Windfresh

Новая эра в борьбе с вирусами или рекламный ход?

В этой теме 6 сообщений

Прочитал,что немецкая компания G-DATA,что специализируется на п/обеспечении для носителей информации и антивирусах-продукт AVK(гибрид Касперского и Битдефендера-2 движка с их сигнатурами),в своем новом выпуске AVK 2006 исользует новую технологию по предотвращению новых угроз из Интернета.Имя этой технологии:

Я зашел на сайт VirusBuster www.virusbuster.hu/en и увидел сообщение,что VirusBuster также внедряет данную технологию в свои новые продукты.Бета-тестирование в течении полугода показала феноменальный отлов неизвестных вирусов-92!% только при помощи данной эвристической технологии.Оставшиеся 8% можно и сигнатурами добить.

Напомню,что HIVE от Bitdefender обещала(не знаю сдежала ли обещание)отлавливать до 60% неизвестных угроз,а Nod32 якобы способен своей агрессивной эвристикой поймать до 70% Инетернет-заразы.А тут -92%.Они набирают бета-тестеров для продолжения испытаний этой технологии.Может кто-нибудь из посетителей данного форума имеет технические возможности проверить действенность новой технологии и поделиться своими впечатлениями и выводами.

Оригинал сообщения:

VirusBuster Integrates Commtouch's Zero-Hour Virus Protection Solution

VirusBuster, a developer of comprehensive anti-virus and anti-spam solutions, announced today that its e-mail protection products will now feature Zero-Hour Virus Protection technology from Commtouch Software Ltd., the developer of ground-breaking RPD technology.

VirusBuster has already implemented RPD (Recurrent Pattern Detection) technology as an Extended Spam Protection layer in its e-mail protection solutions. The signature-less Zero-Hour Virus Outbreak Protection is the next step in deploying the best technologies available to protect present and future customers from evolving messaging threats.

"The integration of Commtouch's Zero-Hour Virus Protection was a necessary step to meet our customers' increasing security needs. While working together with Commtouch and providing valuable help to them as an anti-virus vendor, we concluded that this technology has real potential to respond nearly instantly to emerging attacks. Every VirusBuster user will benefit from this best-of-breed solution, since Zero-Hour protection will be a default feature in our products," says Peter Agocs, Development Director at VirusBuster.

VirusBuster decided to integrate Zero-Hour after testing it over the course of six months in an ISP environment. The results show that Zero-Hour detects over 92% of new viruses, while keeping false positives down to 0.003% (1:30,000). "This is extraordinary, particularly since other signature-independent methods are far less accurate in case of emerging malware attacks which use new methods. Zero-Hour, as an online technology, allows users to stop these without updating the client side thus providing an effective answer for these ever-evolving threats," says Agocs.

"This is the most effective approach to respond to new outbreaks, protecting users hours before first signatures are released," he adds. "What is more, this system can alert us of new outbreaks, providing a valuable tool for shortening our reaction times. Since we are the first vendor to use this technology, our customers will enjoy unsurpassed protection."

VirusBuster has already announced the open beta test of its products with Zero-Hour Virus Protection, giving customers an opportunity to experience the outstanding results of this new technology. Applications for the beta can be sent to [email protected]

About Zero-Hour Virus Protection

Security experts agree that signature-less protection is an essential complement to traditional AV technologies. By proactively scanning the Internet and identifying massive outbreaks as soon as they emerge, Commtouch's Zero-Hour Solution provides just that: effective signature-independent protection.

The technology closes the early-hour vulnerability gap during which millions of users are infected. Defined by IDC as the "quickest approach to respond to new outbreaks," the Commtouch solution protects users hours before signatures are released. It also helps accelerate the signature-making process, by providing AV partners immediate alerts of emerging viruses.

About VirusBuster

VirusBuster's mission is to provide customized, multi-level virus protection solutions tailored to individual customer demands and backed by high quality technical support. VirusBuster has been developing and distributing anti-virus and other IT security solutions for more than 15 years - including workstation, server and mail server protection as well as anti-virus management systems. VirusBuster products have won several Virus Bulletin 100% Awards, a clear indication of their quality and performance. VirusBuster products are available through its partners in Europe, South and North America and other countries around the world. For more information, see: www.virusbuster.hu.

