Перейти к содержанию
Latin

Защита, а какая она?

Recommended Posts

Latin

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets

Тривиальный ответ - на всё сразу =) И чем оно лучше, тем защита надёжнее.

Самый главный метод - сигнатурный. Им пользуются файловый монитор, почтовый монитор, http-монитор и проч. Из них наиболее важный - файловый монитор. Большинство вирусов, с которыми пользователь сталкивается, ловится именно файловым монитором по сигнатурам. Самый важный - не значит, единственный нужный. Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя. Последняя новинка - http-монитор. Начал добавляться тогда, когда поняли, что есть зловреды, на которых файловый монитор среагирует, но слишком поздно: например, на заражённую картинку он среагирует уже после того, как она будет обработана браузером.

Но сигнатурный метод уже давно не достаточен, потому что вирусов много, а вирусная лаборатория одна (у конкретного антивируса) =) Поэтому когда-то давно в России придумали эвристик. Поначалу простой, но он подкручивался и совершенствовался. Эвристик - это очень хорошо, но он не обеспечивает желаемого уровня детекта. В лучшем случае, при использовании наиболее продвинутых сегодня эвристиков, получается ловить до 50-60 процентов неизвестных зловредов, что не является удовлетворительным результатом. В среднем же эвристики на рынке детектят лишь процентов 30, что ещё хуже.

Более новая технология - HIPS, поведенческий блокиратор. То, что называется проактивкой у ЛК. Он обычно обеспечивает более высокий уровень детекта, чем эвристик, так как существует меньше свободы её обойти. Грубо говоря, он меньше зависит от реализации зловреда, а больше - от того, что именно зловред в результате хочет сделать. Но зато если зловред захочет сделать что-то другое, чего не контроллирует HIPS, то HIPS промолчит. Эвристик же более умён в этом плане - он пытается найти участки кода, которые "напоминают" ему какого-нибудь зловреда. Кроме того, HIPS часто ругается на "хорошие программы", посему нужно придумывать какие-то технологии против этого.

Так что ни проактивка, ни эвристик не взаимозаменяемы. Приходится разрабатывать их обоих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Согласен с Дмитрием. Да, сигнатурное определение на сегодня-самое важное, да и во многих тестах современных антивирусов проверяют именно работу сигнатурного сканера. Что касается выбора между эвристическим и поведенческим анализаторами-то я считаю более перспективным именно поведенческий (чисто моё субъективное мнение). Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса. Если говорить о лжесрабатовании- то поведенческий много даёт алярмов (хотя их мона уменьшить соответствующими настройками анализатора), но и эвристика у некоторых продуктов даёт много алярмов (чем выше уровень эвристики, тем больше алярмов: исключение NOD32). Например мой родной VBA имеет очень мощную эвристику-пожалуй одну из самых мощных, но лже срабатываний-просто половина всех срабатываний.

Вывод:помимо сигнатурного анализатора (самый важный) должен быть HIPS модуль (с широкими возможностями настройки и с предустановленными вариантами для различных случаев).Эвристика тоже должна быть, но такая, чтобы лжесрабатываний было минимум(пускай и не самая мощная-равняться на NOD32). http-модуль в обязательном порядке (сигнатура +эвристика).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Поведенческий блокиратор можно обновлять вместе с сигнатурами баз, эвристический модуль-тока с выходом новой версии антивируса.

Нет, это не так. Эвристик тоже обновляемый. В частности, у ЛК он вообще не зависит от версии продукта. Целиком в вир.лабе разрабатывается.

С остальным согласен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin

Спасибо! но возникает несколько вопросов

Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Поэтому когда-то давно в России придумали эвристик.

Что серьезно? :) Мы опять самые лучшие! :)

Остальные компоненты добавлялись именно тогда, когда все понимали, что без них уже нельзя.

Тогда что получается, что о проактивке задумались только совсем недавно? Ну а пример с regrun'ом который я привел? насколько я знаю проактивную защиты они сделали относительно давно. И почему только один антивирус имени фамили одного человека релиазовал это. А другие еще не поняли

что без них уже нельзя.
ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.
Эвристик тоже обновляемый.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Самый главный метод - сигнатурный
Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Тогда что получается, что о проактивке задумались только совсем недавно?

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

ведь, насколько я знаю, ни у отечественных разработчиков, ни у буржуйских столь широко реализованной возможности нет.

Совершенно верно.

А как можно обновлять ее? Это ведь определенные алгоритмы, что-то типа fuzzy вычислений. Так?

Эвристику обновлять можно. И "проактивные" алгоритмы тоже. Для уровня ведущих антивирусных вендоров это несложно. (Я тут говорю и про Доктора и про ЛК, заметьте).

vaber писал(а):

Да, сигнатурное определение на сегодня-самое важное

Т.е. в любом случае это основа основ и все остальное это только, скажем так, надстройки (улучшения)? И дальнейшее развитие защит антиаирусов будет строиться на этих же принципах? (здесь уже поднималься вопрос о будущам развитии, но определенного ответа там так и не было).

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Не думаю, что реализовать проактивные технологии, как они сейчас сделаны в КАВ 6.0, трудно ЛЮБОМУ из вендоров. Только это сейчас можно сравнить с войной с ветряными мельницами. Опять же, ИМХО.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Усложняться защита, бесспорно, будет. Но любое усложнение чревато:

1. Увеличением ресурсов компьютера, которые нужны для такой защиты.

2. Увеличением количества багов. Потому что чем сложнее система, тем больше вероятность ошибки/поломки.

