Comments 18
Спасибо за статью!
ИМХО на данный момент оптимальна гибридная технология — репутация в облаке + поведенческий анализ + эвристика + сигнатуры
ИМХО на данный момент оптимальна гибридная технология — репутация в облаке + поведенческий анализ + эвристика + сигнатуры
Да, Вы правы. Стандартная схема должна остаться, на случай недоступности облака и для выявления элементарных угроз.
Не могу согласиться с тем, что элементарные угрозы надо оставлять традиционным методам, с точки зрения экономии ресурсов сигнатуры и поведенческий анализ надо запускать только если облачная система по каким-то причинам не может это делать (нет коннекта или недостаточно информации)
На сегодняшний день на типовой системе 70% нечисти можно отфильтровать облачной репутационкой, а 30 стандартными методами (я говорю про систему Симантека, о других рабочих технологиях мне не известно). В будущем по мере роста пользователей это соотношение будет меняться с сторону эффективности репутационной технологии
На сегодняшний день на типовой системе 70% нечисти можно отфильтровать облачной репутационкой, а 30 стандартными методами (я говорю про систему Симантека, о других рабочих технологиях мне не известно). В будущем по мере роста пользователей это соотношение будет меняться с сторону эффективности репутационной технологии
Конечно! Основная идея использования облачных вычислений в том чтобы:
а. Создать защищенную среду;
б. Максимально снизить нагрузку на клиентскую ЭВМ.
Все что возможно перенести в облако, должно быть перенесено. Клиент должен быть максимально легким и не использующим сложные алгоритмы. Тем самым можно добиться невозможности выполнять проверки создаваемого вредоносного ПО на «необнаруживаемость» и пр.
а. Создать защищенную среду;
б. Максимально снизить нагрузку на клиентскую ЭВМ.
Все что возможно перенести в облако, должно быть перенесено. Клиент должен быть максимально легким и не использующим сложные алгоритмы. Тем самым можно добиться невозможности выполнять проверки создаваемого вредоносного ПО на «необнаруживаемость» и пр.
С вами даже неинтересно — во всем соглашаетесь! А так хотелось поспорить!
У нас тут недавно разгорелась дискуссия с товарищами, которые пытаются обойти репутационную защиту и ищут путем махинаций с хэшем файлов. Но у них ничего не получится
Можно почитать здесь habrahabr.ru/company/symantec/blog/120983/#comments
У нас тут недавно разгорелась дискуссия с товарищами, которые пытаются обойти репутационную защиту и ищут путем махинаций с хэшем файлов. Но у них ничего не получится
Можно почитать здесь habrahabr.ru/company/symantec/blog/120983/#comments
А как можно защититься от искажения руткитом информации, передаваемой в облако? Что-то вы обошли этот вопрос. Без него все рассуждения об эффективности облачного подхода теряют смысл IMHO.
Да немного упустил это из виду в данной статье. Просто писалась большая работа и алгоритмизация сюда естественно не вошла. Вот одна из идей: в облако последовательно отсылаются несколько взаимозависимых характеристики (группа), при искажении любой из них, ЭВМ считается скомпроментированной. Так как характеристики зависят друг от друга не напрямую (вычисление зависимости по формуле), а скажем, косвенно (если шина стала работать медленнее, то кеш опустел), то группа будет считаться скомпроментированной. Существуют и другие способы защиты от искажений.
Свозь весь текст сквозит неявное утверждение «антивирусы обеспечивают защиту компьютера от вредоносного ПО». Как бы полагается, что это утверждение самоочевидно — казалось бы, для чего тогда антивирусы писать?
А теперь вопрос: кто из производителей антивирусов хоть что-то гарантирует? «Мы гарантируем вам защиту от вредоносного ПО». Хоть у кого-то это на сайте написано? Хоть кто-то готов нести ответственность за то, что очередной rf -rm оказался вредоносной программой? Нет.
Антивирусы — всего лишь примитивный и убогий фильтр по сигнатурам. Не зря у половины системного ПО и инсталляторов первым советом идёт «антивирус отключать пробовали?» Из-за того, что алгоритмы антивирусов используют мощнейшую систему защиты от злоумышленников 'secure though obscure' добросоветсные разработчики не могут учиывать «пожелания» антивирусов к ПО (их нет) и становятся жертвами ложных срабатываний. Обычный пользователь получает деградирующую производительность вычислительной системы, пачку ложных срабатываний и годик-полтора висящий руткит, который «никто не обещал поймать, потому что его нет в наших базах сигнатур».
А теперь вопрос: кто из производителей антивирусов хоть что-то гарантирует? «Мы гарантируем вам защиту от вредоносного ПО». Хоть у кого-то это на сайте написано? Хоть кто-то готов нести ответственность за то, что очередной rf -rm оказался вредоносной программой? Нет.