About Commtouch

Commtouch Software Ltd. (Nasdaq:CTCH) is dedicated to protecting and preserving the integrity of the world's most important communications tool-email. Commtouch has 14 years of experience developing messaging software, and is a global developer and provider of proprietary anti-spam and Zero-Hour virus protection solutions. Using core technologies including RPD Recurrent Pattern Detection, the Commtouch Detection Center analyzes 1.5 billion email messages per month to identify new spam and malware outbreaks within minutes of their introduction into the Internet. Integrated by 28 OEM partners, Commtouch technology protects thousands of organizations, with 35 million users in 100 countries. Commtouch is headquartered in Netanya, Israel and has a subsidiary in Mountain View, CA. For more information, see: www.commtouch.com.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я зашел на сайт VirusBuster www.virusbuster.hu/en и увидел сообщение,что VirusBuster также внедряет данную технологию в свои новые продукты.Бета-тестирование в течении полугода показала феноменальный отлов неизвестных вирусов-92!% только при помощи данной эвристической технологии.Оставшиеся 8% можно и сигнатурами добить.

Оригинал сообщения:

VirusBuster Integrates Commtouch's Zero-Hour Virus Protection Solution

Рекламу долой.

Известная технология, известная идея. По сути статистический анализатор. Есть свои плюсы, есть свои минусы. Минусов много. Плюс один -- возможность чуть раньше (заметим не проактивно!!!!) других начать детектировать атаку. Минусы -- ложные тревоги (много), качество и скорость детектирования напрямую зависит от кол-ва установленных копий продукта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прочитал,что немецкая компания G-DATA,что специализируется на п/обеспечении для носителей информации и антивирусах-продукт AVK(гибрид Касперского и Битдефендера-2 движка с их сигнатурами),в своем новом выпуске AVK 2006 исользует новую технологию по предотвращению новых угроз из Интернета.Имя этой технологии:

Немного не понял, речь идет от технологии Commtouch Zero-Hour Virus Protection в AVK 2006?

Я зашел на сайт VirusBuster www.virusbuster.hu/en и увидел сообщение,что VirusBuster также внедряет данную технологию в свои новые продукты.Бета-тестирование в течении полугода показала феноменальный отлов неизвестных вирусов-92!% только при помощи данной эвристической технологии.Оставшиеся 8% можно и сигнатурами добить.

92% - действительно впечатляют, едниственное интересно было бы посмотреть откуда эта цифра реально взята, что за бета-тестирвоание и кто его проводил.

Напомню,что HIVE от Bitdefender обещала(не знаю сдежала ли обещание)отлавливать до 60% неизвестных угроз,а Nod32 якобы способен своей агрессивной эвристикой поймать до 70% Инетернет-заразы.А тут -92%.Они набирают бета-тестеров для продолжения испытаний этой технологии.Может кто-нибудь из посетителей данного форума имеет технические возможности проверить действенность новой технологии и поделиться своими впечатлениями и выводами.

Согласно последнним климентевским тестам, HIVE от Bitdefender действительно отлавливает что-то около 50-60% новых вирусов, Nod32 чуть лучше - примерно 70% (в мае 90% ITW взял)

http://www.av-comparatives.org/seiten/ergebnisse_2005_05.php

http://www.av-comparatives.org/seiten/ergebnisse_2005_11.php

Последний тест в части ITW - можно не смотреть - это лажа, выборка всего 8 вирусов, смешно.

Так что если смотреть по ланным тестам, то цифрв более менее сходятся.

VirusBuster Integrates Commtouch's Zero-Hour Virus Protection Solution

VirusBuster decided to integrate Zero-Hour after testing it over the course of six months in an ISP environment. The results show that Zero-Hour detects over 92% of new viruses, while keeping false positives down to 0.003% (1:30,000). "This is extraordinary, particularly since other signature-independent methods are far less accurate in case of emerging malware attacks which use new methods. Zero-Hour, as an online technology, allows users to stop these without updating the client side thus providing an effective answer for these ever-evolving threats," says Agocs.

Вот на счет 92% по детекшену и 0.003% (1:30,000) по фолсам у меня лично большие сомнения. Как я писал выше не ясно откуда эти цифры взяты. Хотя конечно процентаж очень даже хороший :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот на счет 92% по детекшену и 0.003% (1:30,000) по фолсам у меня лично большие сомнения. Как я писал выше не ясно откуда эти цифры взяты. Хотя конечно процентаж очень даже хороший :)

Насколько я понял, они фильтровали почту у одного провайдера. Так что 92% нужно умножить на долю заразы, которая приходит через почту (30%), что низводит эту замечательную цифру до 28%, которые не позволяют говорить о "новой эре".

