Security Vision обновила платформу: больше автоматизации и контроля

Security Vision обновила платформу: больше автоматизации и контроля

Security Vision обновила платформу: больше автоматизации и контроля

Security Vision выпустила обновление своей платформы. В новой версии разработчики сосредоточились не на «громких» функциях, а на практичных доработках — развертывании, автоматизации, отчётности и работе коннекторов.

Развертывание и сопровождение стало гибче

В мастер установки добавили возможность выбрать репозиторий, из которого подтягиваются дистрибутивы сторонних компонентов — NGINX, PostgreSQL, RabbitMQ, ElasticSearch, Node.js, OpenJDK, Python3 и PowerShell. Теперь можно использовать стандартный источник, указать собственный или вообще задать локальную директорию на сервере.

В модуле мониторинга состояния платформы появилось отображение версий всех отслеживаемых компонентов. А при установке агента (сервиса коннекторов) на Windows-активах теперь можно сразу установить и настроить сертификат для HTTPS-соединения.

Больше автоматизации и реакций на события

Платформа получила расширенные реакции на системные события. Например, при создании новых объектов их можно автоматически передавать в рабочий процесс. Также система теперь умеет запускать процессы и отправлять уведомления при добавлении, изменении или удалении расписания коннектора.

Для удобства пользователей добавлена настройка заголовка модального окна при ручном запуске рабочего процесса — это помогает лучше ориентироваться при заполнении параметров.

Отчёты: больше контроля

В веб-интерфейсе появилась опция включения режима отладки при формировании отчётов. Это позволяет проверить корректность итогового файла ещё на этапе сборки.

Для форматов XLSX и ODS добавили настройку количества строк между блоками — полезная деталь для управления структурой и читаемостью отчётов.

Формы, экспорт и перенос модулей

В системных настройках появилась возможность конфигурировать формы ввода и вывода для дополнительных параметров. А при экспорте модуля теперь выгружается и прикреплённый к нему файл — это упрощает перенос модульных пакетов между разными контурами и стендами.

Доработки коннекторов и интерфейса

В коннекторе типа «Файл» для запроса «Получить файл» добавили автоматический сдвиг позиции до предыдущего символа конца строки. При повторном запросе система будет забирать только новую часть файла — это особенно удобно при работе с log-файлами.

В табличном представлении событий теперь отображается информация о сериализации свойств. А для карточек типа «Виджет» появилась настройка отслеживаемых свойств — данные внутри блока могут обновляться автоматически, без перезагрузки всей карточки.

В целом релиз получился прикладным: больше гибкости в установке, больше автоматизации и несколько точечных улучшений, которые должны упростить повседневную работу с платформой.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru