Comments 22
Он не занимается проверками файлов, а отправляет их на SVM и ждет «вердикта сверху».
Только файлы? А если троян уже в памяти (ранее был неизвестен защите)? И прочие места, где водится бесфайловая нечисть
В контексте статьи я имел в виду запущенную задачу сканирования системы. Чтобы ее не нагружать, подозрительные файлы проверяются на стороне SVM. Легкий агент самодостаточный и может на лету определить вирус при попадании в систему – по имеющейся базе, которую он получает от SVM.
Это понятно, но опять речь о файлах. Вредоносная программа на момент проникновения может быть не известна базам антивируса и запущена (на момент проникновения по статистике антивирусу известно хорошо если процентов 50 вредоносных программ (с учетом эвристики)). Соответственно нужно проверять не только файлы. память, процессы и тд и и тп. Как обстоит дело с этим?
Вы верно подметили, для подобных проблем в касперском предусмотрен эвристический метод проверки поведения той или иной сущности. Также есть возможность проверки файлов с использованием облачной среды обмена KSN, в том числе, неизвестными угрозами и их сигнатурами.
На данный момент проблем с актуальностью баз со стороны касперского не наблюдалась и ранее неизвестные угрозы касперский отрабатывал на ура.
На данный момент проблем с актуальностью баз со стороны касперского не наблюдалась и ранее неизвестные угрозы касперский отрабатывал на ура.
Нет. Эвристики проверяют файл до старта. И я написал, что эвристики не помогают. Это миф. Давайте не будем заниматься пропагандой. На необнаружение вредоносный файл проверяется на сервисах типа вирустотал. И атакуют тем, что там не обнаруживается. И такого не менее 30-40 процентов от созданного в день злоумышленниками. Предотвращается их запуск превентивной (поведенческой) защитой.
Ни одна антивирусная программа в мире не может знать все до одной вредоносные программы в момент проникновения
Соответственно вопрос остается. Каким образом выявить вредоносную программу, пропущенную при запуске проверкой базами и не обнаруженную по поведению? В обычном антивирусе это выявляет тот же антируткит проверкой процессов после очередного обновления. А в легком агента?
Ни одна антивирусная программа в мире не может знать все до одной вредоносные программы в момент проникновения
Соответственно вопрос остается. Каким образом выявить вредоносную программу, пропущенную при запуске проверкой базами и не обнаруженную по поведению? В обычном антивирусе это выявляет тот же антируткит проверкой процессов после очередного обновления. А в легком агента?
Легкий агент по компонентам защиты ничем не отличается от «полноразмерного» решения для настольных ПК, ноутбуков и т.д. Исходя из этого, действовать он будет в точности как и kaspersky endpoint security, поскольку в проверке по умолчанию включен пункт «выполнять поиск программ, предназначенных для скрытия следов вредоносной программы в системе (руткитов)». Соответственно, Легкий агент так же следит за запущенными в системе процессами, как и его старший собрат.
Во избежание хочу сказать, что ни в коем случае не хочу сказать, что продукт Касперского плохой. По сути мы обсуждаем преимущества и недостатки архитектуры легкого агента.
А теперь к вопросу. Итого у нас получается, что легкий агент имеет возможность проверять как файлы, так и процессы со всякими секторами. Поскольку априори существуют неизвестные на момент запуска/проникновения вредоносные программы, то как минимум раз в полчаса/час — после прихода обновления все виртуальные машины должны проверить все запущенные процессы, а также по хорошему все файлы, которые нужны для работы процесса. Тоесть передать память на проверку во внешнюю виртуальную машину. И если в случае файлов можно проверить файл, одинаковый для всех виртуальных машин один раз на все машины, то процессы скорее всего так не проверишь. И тут возникает вопрос. Проверка локальным антивирусом процессов скорее всего быстрее, чем облачным, так как в случае облачного раз в час (примем так, хотя процесс может быть заражен в любой момент каким бесфайловым троем) нужно передать объекты на проверку в центральную машину. Соответственно центральная машина должна быть нехилой мощности, прямо пропорциональной количеству обслуживаемых виртуальных машин — ибо вставать им в очередь на проверку не очень хорошая идея
Прав я или нет?
