решение использует автоматические планы реагирования и отдельное приложение «Агент реагирования», который является логическим продолжением и развитием собственной системы управления инцидентами ИБ (системы SGRC).  База знаний накапливает знания и позволяет проводить автоматический анализ ранее случившихся инцидентов безопасности и помогает в принятии решений. Функции проведения киберучений (Security Awareness), используется для повышения осведомленности сотрудников компании об информационной безопасности. Агентная и безагентная интеграция с различными источниками данных с поддержкой более 2000 источников (форматы CSV, email, STIX, XML, JSON, и др.) Интеграция для получения фидов на примере IBM X-Force и GIB, GovCERT.Достоинства:Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.Развитые средства визуализации и карта инцидентов ИБ (геоинформационная подсистема с проекцией 3D).Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». Имеется автоматическое реагирование в соответствии с runbook/playbook/use case.Высокая надежность, подтвержденная проектами федерального значения (крупнейший SOC в Восточной Европе, SOC госорганов). Наличие агентов для инвентаризации, контроля целостности, доступности и реагирования, что позволяет дополнять функции классической IRP.SIEM-система Security Vision имеет конструктор простых правил корреляции.Наличие функций управления активами, в том числе ИТ-активами.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений.Ожидается получение сертификата ФСТЭК России. Рисунки 10, 11, 12, 13. Интерфейс Security Vision    Зарубежные поставщики платформ реагирования на инцидентыНесколько лет назад приобрести IRP от зарубежного игрока в России было непросто. Продвигая IRP, еще в 2014 году автор сталкивался как с малым интересом вендоров к России, так и с отсутствием у нас представительств и дистрибуторов. Приходилось выкручиваться с помощью ITSM\BPM-игроков, но с той поры стало легче — на рынок вышло 2 полноценных игрока.При этом до конца неясно, появился ли у зарубежных игроков реальный интерес к рынку — их в стране всего два, в том числе ни одного представительства специализированной (pure play) IRP-компании. Сегмент представлен эксклюзивным дистрибутором CyberBit (IITD Group) и IBM, что ранее приобрела Resilient Systems.CyberBitИзраильская компания CyberBit была основана в 2015 году для защиты корпоративных и критичных (АСУ ТП) инфраструктур от наиболее продвинутых угроз, возможно, ранее являясь внутренним подразделением израильского оборонного концерна Elbit (сейчас его дочерняя компания). Кроме IRP (CyberBit SOC3D) в портфеле решений компании возможно найти EDR, SCADA Security и даже решение класса Cyber Range, что предназначено для имитации корпоративной инфраструктуры при проведении упражнений RedTeam — BlueTeam.Вендор декларирует наличие ключевых для IRP-решения функций автоматического реагирования на инциденты ИБ и управления и контроля обработки инцидентов и тикетов ИБ (подозрений на инциденты), но вынес функциональность киберучений в отдельное решение Cyber Range.Вендор не разглашает своих клиентов, несколько неожиданно комбинируя на своем сайте клиентов с партнерами, поэтому при оценке решения желательно запросить истории успеха.Достоинства:Специализированный портфель решений — вероятна синергия при условии приобретения пакетом.Глобальный опыт — офисы в Израиле, США, Великобритании, Германии и Сингапуре позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Новый на российском рынке бренд и молодая компания — позволяет надеяться на ценовую лояльность производителя.Специализация на кибербезопасности — позволяет предположить более быстрое развитие продвинутой функциональности решений. Рисунки 14, 15, 16. Интерфейс IRP-решения компании CyberBit   IBMВ 2016 году известная своим широким портфелем ИБ-решений компания IBM приобрела самого известного IRP-вендора — Resilient Systems. Компания реализует, возможно, наиболее функционально полное на рынке решение, однако рыночные и открытие источники (например, нашумевший тендер в Пенсионном фонде России) свидетельствуют о соответствии цены функциональным возможностям. Видимо, цена не смущает действительно крупные организации — вендор заявляет о присутствии решения в 100 организациях из списка Fortune 500.      Достоинства:Широкий портфель решений — вероятна синергия при условии приобретения пакетом или наличия ранее приобретенных решений IBM.Глобальный опыт — многочисленные офисы IBM по миру позволяют надеяться, что компания получит доступ к разным проблемам разных клиентов и сможет автоматизировать их решение для будущих клиентов.Сильный бренд — «еще никого не уволили за то, что он купил IBM».