Существуют технологии, которые призваны уменьшить нагрузку на машину. А увеличение количества багов, наверное следует считать закономерным явлением.

По этим причинам большинство антивирусных венодоров пока не готовы усложнять алгоритмы антивирусной защиты, дабы не ухудшить свои позиции. Некоторые вендоры (например, ЛК) могут себе позволить такие эксперименты с экспериментами над пользователями и разработчиками.

Категорически несогласен. Практика доказывает обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Интересно, откуда у Вас такая информация. Это Ваши домыслы или Вы, допустим, общались с аналитиками?

Как давний пользователь, действительно, общаюсь.

У меня возникли очень серьезные сомнения насчет обоснованности Вашего мнения.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Существуют технологии, которые призваны уменьшить нагрузку на машину.

Согласен, что это возможно в принципе. Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

А увеличение количества багов, наверное следует считать закономерным явлением.

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Категорически несогласен. Практика доказывает обратное.

Приведите примеры из практики, доказывающие обратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Как давний пользователь, действительно, общаюсь.

Надеюсь с представителями разных вендоров. В противном случае Ваше мнение нельзя признать обоснованным.

Дополните их аргументами. Возможно, они серьёзно скорректируют мою точку зрения.

Давайте будем дискутировать последовательно. В первую очередь мне бы хотелось увидеть агрументы, обосновывающие Вашу позицию.

Согласен, что это возможно в принципе.

Это не только возможно. Это уже реализовано.

Но данные технологии в купе с и так сложной системой, противодействующей вредному ПО создают "почву" для ещё бОльшего количества багов.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал :))

Считаю, что эффективнее (с точки зрения пользователя) уменьшать количество багов, а не усложнять архитектуру защитного ПО (если одно другому мешает).

Устранять недостатки (баги) конечно же необходимо, но это не означает, что нужно останавливаться на достигнутом в технологическом плане. Разве не так?

Приведите примеры из практики, доказывающие обратное.

Доказательством служат тесты Клименти и практика пользователей ЛК. Свои примеры привести не смогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Надеюсь с представителями разных вендоров.

Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Я говорил, что прикипел к одному вендору, хоть и имею лицензию на различные антивирусы (больше, в целях самообразования).

Это не только возможно. Это уже реализовано.

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Это неизбежный процесс. Не думаете ли Вы уважаемый Goudron, что по этой причине следует отказываться от развития технологий? "Багов бояться - на месте топтаться"(сам придумал Smile)

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Доказательством служат тесты Клименти

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

и практика пользователей ЛК.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит. Возможно, стОит от руткитов защититься, соответственно пару не сильно сложных драйверков написать и тратить незначительные силы на их разработку/доработку. Ведь драйверы эти относительно несложные, просто сведения для их написания достаточно закрытые. Но они (сведения) есть у большинства антивирусных вендоров. В этом направлении стОит развиваться большинству антивирусов - не спорю. Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Добавлено спустя 3 минуты 19 секунд:

Re: Защита, а какая она?

Листая сей форум (да и другие по схожей тематике) замечаю, что последнее время все обсуждения так или иначе сводятся к примерно одному противопоставлению - проактивная защита/эвристика/монитор(сигнатуры)/http-сканер. Так возникает вопрос, что и в каких пропорциях должно быть антивирусе и откуда есть пошло все это в современных тенденциях разработках антивирусных программ.

Первой программой выполняющей проактивную защиту, с которой я столкнулся, был проект RegRun www.regrun.com . так вот все что сейчас наблюдается в avp 6 уже было там реализовано. Так что разработчики раньше об этом не думали или надеялись на ... на что? Был такой антивирус AIDS от Лозинского (кто помнит) так он брал в основном эвристическим анализом т.к. обновление баз прошитых в нем передавалось в основном на дискетах, а это, как сами понимаете, очень медленно даже в то время. Потом появился Dr.Web который сделал эвристику составной монитора и это было круто :). И был AVP который жрал ресурсы, но говорил, что только наш монитор набор сигнатур вас защитит. Так на что полагаться мне и таким как я юзерам - сигнатуры, проактивку, эвристику?

Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

PS В Aidstest никогда, никогда НИКОГДА не было ни намека на эвристику.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я надеялся, что _Вы_ общаетесь с аналитиками разных вендоров.

Причем тут я? Это Вы утверждаете, что

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт
.
Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Если можно добиться похожих (идентичных) результатов, усложняя системы защитного ПО, но не сильно, лишь доработав существующие компоненты некоторыми новыми "навыками", тогда совсем новые направления не стОит изобретать и тестировать их на пользователях (или разработчиках/саппорте). Если нельзя, тогда, действительно, нужно заниматься разработкой неизведанного. Я только поставил вопрос. Я не давал на него ответ. Моё локальное во времени и пространстве мнение - пока глобальных изменений в антивирусном ПО делать не стОит.

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод. С этим я полностью согласен. Но использовать лишь этот подход было бы неверным. В современых условиях необходимо развивать проактивные технологии. Это мое мнение.

Проактивка? Нет, не считаю пока это направление ничем бОльшим, чем рекламное.

Какой подход Вы бы предложили в ответ на увеличение, так называемых вредоносных объектов zero day? Возможности реактивного методы небезграничны. Или Вы не согласны?

Тесты, как мы выяснили, так же как и сертификация, не служит доказательством ничего, кроме наличия "лишних" денег и времени специалистов того или иного антивирусного вендора.

Тесты бывают разные.

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Goudron писал(а):

Вопрос больше не в том, что реализовано у одного из вендоров. Вопрос стоИт о том, должны ли все остальные вендоры этому направлению последовать. Если последует большинство - это будет больше подозрительно, чем позитивно.