А теперь к вопросу. Итого у нас получается, что легкий агент имеет возможность проверять как файлы, так и процессы со всякими секторами. Поскольку априори существуют неизвестные на момент запуска/проникновения вредоносные программы, то как минимум раз в полчаса/час — после прихода обновления все виртуальные машины должны проверить все запущенные процессы, а также по хорошему все файлы, которые нужны для работы процесса. Тоесть передать память на проверку во внешнюю виртуальную машину. И если в случае файлов можно проверить файл, одинаковый для всех виртуальных машин один раз на все машины, то процессы скорее всего так не проверишь. И тут возникает вопрос. Проверка локальным антивирусом процессов скорее всего быстрее, чем облачным, так как в случае облачного раз в час (примем так, хотя процесс может быть заражен в любой момент каким бесфайловым троем) нужно передать объекты на проверку в центральную машину. Соответственно центральная машина должна быть нехилой мощности, прямо пропорциональной количеству обслуживаемых виртуальных машин — ибо вставать им в очередь на проверку не очень хорошая идея
Прав я или нет?
Не совсем так. Дело в том, что виртуальная машина защиты (SVM) — это что-то в роде Appliance. Развертывание происходит на саму виртуализацию, используемую для создания VDI. Конечная нагрузка на эту систему будет зависеть от количества подключаемых Легких агентов.
Но даже вариант с перегрузом по количеству Легких агентов предусмотрен. Нагрузка автоматически распределяется между множеством SVM по алгоритмам балансировки в KSC. Можно управлять балансировкой вручную, например, ограничивать определенные SVM и указывать жесткую привязку Легкого агента к одной или нескольким выделенным машинам защиты.
Замечаний по работе такой системы у нас не возникло, в большинстве случаев используем автоматическую балансировку нагрузки на SVM. В дальнейшем планируем еще одну статью по сравнению Легкого агента с Endpoint, которая расставит все точки над Й!)
Но даже вариант с перегрузом по количеству Легких агентов предусмотрен. Нагрузка автоматически распределяется между множеством SVM по алгоритмам балансировки в KSC. Можно управлять балансировкой вручную, например, ограничивать определенные SVM и указывать жесткую привязку Легкого агента к одной или нескольким выделенным машинам защиты.
Замечаний по работе такой системы у нас не возникло, в большинстве случаев используем автоматическую балансировку нагрузки на SVM. В дальнейшем планируем еще одну статью по сравнению Легкого агента с Endpoint, которая расставит все точки над Й!)
Как оно реализовано это то как раз понятно. Я верю, что все работает. У касперских профессионалы сидят. Вопрос исключительно в сравнении общей нагрузки на систему при легком агента или обычном антивирусе
Смотрите. Когда антивирус проверяет файл, то он в общем случае проверяет его не весь целиком байт за байтом. Грубо говоря идет проверка от точки входа и по всем возможным местам расположения вредоносного кода. Тоесть при обычном антивирусе зачитывается только часть файла. При облачном файл передается сначала по сети (целиком! — а он может быть большим и это какая-никакая, а задержка), а потом еще и проверяется
Но в случае файлов двойная работа компенсируется тем, что можно сначала посчитать контрольную сумму файла и передать ее. Если файл с такой суммой проверялся, то его можно не передавать. Тоесть в случае файлов легкий агент выгоден в однородной среде с виртуальными машинами с одинаковыми ОС и приложениями.
Но в случае процессов все поиному. Как я понимаю контрольную сумму не передашь и нужно передать всю память (?). И поскольку на всех виртуалках задачи разные, то тут надо передавать со всех машин на проверку. А памяти сейчас процессы жрут много.