Антимонов делился историей, как ему говорили (по поводу DrWeb), что рано или поздно кто-нибудь из вендоров сделает универсальную эвристику (дел было во времена MS DOS), и всем остальным останется только "нервно курить в коридоре". Универсальные технологии как привило приходят слишком поздно. К этому моменту угрозы уже другие. Trend Micro разрабатывала антивирус от бутовых для встаивания в BIOS. (Если кто помнить антивирусную зищиту в настройках BIOS десятилетней давности, так это оно).

Где теперь бутовые вирусы? Ушли вместе с MS-DOS.

Макро вирусы были очень модны. Trend Micro создала эвристиу MacroTrap, ЛК даже разработала специальный плагин MS Office, который решал эту проблему на корню(?). Теперь макро-вирусов для MS Office очень мало. Настолько мало, что они не стоят разработки спецтехнологий.

Примеры можно продожить.

Вывод: К моменту, когда эвристика и скорость обновления позволила скомбинировав пару продуктов получить впечатляющий результат, это уже не очень нужно и не тянет на "новую эру". Новую эру создают не продукты защиты, а новые виды угроз. Тот же спам, фишинг, фарминг, spyware, adware, dialers.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, действительно, технология Commtouch предназначена для фильтации почтового трафика и 92% надо относить именно к этому каналу распространения вредоносных программ.

Конечно, это важно надежно закрыть этот канал от проникновения заразы, но все таки сейчас продолжатся тенденция, что большая часть атак осуществляется через HTTP, а этот канал в технологии Commtouch остается незащищенным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, действительно, технология Commtouch предназначена для фильтации почтового трафика и 92% надо относить именно к этому каналу распространения вредоносных программ.

Конечно, это важно надежно закрыть этот канал от проникновения заразы, но все таки сейчас продолжатся тенденция, что большая часть атак осуществляется через HTTP, а этот канал в технологии Commtouch остается незащищенным.