Почему?

Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Возможности реактивного методы небезграничны. Или Вы не согласны?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Тесты бывают разные.

Любой тест субъективен.

Goudron писал(а):

Пользователи ЛК в 90% не пробовали другие антивирусы (не только Доктора), поэтому их мнения не могут служить доказательством чего-либо.

Это голословное утвержедние.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Правильно говорят, что с кем поведешься, с тем и наберешься. Очень ваши слова похожи на доводы ИД.

Все люди похожи.

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

На чём основано данное утверждение? На материалах ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Что то с логикой не то.

Вы считаете, что технология является правильной, только если ее использовал лидер отрасли ?

Встречный вопрос: считаете ли Вы, что не-лидеры могут стать лидерами в результате использования перспективных технологий, которых еще нет у лидера ?

Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Не забудьте только свериться с существующими патентами в данной области. Ага ?

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе.

В каком, если не секрет ? Может быть ваша выборка нерепрезетативна ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Возможности реактивного методы небезграничны. Или Вы не согласны?
Усовершенствование эвристики (минус использование проактивки). Неверно считать, что эвристик = классический эвристик + проактивка. Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик). ЛК пока только думает об этом. Другие тоже думают об этом. Да, это сложнее, но, на мой взгляд, более перспективно. Посмотрим, как оно сложится дальше.

Проактивная защита включает в себя как поведенческий анализ, так и эвристику. Развивать нужно то и другое.

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Это утверждение основано на моей собственной статистике пользователей антивирусов в моём регионе. Многолетней статистике и краткосрочной.

Полагаю, что этого явно недостаточно, чтобы сделать правильный вывод.

На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Это бы означало, что ЛК - лидер антивирусной индустрии. Пока же я не вижу ни одного участника антивирусного рынка, которого можно назвать лидером. Соответственно новые технологии одно из вендоров не являются поводом для воплощения этих же технологий в массовом порядке у других вендоров.

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы неправы. Если технология (подход, метод) позволяет успешно решать ту или иную проблему, то ее можно и нужно заимствовать.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Согласен, это диктует рынок, т.е. спрос на нем.

В этом плане меня поражают такие люди, которые считаю, что весь мир вокруг ошибается, а на самом деле нужно двигаться совсем в другую сторону. Такая идея чучхе, мы пойдем свои путем :-)

:)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Добавлено спустя 12 минут 32 секунды:

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

>Есть и другие варианты развития, есть и другие возможные пути развития эвристических алгоритмов. Например, внутренняя эмуляция кода (активный эвристик)

Эвристики очень просто обойти всякими анти-отладочными трюками. Поведенческий анализатор так не обманешь.

>пока только думает об этом

Не думает а активно разрабатывает Ж)

> но, на мой взгляд, более перспективно

Нет т.к см первый ответ Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Для начала стоит условиться о терминологии. Рекомендую ознакомится с вот этим документом http://www.viruslist.com/ru/analysis?pubid=170273483

Спасибо за ссылку. Чертовски интересно. Да, наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье.

]

Думают о "проактивке" давно. Просто у многих (если не сказать, у большинства) вендоров большие сомнения на счёт эффективности.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков. (Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

И я так понимаю Goudron имел в виду реализацию в том виде как она сделана в avp. Тогда вопрос в чем сомнения? В методе реализации, взаимодействии с пользователем или еще чем-то?

Вообще говоря, поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед). Конечно, это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) . Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том, что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону. Но таких срабатований, особенно на начальном этапе, достаточно много. И данная ситуация, на мой взгляд, решается введением пресетов. Конечно это требует определенных затрат времени и средств, но с другой стороны исключит ситуацию когда данный компонент попросту отключают со всеми вытекающими отсюда последствиями и сделает "технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя" (с)«Лаборатория Касперского».

Не правда ваша. Пользователи (больше половины по крайней мере)KAV, так же как и пользователи NAV, DrWeb пробовали другие АВ и остановились на чем-то одном.

Во всяком случае больше половины тех, кого я знаю.

Сергей Ильин писал(а):

Я так понимаю, что речь идет о технологическом лидерстве, тут я пожалуй соглашусь, но с другой стороны на лидеры есть на кажом узком участке. Например, Есет - эвристика, ЛК - скорость реакции и детектирование, Trend Micro - корп. средства управления и т.д.

Вы правы. Каждый из указанных Вами вендоров силен по-своему.

Присоединяюсь

Goudron писал(а):

Любой тест субъективен.

Вопрос только в том что в нем больше субъективного или объективного.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Основным методом борьбы с современными угрозами по-прежнему остается реактивный метод.

А не складывается ли у вас мнение, что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.

Для справки - Regrun - низкий класс продутка. Он не перехватывает действия. Он раз в Н секунд проверяет - не изменились ли записи..

Вопрос не в его классе, а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет. А вобще -- в каждом АВ свой порядок, более того порядок обработки может меняться в зависимости от.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Latin
Рассказать о том что и как работает в АВ могут только разработчики движка (или близкие к ним люди) таких здесь нет.

Блин, жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Порядок взаимодействия. Т.е. я положил какой то файл на диске кто и в какой последовательности его обрабатывает - сначала прогоняет сигнатурный анализ или эвристический, и ситуация если, скажем, сигнатурный что-то нашел то прогоняется ли эвристика (ведь возможы вариант, что рядом с известным есть и неизвестный) и наоборот. и при проактивке подключаются ли к проверке две другие составляющие.

