alukatsky Jan 6 2018 at 17:49

Open Source проекты Cisco по кибербезопасности

5 min

17K

Cisco corporate blogInformation Security*Open source*Antivirus protection*Reverse engineering*

+14

Comments 14

Sleuthhound Jan 6 2018 at 22:11

За обзор спасибо. Только судя по репозитариям многие продукты либо не развиваются (давно отсутствуют коммиты в репозитарии), многие очень вяло развиваются.
ClamAV я вообще выпилил со всех почтовых серверов, т.к. толку от него никакого нет, ловит он оооочень мало вирусов.
Snort — очень хорош, тут не поспоришь.

alukatsky Jan 7 2018 at 02:51

Смотря какие. Те, которые нашей службой ИБ поддерживаются, вполне себе используются активно. Разве что OpenSOC был отдан нами в Apache Foundation и развивается там уже под именем Apache Metron. Talosовские проекты все живые, особенно последние в списке. Есть то есть, что были еще у Sourcefire, — вот они могут быть уже не столь активными, так как прошло много времени с момента их появления.

alukatsky Jan 7 2018 at 02:51

С ClamAV местами соглашусь — как самостоятельное и единственное решение его не стоит применять. Но в совокупности с другими…

bondbig Jan 7 2018 at 11:51

А какую пользу может принести антивирус, который ничего не ловит? Кроме повышения температуры в дата центре?

alukatsky Jan 8 2018 at 14:23

Он ловит многое. Но в современном мире делать ставку только на антивирус вообще глупо. Ни один современный сигнатурный антивирус не способен бороться с кучей современных угроз — нужны комбинации технологий. Поэтому, у нас, например, в E-mail Security Appliance, ClamAV входит в состав AMP for Content, и наряду с другими технологиями обнаружения вредоносного кода ловит угрозы

dmitry_ch Jan 7 2018 at 18:30

А в совокупности с чем его посоветуете, чтобы от него была польза? После практически любого антивируса его ставить бессмысленно, до — тем более глупо.
Другое дело, что (не сильно слежу, но вроде ситуация не менялась) если хочется построить бесплатную почтовую систему, то, кроме ClamAV, на роль бесплатного же антивируса нечего и ставить. Но что он будет ловить (кушая прилично ресурсов, кстати) — вопрос. Eicar, разве что, поймает?

andreyle Jan 8 2018 at 10:59

Не соглашусь с вами. За последние пол года именно ClamAV спас моих пользователь от нескольких свежих вирусов, которых не детектировали основные антивирусы на тот момент. В пример приведу использование уязвимости DDE, через неделю после анонса на ClamAV на моем почтовике словил вирус с ним. Последующее исследование на Вирустотал показало что его ловят только единицы мало известных вирусов. Не спорю что как единственные компонент защиты он слаб, но совместно с блокировкой вложений он спасает от очень многих угроз и позволяет создать вполне себе не плохую бесплатную почтовую систему.
За работу ClamAV хочется сказать спасибо команде Cisco Talos. В перспективе надеюсь опробовать совместную работу ClamAV и наборов правил YARA.

dmitry_ch Jan 8 2018 at 11:13

Да, а как основной антивирус все же что используете на почтовом сервере?
Хочется ещё и скорость обработки почты видеть, а не по пять минут на письмо тратить, а так бы, да, хоть все антивирусы мира ставь в цепочку — авось хоть один, хоть ошибочно, да сработает!
Кстати, пойманное ClamAV у вас оказалось именно вирусом, или ошибкой определения?

andreyle Jan 8 2018 at 11:27

На почте основной и единственный ClamAV. На рабочих станциях NOD.
Специально посмотрел логи почты в конце декабря, примерная задержка письма 10 секунд. В день порядка 10 тыс сообщений. Нагрузка на процессор на почтовом сервере единицы процентов. Так что я бы не стал говорить о заметной нагрузке и задержке из-за ClamAV.
То что поймал ClamAV это действительно вирусы, сразу же семплы ушли в NOD, те подтвердили и внесли в свои базы. По словам нашего спеца по NODу за последние пол года срабатываний антивируса на клиентских устройствах из-за вложений на почте практически не было. Но еще раз повторюсь помимо ClamAV очень много (в разы больше) режет блокировка вложений.

dmitry_ch Jan 8 2018 at 16:57

Вообще блокировка вложений плюс переупаковка сообщений в особо тяжёлых случаях решает главную задачу: чтобы дрянь сама собой не запустилась при просмотре письма.

AMDmi3 Jan 7 2018 at 22:27

На самом деле Cisco, являясь достаточно открытой компаний

Открытые компании не пытаются заявись исключительные права на интерфейс командной строки (Cisco vs. Arista).

-1

dmitry_ch Jan 8 2018 at 11:15

Ну да, дубовый старый и порой нелогичный интерфейс отсуживать — выглядит именно ограничением конкуренции по формальным причинам, а не путем честного сравнения.

Жду иска про совпадение форм устройств циско с любыми другими устройствами мира. Ух, Длинк, держись (и остальные тоже)!

htol Jan 8 2018 at 14:57

Не надо вводить людей в заблуждение. Исключительные права не на cli, а на вполне определённые патентованные команды. Элементарная защита IC/IP. Этим занимаются все и FSF/GNU/GPL в том числе. Да и история создания Arista не очень красивая. Ни кто же не предъявляет иск разработчикам zebra/quagga в которой cli 100% скопирован с cisco устройств уже пару десятилетий как.

-1

alukatsky Jan 8 2018 at 14:21

Увы, не могу предметно обсуждать патентные споры не по безопасности. Но насколько я помню, суть дела заключается не просто в CLI, а в том, что бывшая высокопоставленная сотрудница Cisco, создавшая Arista, украла интеллектуальную собственность компании и использовала ее в своей продукции. Украдены были некоторые запатентованные фичи, интерфейс, более 500 команд, мануалы и т.п., которые затем чудесным образом в неизменном виде появились в продукции Аристы.