Pull to refresh
0

Случилось чудо, друг спас жизнь друга

Reading time 5 min
Views 3.6K

До недавнего времени эта фраза напоминала мне лишь об одном: замечательном супер-герое, который научился летать намного раньше всех Бумеров, Суперменов и иже с ними.

Но времена меняются, а вместе с ними меняются и ассоциации. Сами понимаете, чтобы сменить такое яркое впечатление, должно было произойти что-то действительно важное.

Давайте посмотрим, что все-таки произошло, и не зря ли был перепрограммирован мой мозг.

Причина оказалась банальной: полтора месяца назад вышла новая версия продукта Symantec Endpoint Protection 12.1, и одним из главных нововведений считается добавление в продукт репутационных технологий. Кроме этого в продукте много нововведений, но я лично кроме репутации выделяю для себя технологию под названием Shared Insight Cache. Вот именно эти две технологии у меня в последнее время все больше и больше вытесняют из головы Карлсончика, дорогого. Поэтому вкратце постараюсь описать, как в теории и на практике работают данные технологии.

Глава первая. Мифически-теоретическая


Логика работы первой технологии (репутационный анализ) уже описывалась на Хабре (здесь), поэтому не буду углубляться в детали, но вкратце расскажу: Symantec собирает информацию о том, какие исполняемые файлы существуют в мире, когда они были созданы, каким количеством людей используются, откуда появляются и т.д. Это позволяет без анализа содержимого понять категорию файла: опасный файл или нет.

Вторая технология (Shared Insight Cache) позволяет производить сканирование любых фалов всего лишь один раз на инфраструктуру. Т.е. если на нескольких серверах или рабочих станциях есть одинаковые файлы, то лишь на одной машине файл будет просканирован, а на всех остальных машинах сканирование производиться не будет. Сразу приходит на ум аналогия с технологиями дедупликации, актуальными в средствах по резервному копированию, архивированию, только в данном случае речь идет о средствах защиты от злонамеренного ПО. Разве не замечательно?)

Думаю, что даже невнимательный читатель уже догадался, почему в моем повествовании зашла речь про фразу «друг спас жизнь друга». Репутационная технология помогла за счет информации от других клиентов понять, опасный файл я запускаю (или скачиваю) или нет. Технология Shared Insight Cache позволила сократить использование ресурсов, которые не нужно тратить на повторное сканирование.

Важно заметить, что чем больший бардак присутствует в инфраструктуре, тем более ощутимым будет результат работы технологии Shared Insight Cache. Кому не знакомы ситуации, когда администраторы копируют дистрибутивы на различные сервера в момент установки, а потом забывают их удалить. Антивирусы это все сканируют, причем на всех компьютерах. А ситуации, когда пользователи выкладывают видео, музыку или фотографии на общедоступные ресурсы, а потом остальные их разносят по своим рабочим станциям. И здесь антивирусы стараются, сканируют одно и то же на всех компьютерах. Технология Shared Insight Cache позволяет облегчить жизнь антивируса, а заодно и снять нагрузку с компьютера, на котором он работает.

Глава вторая. Динамически-практическая


На данный момент может показаться, что сотрудник Symantec (коим я являюсь) решил написать статью по заказу отдела маркетинга и все написанное красиво только на словах. Ситуация несколько отличается. Мое прошлое в виде работы тестировщиком ПО меня до сих пор не отпускает, и я стараюсь проверять на практике все, что на словах выглядит весьма «аппетитно», но не известно, как реализовано в жизни.

Поэтому я проделал несколько простых тестов, которые каждый может провести и в своей среде, если есть сомнения в написанном мною черным по белому.

Испытание технологий.

Можно было избирать много различных сценариев проведения тестирования. Сложность и временные затраты на них могли быть разными. Я решил пойти по одному из самых простых путей:
1. Нашел самую древнюю и активно использующуюся виртуальную машину.
2. Склонировал ее, установил на одну из машин SEP версии 12.1, на другую версии 11.
3. Просканировал обе машины несколько раз. Результатами сейчас поделюсь.

Первое сканирование на машине с версией 11 заняло около двух часов, при этом было просканировано около 600 тысяч файлов. Сканирование на машине с версией 12.1 заняло около полутора часов, во время сканирования на уровне 75 тысяч файлов были приняты за «доверенные», т.е. не сканировались. При сканировании использовалась одна и та же политика (только для версии 11 не использовались технологии Insight и Shared Insight Cache, т.к. их не существовало в 11 версии).

Второе сканирование должно было показать эффективность технологий Shared Insight Cache и ScanLess. И показало!)

Второе сканирование на 11 версии не сильно отличалось от первого. Зато на версии 12.1 второе полное сканирование заняло меньше 10 минут. При этом было просканировано 100К файлов. Остальные файлы не были сканированы благодаря технологии ScanLess, т.е. сканировались только измененные файлы.

Здесь сразу возникает вопрос, причем тут Shared Insight Cashe? Он же не помог… Вопрос логичный и эту технологию лучше проверять на различных машинах. Что я и сделал в следующем тесте.

Испытание Shared Insight Cache.
Здесь испытание произвести предельно просто:
— Взял несколько папок, произвольно выбранных из одной из существовавших на диске С: директорий, поместил их в архив. Размер архива получился около 800МБ.
— Просканировал данный архив на клиенте, на котором он был создан. Время сканирования составило около одной минуты, точно не измерял, т.к. понимал, что результат будет отличаться в разы.
— Скопировал архив на другой компьютер, с установленным SEP 12.1 и просканировал архив на нем. Результат – около пары секунд.

На этом решил не заканчивать свой эксперимент. Вдруг это было случайное совпадение событий.
— Добавил на втором компьютере в архив новый файл. Просканировал его заново. Время сканирования – около минуты.
— Скопировал новый архив обратно на первый компьютер, просканировал его. Время снова около пары секунд.

Теперь уже уверенность есть. Случилось чудо… Или, конечно же, не чудо, а просто технология отработала. Но другу, в любом случае, спасибо!

Кстати, для примера вот скриншот с Perfmon, который может производить мониторинг работы Shared Insight Cache:


В данном случае видно, что количество обращений к кэшу почти в 20 раз больше количества файлов в кэше. Это означает, что каждый файл сканировался в среднем на уровне 20 раз. И это все в инфраструктуре из порядка 15 тестовых компьютеров. Соответственно, можете предположить возможную выгоду для инфраструктур, состоящих из тысяч серверов и рабочих станций.

Глава третья. Заключительно-повествовательная


«Если друг оказался вдруг и не друг, и не враг, а так…». Именно такого результата мне не хотелось увидеть в тестировании.
Но к моему превеликому удовольствию, я его и не увидел!)

Обе технологии показали себя в лучшем свете и более чем соответствовали моим представлениям о них. Надеюсь, тем из Вас, кто будет работать с новой версией Symantec Endpoint Protection, обе технологии также понравятся.

Берегите ресурсы, они Вам еще пригодятся!)
Tags:
Hubs:
+4
Comments 12
Comments Comments 12

Articles

Information

Website
www.symantec.ru
Registered
Founded
1982
Employees
1,001–5,000 employees
Location
США