Кто нибудь может разъяснит.

Ведь реализация этого так же относится к вопросу о предустановках в поведенческом анализаторе.

Коллега Latin позвольте полюбопытствовать -- к чему такие вопросы? Если есть желание разработать что-то свое, по быстрее научиться что-то делая и анализируя неудачи. Если это праздное любопытство, то информации с форума вполне хватит. Надеюсь, что Гудрон подскажет, другие причины?

Добавлено спустя 7 минут 31 секунду:

]На чём основано данное утверждение? На материалах ЛК?

Возможно ЛК ведет какую-то статистику. И эта статистика известна Stout как маркетологу. Я не вижу ничего плохого в этом.

ЛК, конечно ведет статистику, но внутренняя статистика несколько субъективна и может говорить только о пользователях продуктов ЛК. Говорить за весь регион можно имея результаты независимого и объективного исследования, проведенного независимым агенством.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

На самом деле проблема проактивной защиты (на мой взгляд) в том, что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо за ссылку. Чертовски интересно. Да' date=' наверно, стоило более корректно подходить к терминам, но обще употребительный термин "проактивка" более привычен и скорее он, в моем понимании, подразумевает весь перечень превентивных мер, в частности указанных в выше приведенной статье. [/quote']

Как я уже указывал выше, понятие проактивная защита включает в себя как поведенческий, так и эвристический анализ. Однако следует иметь ввиду, что этот термин иногда понимается и в "узком" смысле (чаще всего среди пользователей KAV/KIS), то есть отождествляется с поведенческим анализом.

Как выяснилось проактивная защита в том или ином виде реализована ПРАКТИЧЕСКИ у всех разработчиков.

Да' date=' почти у всех в том или ином виде.

(Правда, я не встретил упоминания об одном из отечественном разработчике. :) )

Не понял о чем идет речь.

Вообще говоря' date=' поведенческий анализатор выполнен достаточно не плохо. И многие, как являющиеся пользователями avp, так и нет, восприняли его весьма и весьма положительно (вывод сделан на основе мониторинга различных форумов, СМИ и личных бесед).[/quote']

Согласен.

Конечно' date=' это не обошлось без хорошей и продуманной маркетинговой компании, но как говориться бизнес есть бизнес :) .[/quote']

Верно.

Правда есть некоторые замечания по так называемым ложным срабатываниям. Маленький примерчик: есть такая программка Lingvo при ее запуске срабатывает защита и выскакивает окошко о том' date=' что лингвоагент пытается внедрится бла бла бла. Конечно, можно добавить его в доверенную зону.[/quote']

У меня проактиваня защита реагировала на Punto Switcher. Это нормально. Как вы правильно заметили проактивную защиту можно настроить. Это не так уже и сложно и занимает не очень много времени. Для тех кто не умеет - есть неплохой мануал, можно так же воспользоваться помощью специалиста. Для тех кто не желает этого делать предусмотрена возможность отключения модуля проактивной защиты.

Интерпретация даже самого объективного теста является субъективной. Да и составление самого теста дело субъективное. Уж не вам ли это знать. (вам я имею в виду всех производителей и тестеров)

Степень субъективизма может быть разной.

А не складывается ли у вас мнение' date=' что изначально подход к защите строился не по тем принципам?

Ведь, как известно, болезнь легче предупредить, чем лечить. Это касается в частности вопроса о превентивных мерах противодействия. Да я понимаю, что в эпоху ДОСа и иже с ним это наверно было сложно реализовать, но не невозможно в принципе.[/quote']

Не совсем понятна Ваша позиция по данному вопросу.

Вопрос не в его классе' date=' а в том, что этот продукт реализовал какое то подобие превентивных мер еще до того как антивирусные компании начали делать это у себя. Принципы его работы конечно можно и обсуждать, сравнивая с брендами, но какие то идеи были весьма прогрессивны в период, когда антивирусы только к этому подступались. Или у Вас есть другое мнение? :)[/quote']

Но эти идеи (принципы) не сразу получили распространение. Может дело в их несвоевременности, неактуальности на расматриваемом этапе развития?

Добавлено спустя 6 минут 59 секунд:

Блин' date=' жаль :(:) Т.е. значит уже не узнаешь. Минннуточку, кажется г-н Goudron говорил, что близок к разработчикам, да? Тогда не сочтите за труд поинтересуйтесь пожалуйста.[/quote']

Если Вам интересна реализация указанного механизма в Dr. Web, то лучше обратиться за помощью к [email protected] (aka john). Но он что-то в последнее время не очень "балует" нас своим присутствием на форуме. :(

Добавлено спустя 5 минут 3 секунды:

На самом деле проблема проактивной защиты (на мой взгляд) в том' date=' что она требует подготовленного, а зачастую хорошо подготовленного пользователя. Соответственно, такие пользователи сейчас в меньшинстве. Увы...[/quote']