Функциональное лидерство на российском рынке. Рисунки 17, 18. Схемы работы Resilient Systems компании IBM   Open-Source-платформы реагирования на инцидентыБесплатные решения с открытым исходным кодом (Free Open Source Solutions, FOSS^ или открытые решения) набирают популярность в разных категориях — от операционных систем и виртуализации до прикладных задач безопасности. Ввиду разработки небольшими коллективами энтузиастов FOSS могут развиваться и решать определенные задачи ИБ даже более полно, чем традиционные коммерческие решения от забюрократизированных гигантов — например, тесно интегрируются с TIMP, нативно поддерживают .Fast Incident Response (FIR)В 2014 году CERT Societe Generale (команда быстрого реагирования на инциденты ИБ глобальной банковской группы французского происхождения) выложила в открытый доступ платформу Fast Incident Response для учета и управления инцидентами ИБ.FIR является наиболее функционально простым решением из решений обзора и даже может быть исключен из класса IRP по формальным основаниям. Фактически в решении реализованы лишь процессы управления инцидентами. Однако такой набор функциональности востребован многими организациями среднего размера, которые еще не осознали пользу от развитых процессов и технологий для оптимизации реагирования на инциденты. Вместе с этим в наличии и продвинутая функция — интеграция с TIMP YETI.Открытые IRP-решения несколько концептуально противоречивы — IRP предназначены для повышения эффективности работы аналитиков, однако перед выбором открытого решения стоит определиться, кто из аналитиков (инженеров) будет поддерживать такое решение, неизбежно отвлекаясь тем самым от мониторинга угроз ИБ.Достоинства:Простота — решение быстро разворачивается и обучать его использованию просто.Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Технологическая гибкость — открытый код, распространенный язык программирования (Python) и небольшой размер кодовой базы позволяют подправить код самостоятельно при наличии соответствующих компетенций. Рисунки 19, 20, 21. Интерфейс платформы Fast Incident Response     The HiveВ 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу The Hive для поддержки расследований инцидентов ИБ.The Hive плотно интегрирована с целым рядом смежных решений для поддержки расследования инцидентов ИБ — платформой по управлению информацией об угрозах MISP, специализированным поисковиком Cortex и агрегатором информации об угрозах Hippocampe.Достоинства:Развитие — решение быстро развивается и обрастает новыми сервисами в рамках единой экосистемы.Расследования — за счет плотной интеграции с техническими средствами расследования The Hive оптимален для Threat Hunting (поиска и расследования сложных угроз).Финансовая гибкость — нет необходимости оплаты лицензий, а также ежегодной поддержки.Интеграция с любым внешним источником (SIEM, IPS, DLP и т. д.) через TheHive4py. Рисунки 22, 23, 24. Платформа The Hive      ВыводыСегодняшний рынок IRP находится еще в своем младенчестве — в России пока лишь десятки клиентов, кому тема интересна и кто готов за нее платить. Однако спрос в основном еще не квалифицирован, а решений мало, поэтому поставщики решений получают премиальную маржу, а развитие функциональности за счет такой маржи идет впечатляющими темпами.Несмотря на молодость рынка на нем уже есть 7 решений с достаточной для выполнения базовых задач функциональностью. Российские поставщики решений обладают уникальными функциями (управление активами и сканирование сети, собственные агенты) либо лучшими функциями на уровне мировых конкурентов (киберучения), зарубежные пока только присматриваются к рынку, а открытые решения угрожают забрать рынок среднего бизнеса у коммерческих — они проще в использовании, разворачиваются быстрее, чем некоторые коммерческие, и не требуют закупки программного обеспечения или обоснования приобретения ПО не из реестра Минкомсвязи.Отдельная тема — контентные базы и референсные библиотеки процессов из коробки. Архитектура и функциональные возможности решений во многом формируются стихийно, и даже мировые лидеры не в состоянии принести клиентам детальный стек проработанных процессов управления инцидентами — процессы «допиливаются» прямо на клиенте. Качественные процессные модели неминуемо станут конкурентным преимуществом для тех игроков, что будут в состоянии их разработать. Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:   Jet SignalАндрей Янкин, заместитель директора Центра ИБ ЗАО «Инфосистемы Джет»R-VisionИгорь Сметанев, коммерческий директор ООО «Р-Вижн»Security VisionРуслан Рахметов, генеральный директор ООО «Интеллектуальная безопасность»Роман Овчинников, инженер ООО «Интеллектуальная безопасность» Читать далее
    • Openair
      подниму темку
    • IgorIgorev
      На ставках не пробовал поднимать денег, как то не сильно интересует. Вот игровые автоматы более интересны, сейчас и в онлайн режиме можно поиграть не выходить из дома. Моей маленькой дочурке тоже нравиться нажимать на клавиши, хотя ничего не понимает главное, что сказочные картинки скачут в экране. Играю в основном на автомате Fairy Gate, все что одобрил мой ребенок. Почитать обзор этой игры  можно тут http://casinofreebonuses3.info/slots/fairy-gate .