И второй нюанс. Насколько я слышал в случае ядра и баз Касперского они не все размещаются в памяти, а лежат на диске и отображаются в память по необходимости. Тоесть жесткий диск нагружается, а не память. А если нагружается жесткий диск, то какая в сущности разница где его дергать — на обычной виртуалке или на центральной
Сорри за вопросы, просто все это не особо освещается, а интересно
Смотрите. Когда антивирус проверяет файл, то он в общем случае проверяет его не весь целиком байт за байтом. Грубо говоря идет проверка от точки входа и по всем возможным местам расположения вредоносного кода. Тоесть при обычном антивирусе зачитывается только часть файла. При облачном файл передается сначала по сети (целиком! — а он может быть большим и это какая-никакая, а задержка), а потом еще и проверяется
Но в случае файлов двойная работа компенсируется тем, что можно сначала посчитать контрольную сумму файла и передать ее. Если файл с такой суммой проверялся, то его можно не передавать. Тоесть в случае файлов легкий агент выгоден в однородной среде с виртуальными машинами с одинаковыми ОС и приложениями.
Но в случае процессов все поиному. Как я понимаю контрольную сумму не передашь и нужно передать всю память (?). И поскольку на всех виртуалках задачи разные, то тут надо передавать со всех машин на проверку. А памяти сейчас процессы жрут много.
И второй нюанс. Насколько я слышал в случае ядра и баз Касперского они не все размещаются в памяти, а лежат на диске и отображаются в память по необходимости. Тоесть жесткий диск нагружается, а не память. А если нагружается жесткий диск, то какая в сущности разница где его дергать — на обычной виртуалке или на центральной
Сорри за вопросы, просто все это не особо освещается, а интересно
Вопросы это всегда хорошо! Задавать их очень даже нужно! Постараемся ответить в следующей части статьи, в которой сравним Легкий агент с Endpoint security. Если есть еще вопросы по этой теме — пишите. Соберем все и напишем подробный ответ.
Скажу лишь, что SVM — это централизованный механизм проверки, и все машины, подключенные к определенной SVM, пополняют свою базу знаний за счет других ВМ, работающих в этой связке :)
Скажу лишь, что SVM — это централизованный механизм проверки, и все машины, подключенные к определенной SVM, пополняют свою базу знаний за счет других ВМ, работающих в этой связке :)
пополняют свою базу знаний за счет других ВМ, работающих в этой связке
Ну вот и вопрос с пожеланием. Очень хочется поменьше маркетинга, побольше графиков сравнений, так как насколько мне известно база знаний это чисто контрольные суммы общих файлов, проверенных ранее. Ибо искусственным интеллектом собственным машины не обладают
Упало/не устанавливается соединение агента из ВМ с серверами Касперского ( приведенными в статье). Как поведет себя в этих случаях ВМ/юзеровская сессия протокола( VMware Blast/PCoIP, Citrix HDX… не знаю, что Вы предоставляете, сорри). Если при провижмнинге ВМ используется что-то типа AppVolumes, а агент не может проверить(см.выше) подключаемые файлы из AppVolumes, какое поведение ВМ?
В момент потери связи с KSC и соответственно с SVM Легкий агент будет опираться на политику, полученную до потери связи. Легкий агент самодостаточный, чтобы работать без взаимодействия с виртуальной машиной защиты. Она нужна ему для эластичности, чтобы в момент штатных задач не перегружать и без того нагруженную ВМ.
По факту Легкий агент маловероятно сможет потерять связь с SVM. Она является чем то вроде Appliance для среды виртуализации — живет непосредственно на самой виртуализации и контролирует ее.
По факту Легкий агент маловероятно сможет потерять связь с SVM. Она является чем то вроде Appliance для среды виртуализации — живет непосредственно на самой виртуализации и контролирует ее.
Я спрашивал о поведении ВМ и сессии, а не агента. Придется сообщить, что маловероятная потеря связи агента и серверов Касперского раньше случалась. В этом случае накрывался весь VDI. Похоже, что этот сценарий не тестировался у Вас
Я только на КДП узнал, что какой-то из «касперских» может быть не «медленным-тяжелым».