Судя по всему ЛК учитывает интересы и возможности как подготовленных пользователей, так и начинающих.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      + Возможно стоит добавить твик для очистки параметра.  
    • PR55.RP55
      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\iYHINxfzwABKgPFo
      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LVfcChiQeObvDEsZIIR
      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ZebyTtMAayhlmsVB
      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\LocalLow\zPlGDytGgACtw
      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Anatoly\AppData\Local\Temp\frhJYnceMSYnYdbbN Что из этого следует ? Мы имеем путь\имя потенциального вируса. фактически угроза сама себя раскрывает. Объекты находятся и им присваивается статус: Подозрителен.        
    • AM_Bot
      Платформа кибербезопасности Varonis — мощное средство борьбы с внутренними и внешними угрозами, основанное на классификации, мониторинге и защите конфиденциальных данных в сочетании с анализом поведения пользователей. Платформа даёт понимание того, где хранятся и как используются конфиденциальные данные; гарантирует, что доступ к данным имеют только те сотрудники, которым он действительно нужен; выявляет и предотвращает внутренние угрозы и продвинутые кибератаки; автоматизирует процессы управления информационной безопасностью без необходимости «ручного» вмешательства. Введение. Подход Varonis к кибербезопасностиСостав платформы кибербезопасности VaronisКак работает платформа кибербезопасности Varonis3.1. Категоризация и классификация конфиденциальных данных, составление картины их использования3.2. Выявление нарушений доступа к данным и аномалий в поведении пользователей3.3. Устранение нарушений правил доступа к данным3.4. Постоянный мониторинг и поддержание порядка в автоматизированном режимеТехнические условия работыВыводы Введение. Подход Varonis к кибербезопасностиРост количества утечек информации в 2019 году показал, что риск злоупотребления правами доступа остаётся актуальной проблемой, в том числе — для корпораций с высокотехнологичной защитой периметра. Даже при строгом регулировании политик и правил любая крупная организация рано или поздно сталкивается с ростом числа уязвимостей, связанных с постоянным увеличением объёмов неструктурированных данных (т.е. таких, по отношению к которым непонятно, какую именно информацию они содержат) на файловых серверах и в других хранилищах.По мнению аналитиков Gartner, доля неструктурированных и полуструктурированных информационных ресурсов в компаниях достигает 80%. Подобным образом хранятся активы всех подразделений, выгрузки из баз данных и промышленных систем, журналы банкоматов и другие конфиденциальные сведения. Проблема их защиты состоит также и в том, что они пластичны (то есть постоянно изменяются и перемещаются из одного места хранения в другое).При создании файловых ресурсов ИТ-департамент руководствуется принципами удобства пользователей и не предопределяет, может ли в них содержаться конфиденциальная информация. IDM-продукты не решают эту проблему, поскольку они лишь обозначают роли пользователей, ничего не зная о том, какая роль должна быть у пользователя и к какой именно информации он получает доступ (контекст данных). Соответственно, ролевая модель для неструктурированных данных не работает, поскольку они хаотично перемещаются и постоянно изменяются.Varonis, в свою очередь, сопоставляет матрицу доступа с контекстом данных (их содержанием) и показывает, кто из пользователей не должен иметь доступ к определённым файлам или папкам. Разрозненные отчёты о правах доступа и статистике использования информационных активов собраны в единую базу с общим динамическим интерфейсом.Varonis — пионеры в области классификации метаданных и анализа реально используемых прав доступа к неструктурированным материалам, поэтому возможности их продукта принципиально отличаются от решений класса IDM. Современный подход Varonis к кибербезопасности выходит за пределы управления неструктурированными данными, дополнительно охватывая задачи выявления сложных усовершенствованных кибератак и противодействия им. Рисунок 1. Подход Varonis к выявлению комплексных кибератак Злоумышленники обычно проникают внутрь компании путём взлома периметра сети либо используя наиболее уязвимые каналы — например, почту (фишинг). После этапа разведки киберпреступник компрометирует реквизиты легитимной учётной записи (как правило, Active Directory), после чего для большинства используемых средств защиты он становится абсолютно законным пользователем системы. Это даёт ему возможность получить доступ к наименее защищённым платформам (таким как файловые ресурсы), совершать там операции и выводить данные наружу.Учитывая эту логику, Varonis осуществляет мониторинг каналов входа в периметр компании, отслеживает действия с Active Directory, анализирует файловые ресурсы, почту и другие активы, строит поведенческие профили и оповещает об аномалиях с высокой эффективностью и низким количеством ложных срабатываний.Особенностью технологии Varonis является то, что она позволяет отслеживать цепочку событий, характерных для большинства усовершенствованных кибератак (kill chain). Это помогает с высокой точностью определять, является ли конкретное событие инцидентом, и заметно упрощает первоначальное расследование. Состав платформы кибербезопасности VaronisПлатформа кибербезопасности объединяет информацию о пользователях и их правах, а также о данных, их конфиденциальности и модели их использования, обеспечивая тем самым их защиту согласно политикам безопасности в системах хранения неструктурированных сведений. Сбор метаданных с периметровых систем, таких как DNS, VPN или прокси-серверы, и применение поведенческого анализа позволяют выявлять аномальную активность пользователей.