Антивирусы — всего лишь примитивный и убогий фильтр по сигнатурам. Не зря у половины системного ПО и инсталляторов первым советом идёт «антивирус отключать пробовали?» Из-за того, что алгоритмы антивирусов используют мощнейшую систему защиты от злоумышленников 'secure though obscure' добросоветсные разработчики не могут учиывать «пожелания» антивирусов к ПО (их нет) и становятся жертвами ложных срабатываний. Обычный пользователь получает деградирующую производительность вычислительной системы, пачку ложных срабатываний и годик-полтора висящий руткит, который «никто не обещал поймать, потому что его нет в наших базах сигнатур».
Есть такие, которые гарантируют. Особенно в России. ФСБ и ФСТЭК для охраны государственной тайны простые СЗИ, в том числе и антивирусы (как часть СЗИ) не допускает. Там несколько лет необходимо только для сертификации. Но это уже отдельная, достаточно специфическая область.
Есть антивирусы, которые гарантируют сигнатурно-эвристическими методами защиту от вредоносного ПО? Noway.
А что «обычные антивирусы не допускаются...» — вот я тоже не допускаю, чтобы у меня на сервере антивирусы эвристиками занимались. Полагаю, что в этом вопросе ФСБ поступает довольно разумно.
А что «обычные антивирусы не допускаются...» — вот я тоже не допускаю, чтобы у меня на сервере антивирусы эвристиками занимались. Полагаю, что в этом вопросе ФСБ поступает довольно разумно.
Есть, скажем так СЗИ, которые сертифицируются ФСБ. Они обязаны поддерживать необходимый уровень секретности, иначе просто не будет получен необходимый сертификат на производство, продажу, уничтожение.
Стоп, есть СЗИ или антивирусы? Я ничего не имею против (ну, в смысле, в теории, так-то я против, ибо мне неудобно работать будет) против драконовских СЗИ с логгингом каждого чиха, MAC, Easy Intrusion detection, списком разрешённых (по sha-отпечаткам) приложений, криптоключами на аппаратных железках и т.д.
Но попадают ли в этот список, пардон, «антивирусы»?
Но попадают ли в этот список, пардон, «антивирусы»?
В данном случае антивирусные системы рассматриваются как составная часть СЗИ. Конечно в России пока нет необходимых нормативных документов, регламентирующих работу антивирусного ПО (Сертификация антивирусов).
Спасибо за ссылку, она меня окончательно убедила в шарлатанской модели бизнеса антивирусов. Даже ссылка на иностранный опыт выглядит критически идиотской. whildlist, блин.
Главное, никто не может объяснить/декларировать, по каким принципам (формальным) должны формироваться списки. Не в смысле «кого включать», а в смысле «критерий полноты».
Сама идея — фильтровать по сигнатурам, порочна. В небольшом круге задач работает, но всегда с отставанием и всегда неполно.
У меня до сих пор где-то болтается инфицированный файл (~1999 года заражения), который не детектит ни один антивирус. (n.b. написан не мной и не моими знакомыми, подцеплен в диком виде). Последний раз я его тестировал года полтора назад — всё так же нет.
Можно прислать им — и тогда он появится в базах. А можно не прислать — и тогда он так и останется «недетектируемым».
Главное, никто не может объяснить/декларировать, по каким принципам (формальным) должны формироваться списки. Не в смысле «кого включать», а в смысле «критерий полноты».
Сама идея — фильтровать по сигнатурам, порочна. В небольшом круге задач работает, но всегда с отставанием и всегда неполно.
У меня до сих пор где-то болтается инфицированный файл (~1999 года заражения), который не детектит ни один антивирус. (n.b. написан не мной и не моими знакомыми, подцеплен в диком виде). Последний раз я его тестировал года полтора назад — всё так же нет.
Можно прислать им — и тогда он появится в базах. А можно не прислать — и тогда он так и останется «недетектируемым».
Да, ещё, по поводу timing атак. У xenа ping с виртуалки идёт на 0.1 мс дольше, чем с baremetall (с учётом, что девиация у обычного пинга в пределах ± 0.5мс это не обраружимо). Производительность виртуального процессора в условиях отсутствия конкуренции за ресурсы (одна виртуальная машина) — не отличим (физически не отличим) от baremetall. С учётом HVM-акселерации работы netsted page tables, даже такие операции, как обращение к новым адресам в памяти становятся неотличимыми от baremetall.
Это самый сложный момент в данной работе. Достаточно сложно выявить измеряемые характеристики, но никто не запрещает создавать группы характеристик, косвенно зависимых друг от друга. Так как ошибки склонны к накоплению, то измерение нескольких характеристик будет давать более качественный результат.
Sign up to leave a comment.
Антивирусные системы с облачной архитектурой