Вы поразительно дипломатичны!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • ViktorFazz
      я себе недавно построил тоже)))
    • AM_Bot
      В статье рассказано о возможностях системы StaffCop Enterprise 4.1 в части аналитики поведения пользователей и выявления аномалий. StaffCop Enterprise — это специализированный продукт с функциями UEBA, DLP и SIEM. Он предназначен для решения комплекса задач по защите от утечек информации, расследования инцидентов внутри организации, контроля бизнес-процессов и мониторинга использования рабочего времени сотрудниками.   ВведениеСбор данныхСтатистический анализИнтеллектуальный анализ. Автоматический детектор аномалийПредупреждение и расследованиеДополнительные возможности StaffCopВыводы  ВведениеОдна из основных, самых серьезных угроз для бизнеса сегодня — это утечки конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные сотрудники компаний — инсайдеры. Инсайдером может стать абсолютно любой сотрудник: и молодой сисадмин, и сотрудница бухгалтерии. Мотивы у них могут быть совершенно различные: подкуп со стороны конкурентов или заинтересованных лиц, шантаж, личная выгода и многое другое.Традиционно для защиты от утечек применяются системы класса DLP. Но чем сложнее и изощреннее становятся методы атак, тем сложнее DLP-решениям контролировать потенциальные каналы утечек. Классический алгоритм выявления инсайдеров и предотвращения утечек (настроить правило контроля/блокировки — получить уведомление об утечке) работает уже не так эффективно: выявить утечку данных сложно и долго, если, например, «слив» произошел через разрешенные каналы (USB-носители, мессенджеры) и пользователь при этом имел санкционированный доступ к ресурсам.Одним из новых, но достаточно эффективных методов детектирования инсайдеров стал анализ поведения пользователей и выявление аномалий в их поведении. Подход подразумевает, что необычная активность, не соответствующая стандартному профилю, может более точно указывать на потенциальные инциденты информационной безопасности. По классификации Gartner, этот класс решений называется User and Entity Behavior Analytics (UEBA). Это новый тренд, активно набирающий обороты на рынке информационной безопасности. Решения этого класса анализируют образцы поведения пользователей, применяя специализированные алгоритмы и статистический анализ для детектирования значительных аномалий в поведении, указывающих на потенциальные угрозы. Таким образом, UEBA призваны заблаговременно обнаружить и предупредить об отклонениях в поведении.StaffCop Enterprise, о котором мы подробно поговорим в этой статье, — это специализированный продукт с функциями UEBA, DLP и SIEM. Он помогает решать комплекс задач по предотвращению утечек информации, расследованию инцидентов, если таковые произошли, а также контролировать бизнес-процессы и то, как рабочее временя используется сотрудниками. Сбор данныхИнформационная безопасность складывается из двух взаимодополняющих частей: предупреждение и расследование инцидентов. Оба механизма работают быстро и эффективно благодаря архитектуре StaffCop: агенты на рабочих станциях собирают информацию (события), а вся обработка происходит на выделенном сервере.Каждый тип события имеет свой набор измерений, по которым события разных типов могут быть связаны между собой. Каждое событие имеет стандартный набор измерений — данные о компьютере, пользователе, дате и времени, а также собственные атрибуты характерных для данных событий. Например, события типа «почта» имеют дополнительные измерения — данные о приложении, атрибуты, специфичные для диалогов: направление (входящие/исходящие), отправитель, получатель, формат сообщения, канал общения, участники переписки. Рисунок 1. Контроль каналов утечки информации Типы событий в StaffCop Enterprise:время активности — данные о наличии активности;ввод с клавиатуры;вход/выход из системы;посещение сайтов;операции с файлами;сеть — события, связанные с сетевыми подключениями, содержат информацию об IP-адресе подключения и сокете;снимок экрана;снимок с веб-камеры;запись с микрофона;внешние диски — данные об операциях со съемными USB-накопителями;установка ПО — факты установок и деинсталляции программного обеспечения;буфер обмена;интернет-пейджер;почта;перехваченный файл;устройства — данные о подключении и отключении USB-устройств, в том числе тех, которые не являются накопителями;активность — данные, собранные при помощи модуля контроля присутствия на рабочем месте;системный лог — используется для хранения логов агента при отладке;печать документов. Статистический анализВ основе StaffCop Enterprise лежит технология комплексного многомерного анализа данных OLAP, которая позволяет строить многомерные отчеты «на лету» и обрабатывать огромные объемы данных за секунды.Давайте рассмотрим несколько примеров, как в StaffCop можно анализировать поведение пользователей и быстро выявлять их опасные действия на основе статистики с помощью конструктора отчетов, различных таблиц и графиков.Поиск и расследование аномалий на примере файловых операцийЗадача: проанализировать операции копирования файлов с участием съемных носителей. Найдем отклонения от нормального поведения и всплески активности, узнаем, кто это был, что и когда было скопировано.Самым наглядным способом будет построить линейный график количества событий копирования файлов на съемные носители.  Сделать это очень просто — указать интересующий интервал времени, в конструкторе отчетов ограничить набор данных по измерениям «операции копирования», «тип диска: Removable» и выбрать вид отображения «Линейный график». Рисунок 2. Линейный график количества событий копирования файлов Невооруженным взглядом видно значительное превышение фактов копирования файлов в один из дней. При нажатии на вершину графика можно перейти к списку всех операций копирования в этот день.