В базовый состав платформы входит модуль DatAdvantage — средство сбора и анализа данных из файловых ресурсов, почты и каталога Active Directory. Далее этот основной блок можно обогащать дополнительными инструментами. Полный состав модулей и их функций представлен в таблице ниже. Таблица 1. Функции и модули платформы кибербезопасности VaronisФункциональностьМодульБазовые возможностиАудит прав доступа, действий пользователей и защита данных. Помодульное покрытие файловых ресурсов Windows/Unix/NASDatAdvantageДополнительные функцииПоведенческий анализ и выявление аномалий. Реагирование на инцидентыDatAlertКлассификация данныхData Classification EngineАвтоматизированная продвинутая миграция данныхData Transport EngineАвтоматизированное исправление нарушений в правах доступаAutomation EngineПолнотекстовое индексирование корпоративных ресурсовDatAnswersУправление правами доступа через портал самообслуживанияDataPrivilegeКонтроль периметра для выявления внутренних и внешних угрозEdge Система кибербезопасности Varonis позволяет собрать управление доступом к данным на различных платформах в единый процесс.Поддерживаемые платформы:Active Directory/LDAPWindowsUNIX/LinuxSharePointExchangeDell EMSNasuniHPENetApp NASHP NASHitachi NASIBM Storewize V7000Office 365OneDriveBox Как работает платформа кибербезопасности VaronisПлатформа обеспечивает полный цикл поддержания безопасности данных в актуальном состоянии. Он включает следующие этапы.Категоризация и классификация конфиденциальных данных.Определение актуальной модели их использования.Настройка политик безопасности — определение идеальной картины использования конфиденциальных данных.Выявление нарушений и аномалий.Принятие мер по их ликвидации.Выявление и назначение бизнес-владельцев данных для их вовлечения в процесс настройки прав доступа к конфиденциальным данным.Постоянный мониторинг и поддержание порядка в автоматизированном режиме.Рассмотрим функциональность модулей системы в соответствии с этими стадиями. Категоризация и классификация конфиденциальных данных, составление картины их использованияDatAdvantage — «сердце» платформы кибербезопасности Varonis. Модуль предоставляет функции, которые служат основой для выстраивания всех остальных описанных выше этапов.DatAdvantage агрегирует данные о правах доступа к неструктурированным (файловые и облачные сервисы) и полуструктурированным (SharePoint, Active Directory и др.) данным. DatAdvantage показывает, кто на самом деле пользуется (или не пользуется) правами доступа и кому ещё доступен конкретный объект через файловые и почтовые системы. Сопоставление прав с реальными пользователями позволяет видеть, какие данные подвержены риску. Отчёт о правах доступа можно сформировать в двустороннем порядке — как по информационному объекту (щёлкнув по папке, сайту или почтовому ящику), так и по пользователю (нажав на карточку или группу). Здесь же можно сформировать новые правила доступа и проанализировать последствия любых изменений в песочнице; более подробно этот инструмент рассмотрим далее.  Рисунок 2. Отчёты модуля Varonis DatAdvantage для анализа прав доступа в Active Directory В сочетании с модулем Data Classification Engine платформа определяет места хранения конфиденциальной информации, показывая её в срезе существующих прав доступа и статистики использования. Data Classification Engine содержит около 50 встроенных правил и более 400 терминов для выявления конфиденциальных данных и сведений, охраняемых требованиями регуляторов (PCI DSS, GDPR и др.).Словари Data Classification Engine содержат следующие категории:персональные данные (номера кредитных карт, паспортные данные, номера водительских удостоверений, номера социального страхования и т.д.);финансовая информация;международные стандарты (GDPR, HIPAA, PHI, PCI и т.д.).Поддерживается более 60 форматов файлов, включая офисные документы, архивы, сообщения электронной почты, базы данных и т.д. Встроенный модуль OCR позволяет производить полнотекстовый поиск информации в скан-копиях и других графических файлах, что поможет выявить инцидент утечки данных на этапе его подготовки.Ключевой особенностью Data Classification Engine является инкрементальное сканирование: первоначально сканируется весь массив данных, а при следующем запуске решение анализирует только новые и измененные файлы, а не всю базу целиком. Благодаря такому подходу снижается нагрузка на систему и повышается оперативность. Рисунок 3. Интерфейс Data Classification Engine После определения общей картины пользования данными Varonis показывает разницу между реальным и желаемым состоянием модели доступа — и тут же предоставляет возможность её легализовать в едином интерфейсе с помощью меток, или «флагов». Разметив папки и пользователей, можно определить дополнительные права, не предусмотренные стандартными ролями — например, разрешить хранить в конкретной общей папке персональные данные или позволить конкретному пользователю доступ к финансовым материалам. Рисунок 4. Разметка прав доступа пользователей в модуле Varonis DatAdvantage Выявление нарушений доступа к данным и аномалий в поведении пользователейМодуль DatAlert — основной инструмент для выявления нарушений и аномалий, а также реагирования на инциденты.С одной стороны, DatAlert выявляет нарушения преднастроенных политик безопасности: размещения конфиденциальной информации, доступа к ней и так далее. Важно отметить, что две трети политик безопасности относятся к классу поведенческой аналитики (UEBA) и срабатывают после обучения системы на реальных данных, включающего построение стандартных поведенческих моделей для пользователей и администраторов.Помимо выявления нарушений, DatAlert также находит признаки аномального поведения в системе, оповещает о нестандартной активности и предоставляет инструменты реагирования на инцидент, чтобы предотвратить его распространение и минимизировать последствия. Мониторинг аномальной активности позволяет выявлять потенциальные угрозы, которые не покрываются заданными политиками безопасности. К примеру, в рамках политик пользователю разрешено удалять конфиденциальные данные, но если происходит массовое удаление (и к тому же из неизвестного местоположения), то система может посчитать такую активность аномальной и предложить офицеру безопасности расследовать событие, невзирая на формальную легитимность операции.