Сужу, конечно, только по своему опыту.
Сужу, конечно, только по своему опыту.
Да, Легкий агент на самом деле намного упрощает жизнь ОС и виртуальной машине в целом за счет передачи нагрузки на выделенные машины защиты (SVM).
У меня один вопрос: если все эти годы (да какой там, десятилетия) маркетинг Касперского утверждал, про вот те, старые, «медленные-тяжелые» антивирусы — что они на самом-то деле отличный-быстрые-шустрые, и с каждым релизом все шустрее и быстрее работают. А теперь, когда они («ни разу не было, и вот оно!») говорят, что «умный-гибкий» (наконец-то!) появился, то какова цена тем «правдивым» (прежним) заявлениям? А новым?
Правда, про быстроту нового я зря ловлю на слове, среди слов «умный-гибкий» слова «быстрый» или «легкий» по прежнему нет. Есть только усложнение лицензирования, и большее число точек отказа, но куда без этого?
А что мы выносим проверку наружу, так и раньше проверка (делаясь локально, т.е. убирая часть стадий из проверки) была небыстрой и ресурсоемкой, чем же это ускорит проверку сейчас — алгоритмически всё стало только сложнее?
Одно, наверное, может быть разумно — не проверять по многу раз и на многих ВМ файлы, уже проверенные на одной ВМ (по контрольной сумме). Но это не спасет от самозашифрованных с рандомными каждый раз ключами вирусов, а таковых всё больше.
Правда, про быстроту нового я зря ловлю на слове, среди слов «умный-гибкий» слова «быстрый» или «легкий» по прежнему нет. Есть только усложнение лицензирования, и большее число точек отказа, но куда без этого?
А что мы выносим проверку наружу, так и раньше проверка (делаясь локально, т.е. убирая часть стадий из проверки) была небыстрой и ресурсоемкой, чем же это ускорит проверку сейчас — алгоритмически всё стало только сложнее?
Одно, наверное, может быть разумно — не проверять по многу раз и на многих ВМ файлы, уже проверенные на одной ВМ (по контрольной сумме). Но это не спасет от самозашифрованных с рандомными каждый раз ключами вирусов, а таковых всё больше.
Полноразмерное решение Endpoint стало действительно меньше нагружать систему. Для обычного современного ПК или ноутбука работа Endpoint давным-давно не в напряг, и при проверках его активность не сказывается в худшую сторону на системе. Чтобы не быть голословным, в следующий раз соберу несколько примеров нагрузки на современную систему при проверке.
В статье идет речь о решении для виртуальных сред, где все характеристики, грубо говоря, нужно умножать на два, так как виртуализация дает о себе знать. Поэтому предлагается решение на базе Легкого агента, который часть нагрузки переносит на выделенные машины защиты (SVM).
Endpoint в свою очередь, стал более гибким в настройках, что позволяет экономить ресурсы в зависимости от правил. К примеру, есть параметр: «Уступать ресурсы другим программам». Если он включен, Endpoint будет уступать ресурсы другим программам, запущенным параллельно проверке. Есть другой вариант: «Выполнять проверку при простое компьютера». В таком случае проверка будет выполняться, пока система бездействует. И таких тонкостей в новых решениях от Касперского — много!
В статье идет речь о решении для виртуальных сред, где все характеристики, грубо говоря, нужно умножать на два, так как виртуализация дает о себе знать. Поэтому предлагается решение на базе Легкого агента, который часть нагрузки переносит на выделенные машины защиты (SVM).
Endpoint в свою очередь, стал более гибким в настройках, что позволяет экономить ресурсы в зависимости от правил. К примеру, есть параметр: «Уступать ресурсы другим программам». Если он включен, Endpoint будет уступать ресурсы другим программам, запущенным параллельно проверке. Есть другой вариант: «Выполнять проверку при простое компьютера». В таком случае проверка будет выполняться, пока система бездействует. И таких тонкостей в новых решениях от Касперского — много!
Sign up to leave a comment.
Провайдер, поставь мой антивирус на VDI