Для детализации данных можно просто кликнуть на нужный узел графика. На картинке ниже мы «провалились» глубже и визуализировали полученные данные с помощью гистограммы, разбив в конструкторе данные по пользователям. Рисунок 3. Детализация данных: гистограмма Если вы предпочитаете числовые значения графическому представлению можно воспользоваться таблицами. Рисунок 4. Визуализация отчета: числовые значения Стоит отметить, что все графики и таблицы имеют собственный конструктор для быстрой детализации и уточнения данных. Рисунок 5. На тепловой диаграмме можно оценить интенсивность и время всех операций исследуемого пользователя В нашем случае пользователь непрерывно копировал файлы с 11:15 до 13:37. В просмотрщике событий легко догадаться, что это исходные коды одного из дистрибутивов Linux, которые были скопированы с жесткого диска на флэш-накопитель Kingston DataTraveler 2.0 USB Device. Рисунок 6. Детализация события в StaffCop Enterprise Таким образом можно быстро и эффективно находить нетипичную активность пользователей или программ. Такие действия применимы практически к любым видам событий.Опасные действия чаще всего возникают при спонтанной активизации:обращения к личной почте;сетевая активность приложений;подключение съемных USB-устройств: флэшек, телефонов и т. п.;использование принтера;активность во внерабочее время. Интеллектуальный анализ. Автоматический детектор аномалийДля того чтобы упростить работу сотрудника службы безопасности для аналитики действий пользователей и выявления отклонений в StaffCop реализован автоматический детектор аномалий. Он анализирует поведение пользователя за выбранный период времени и показывает отклонения от нормального поведения. Рисунок 7. Автоматический детектор аномалий в StaffCop Enterprise Например, каждый сотрудник ежедневно использует одни и те же приложения примерно одинаковое число раз. Если число операций многократно превышает стандартное значение, то StaffCop Enterprise выдает такое событие за аномальное поведение, что может являться потенциальной угрозой.Поиск и расследование аномалий на примере копирования в облакоРабочая инструкция офицера безопасности предприятия может включать различный набор инструкций. В этом примере одной из таких еженедельных рутинных задач является проверка фактов копирования файлов в облачные сервисы.Детектор аномалий позволяет в автоматическом режиме находить отклонения от стандартного поведения пользователей. Для того чтобы эта функция корректно работала, необходимо задать представительный промежуток времени, чтобы система смогла построить паттерны поведения и найти в них отклонения от нормы. Поэтому выбираем 30-дневный период. Рисунок 8. Выбор временного периода для запуска Детектора аномалий Чтобы запустить Детектор аномалий, необходимо нажать соответствующую опцию в выпадающем меню Отчеты. Рисунок 9. Запуск «Детектор аномалий» в StaffCop Enterprise В появившемся отчете находим, что пользователь Oksana в семь раз превысила свою же норму копирования файлов в облачный сервис Dropbox.com. Рисунок 10. Отчет по аномалиям в StaffCop Enterprise Простой комбинацией фильтров в Конструкторе располагаем данные в отчете таким образом, чтобы название считанного с жесткого диска файла появлялось в таблице операций рядом с именем передаваемого в облачный сервис файла. Рисунок 11. В отчете StaffCop Enterprise видно, кто, когда и какие файлы передавал за периметр сети На приведенном скриншоте видно, что в 12:58:28 12 сентября 2017 г. файл «Технико-коммерческое предложение StaffCop Enterprise.docx» был считан с жестокого диска компьютера пользователя Oksana, а в следующую секунду (12:58:29) этот же файл был передан в облачный сервис.Вывод: при помощи Детектора аномалий, встроенного в StaffCop Enterprise 4.1, возможно выявлять инциденты автоматически. Предупреждение и расследованиеДля предупреждения угроз StaffCop имеет емкую библиотеку встроенных фильтров и предоставляет широкие возможности для построения собственных: это может быть ключевая фраза, файл или любое другое событие на компьютере пользователя.Кроме того, в системе предусмотрены также исключающие фильтры (анти-фильтры) — можно исключить из выборки заведомо неинтересные события. Таким образом, возможно коррелировать и фильтровать любые события, содержащиеся в базе данных. Рисунок 12. Исключающие фильтры (анти-фильтры) в StaffCop Enterprise 4.1 Способ оповещения о сработавшем фильтре можно настроить в зависимости от срочности: отправкой сообщения на электронную почту офицера ИБ или уведомлением в панели администратора StaffCop. Дополнительные возможности StaffCopStaffCop Enterprise позволяет также легко контролировать дисциплину сотрудников, выявлять блокирующие факторы и расследовать причины их появления:Учет рабочего времени сотрудников в онлайн-режиме (табель учета рабочего времени, детализированные отчеты о рабочем времени каждого сотрудника).Контроль присутствия на рабочем месте.Снимки экрана.Просмотр удаленного рабочего стола и удаленное управление.Подключение к рабочему столу пользователя осуществляется прямо из консоли администратора в браузере, при желании можно захватить управление компьютером. Рисунок 13. Удаленное подключение к рабочему столу сотрудника компании ВыводыStaffCop Enterprise представляет собой мощный набор инструментов для анализа событий и информации, что позволяет оценивать и контролировать продуктивность сотрудников за компьютерами, быстро и точно расследовать инциденты информационной безопасности внутри предприятия, а также решить широкий спектр задач, связанных с ИБ-аналитикой. С помощью StaffCop Enterprise можно контролировать критичные информационные ресурсы на предмет подозрительной активности и нетипичного поведения.Система имеет гибкую настройку фильтров и оповещений, поэтому возможную утечку или вторжение удается обнаружить на ранней стадии, чем существенно сократить последствия. Глобальная система записи всех возможных событий позволяет в случае произошедшего инцидента быстро добраться до источника утечки и точно назвать время, автора и объем утраченной информации. Тепловые карты активности, графы взаимодействий сотрудников и движения информации, настраиваемые графики событий, предустановленные и пользовательские фильтры — все это помогает отследить любой сценарий поведения. Для анализа не нужно обладать специальными знаниями: достаточно понимать, что ищешь, и просто выбирать поля в форме.Таким образом, StaffCop Enterprise позволяет сократить время, требуемое как на обнаружение реальной угрозы, так и на дальнейшее расследование инцидентов с критичными данными. Читать далее
    • Valeron
      Кто делает ставки на футбол, посоветуйте букмекера? 
    • Valeron
      Нужно уметь работать на дому)
    • Valeron