Для выявления аномалий в системе предустановлена 161 модель угроз, база поведенческих моделей регулярно пополняется. Можно выделить из их числа, например, следующие:постепенное увеличение числа блокировок отдельной пользовательской или административной учётной записи;нестандартное количество событий входа на личные устройства;сброс пароля администратора или пользователя и последующий доступ к данным, содержащим конфиденциальные сведения;потенциальная атака типа ticket harvesting;потенциальная кража учётной записи на основе пониженного шифрования;эскалация привилегий рядовой учётной записи до уровня администратора домена.Active Directory — центральное звено ИТ-инфраструктуры и наиболее уязвимая её часть. По этой причине большая часть встроенных моделей угроз связана именно с Active Directory.  Рисунок 5. Панель оповещений DatAlert В связке с модулем Edge платформа выявляет аномалии, которые можно обнаружить лишь благодаря наблюдению за периметром организации. Edge добавляет «новый слой» к обеспечению безопасности данных: например, пользователь действует легитимно в рамках своих прав, но его действия тем не менее расцениваются как аномальные. Edge дополняет информацию о правах пользователей и о моделях использования конфиденциальных сведений метаданными, собранными с периметра сети:события входа в корпоративную сеть через VPN;работа в сети «Интернет» через прокси-сервер и DNS. Рисунок 6. Панель мониторинга периметра сети в интерфейсе модуля Edge Edge позволяет настроить автоматический запуск скрипта PowerShell для немедленного принятия мер по предотвращению вторжения в корпоративную сеть.Проникая внутрь корпоративной сети и получая доступ к учётным записям Active Directory, злоумышленник становится «невидимым» для большинства систем защиты, поскольку действует от лица легитимного пользователя. Однако для платформы кибербезопасности Varonis такой пользователь будет выглядеть подозрительным, поскольку система сопоставляет метаданные с поведенческими моделями и аналитикой периметра сети.Все актуальные зоны риска отображаются на главном экране веб-интерфейса системы в динамическом режиме. Из общего отчёта можно перейти к событию, и наоборот (принцип drill-down). Рисунок 7. Обзорная панель с оповещениями о рисках в платформе Varonis В едином журнале событий системы фиксируются журналы и метаданные любых действий с объектами — создание, открытие, удаление, изменение. Такая информация будет полезной для детализации прав доступа и для ретроспективных расследований в случае возникновения инцидентов. Рисунок 8. Карточка документа с информацией об изменениях в системе Varonis Устранение нарушений правил доступа к даннымПлатформа предлагает несколько вариантов реагирования на инциденты:Пассивное реагирование (информирование посредством электронной почты или SMS, передача протоколов инцидента в SIEM). Система фиксирует все изменения конфигураций файлов и данных, поэтому любые попытки входа в учётную запись, доступа к серверу и изменения информации будут доступны для дальнейшего расследования. Рисунок 9. Создание подписки на отчёты DatAdvantage по электронной почте для владельцев данных Активная защита (автоматический запуск произвольного скрипта PowerShell или EXE-файла при срабатывании политики или выявлении аномальной активности). Такая функция будет полезна, например, при начале криптовирусной атаки — выключение заражённой станции, карантин документа и оповещение сотрудника смогут остановить распространение заражения.Кроме того, платформа Varonis способствует решению проблемы избыточных прав доступа с помощью «песочницы». Основная причина, по которой пользователям предоставляют лишний доступ к ресурсам, — страх перед снижением эффективности бизнес-процессов, когда сотрудники не могут работать с нужными им файлами. В модуле DatAdvantage можно смоделировать последствия изменения прав. После настройки новых правил система сформирует список пользователей, которые не попадают в рамки новых политик, но при этом регулярно обращались к защищаемым файлам. Даже в крупной компании такой список обычно насчитывает не более пары десятков человек, работу с которыми целесообразно провести вручную — отправить запросы руководителям подразделений и владельцам данных для подтверждения или отказа в доступе для этих сотрудников. Таким образом, принцип наименьших привилегий будет соблюдаться безболезненно для бизнеса. Рисунок 10. Матрица доступа к документам в модуле DatAdvantage  Выявление и назначение бизнес-владельцев данных для их вовлечения в процесс настройки прав доступа к конфиденциальным даннымПлатформа предоставляет возможность управлять правами доступа в активном и пассивном режимах.Пассивный режим предполагает вовлечение бизнес-владельцев в управление правами доступа к конфиденциальным данным. Это логично, так как сотрудники отделов ИТ и ИБ не могут знать обо всех бизнес-процессах в организации. Пассивный режим основан на возможностях DatAdvantage и удобен тем, что пользователям не нужно предпринимать никаких активных действий — модуль самостоятельно формирует отчёты (кто и как работает с конфиденциальными данными, какие у пользователей есть права, что за изменения прав доступа происходят и т.д.), а затем отправляет их владельцам бизнес-данных.Активный режим предполагает использование модуля DataPrivilege. Это — портал самообслуживания, который даёт возможность предоставлять и запрашивать права доступа. Модуль работает на уровне групп Active Directory, а они, в свою очередь, могут регулировать доступ пользователей к съёмным устройствам, к помещениям, на парковку, в интернет и т.д. Таким образом, через DataPrivilege можно управлять правами доступа и к этим ресурсам.  Для каждой папки или группы можно назначить владельца — сотрудника, который фактически её администрирует. Этот работник будет получать регулярные отчёты по доступу и активности в его папках и документах. Рисунок 11. Отчёт системы Varonis об обращениях к документам для бизнес-владельца Через веб-интерфейс владелец процесса может самостоятельно управлять правами доступа для других сотрудников независимо от их ролей в компании. Удобно, что можно нарушать иерархию папок при выдаче прав — например, пользователь получит разрешение на чтение файла в одной из вложенных папок, но при этом корневая папка останется недоступной. Интерфейс можно интегрировать через API с кадровой системой или любым другим средством менеджмента. Рисунок 12. Веб-интерфейс для запроса доступа к документу в системе Varonis Постоянный мониторинг и поддержание порядка в автоматизированном режимеПосле оптимизации использования ресурсов и обучения системы нормальному поведению пользователей политики безопасности будут работать в фоновом режиме с минимальным количеством ложных срабатываний.Единый интерфейс для управления правами доступа к разрозненным информационным системам — наиболее удобный вариант с точки зрения экономии рабочего времени администратора. Помимо прочего, упрощение процесса позволяет реализовать принцип наименьших привилегий и без больших усилий поддерживать такую систему прав в актуальном состоянии.Платформа Varonis может полностью автоматизировать исправление прав доступа с помощью модуля Automation Engine. Он удаляет глобальные группы доступа и заменяет их целевыми группами, которые обращались к данным. Кроме того, перед началом чистки глобальных групп Automation Engine находит и исправляет папки с некорректными списками ACL.Выявлять некорректные места хранения файлов поможет модуль Data Transport Engine. При обнаружении в общих папках конфиденциальной и регулируемой информации система переместит её в карантин и оповестит владельца. Поисковый робот решения индексирует только недавно созданные или изменённые данные, поэтому для выявления аномалии требуется не более суток.Этот же модуль позволяет решать задачу миграции данных между различными файловыми системами и серверами с сохранением модели прав доступа. В связке с модулями анализа частоты обращений к файлам такая функция поможет сэкономить дисковое пространство за счёт архивации или переноса на более дешёвые серверы устаревших и неиспользуемых данных. Рисунок 13. Интерфейс модуля Varonis Data Transport Engine для архивации неиспользуемых документов Технические условия работыНа момент написания обзора платформа Varonis работает в режиме двух панелей управления — на «толстом клиенте» и на «тонком» с веб-интерфейсом. В ближайшее время разработчики собираются полностью перейти на «тонкий клиент».Язык интерфейса — английский. Модуль DataPrivilege локализован на русский язык.В компании среднего размера, базовую функциональность мониторинга и классификации файловых ресурсов, отслеживания Active Directory и почтовых серверов можно реализовать на одном физическом или виртуальном сервере со следующими параметрами: 4 ядра ЦП, 16 ГБ оперативной памяти, 200 ГБ на жёстком диске, ОС Windows Server 2012R2 / 2016, СУБД MS SQL Server 2014 / 2016.Для работы ПО потребуется доменная технологическая учётная запись с полномочиями на контролируемых серверах, минимально необходимыми для сканирования прав доступа и контента (только на чтение, без административных привилегий).Сбор информации об операциях с файлами не требует включения встроенного аудита Windows на уровне папок; вместо этого используется легковесный агент, создающий нагрузку не более 1% ЦП и занимающий несколько мегабайт в оперативной памяти. ВыводыПлатформа кибербезопасности Varonis находится на стыке двух областей — управления неструктурированными данными (Data Governance) и поведенческого анализа (UEBA), который постепенно и вполне справедливо перестаёт рассматриваться как отдельная категория и становится частью других сфер, в том числе DAG.С одной стороны, платформа позволяет навести порядок в хранилищах неструктурированных данных и поддерживать его на постоянной основе. Возможность автоматически проверять и корректировать в едином окне права доступа делает возможным соблюдение принципа наименьших привилегий. С другой стороны, посредством мониторинга каналов входа в периметр компании, отслеживания действий с Active Directory и анализа файловых ресурсов, почты и построения поведенческих профилей Varonis отслеживает и оповещает об аномалиях с высокой эффективностью и низким количеством ложных срабатываний.Большое количество встроенных политик безопасности помогут быстро интегрировать систему в рабочие процессы организации. Более 150 моделей угроз описывают наиболее важные сценарии использования данных, в том числе защищаемых регуляторами (GDPR, PCI DSS и другие). Важно, что основной массив этих правил построен на алгоритмах поведенческой аналитики, что снижает количество ложноположительных срабатываний и повышает ценность отчётов как реально работающего инструмента.Платформа Varonis снижает трудовые издержки офицеров безопасности за счёт упрощения процессов расследования — тотальное протоколирование метаданных и истории работы с файлами могут обогатить и дополнить сведения, собираемые DLP-системой.Решение хорошо интегрируется со смежными продуктами по API, встраивается в SIEM-, DLP-, IDM-системы, поддерживает различные протоколы Linux и Unix, что позволяет создать единую ИТ-инфраструктуру для поддержания безопасности.Преимущества платформы кибербезопасности Varonis:Полный аудит неструктурированных данных, электронной почты и действий пользователей и администраторов.Наглядные отчёты о фактическом использовании данных и оповещения в реальном времени при наступлении определённых событий (установленных производителем либо заданных пользователем).Более 150 преднастроенных моделей угроз, база поведенческих моделей угроз постоянно пополняется. Алгоритмы поведенческой аналитики, основанные на сложных математических моделях для выявления аномалий в пользовании данными.Песочница для моделирования прав доступа и предварительной проверки планируемых изменений.Классификация и полнотекстовый поиск конфиденциальных данных в масштабах предприятия.Автоматизация заявок на предоставление прав доступа и утверждения этих заявок владельцами данных.Возможности интеграции со смежными системами (IDM, DLP, SIEM и другими)Модульная структура платформы удобна для адаптации к задачам компании.Недостатки:Стоимость решения.Решение ориентировано исключительно  на крупные организации (не для среднего бизнеса).Отсутствие русскоязычного интерфейса.В России продукт представлен только через интеграторов, нет возможности приобрести его напрямую у вендора. Читать далее
    • Balu
      Так если открыто и прозрачно, написали бы сразу, что это за позиция и в чем, собственно, заключается работа?
       
    • kartel123
      Кто нибудь тут брал займ Биг займ. Как одобряют?
×