Как стать автором
Обновить

Комментарии 22

Он не занимается проверками файлов, а отправляет их на SVM и ждет «вердикта сверху».

Только файлы? А если троян уже в памяти (ранее был неизвестен защите)? И прочие места, где водится бесфайловая нечисть
В контексте статьи я имел в виду запущенную задачу сканирования системы. Чтобы ее не нагружать, подозрительные файлы проверяются на стороне SVM. Легкий агент самодостаточный и может на лету определить вирус при попадании в систему – по имеющейся базе, которую он получает от SVM.
Это понятно, но опять речь о файлах. Вредоносная программа на момент проникновения может быть не известна базам антивируса и запущена (на момент проникновения по статистике антивирусу известно хорошо если процентов 50 вредоносных программ (с учетом эвристики)). Соответственно нужно проверять не только файлы. память, процессы и тд и и тп. Как обстоит дело с этим?
Вы верно подметили, для подобных проблем в касперском предусмотрен эвристический метод проверки поведения той или иной сущности. Также есть возможность проверки файлов с использованием облачной среды обмена KSN, в том числе, неизвестными угрозами и их сигнатурами.

На данный момент проблем с актуальностью баз со стороны касперского не наблюдалась и ранее неизвестные угрозы касперский отрабатывал на ура.
Нет. Эвристики проверяют файл до старта. И я написал, что эвристики не помогают. Это миф. Давайте не будем заниматься пропагандой. На необнаружение вредоносный файл проверяется на сервисах типа вирустотал. И атакуют тем, что там не обнаруживается. И такого не менее 30-40 процентов от созданного в день злоумышленниками. Предотвращается их запуск превентивной (поведенческой) защитой.
Ни одна антивирусная программа в мире не может знать все до одной вредоносные программы в момент проникновения
Соответственно вопрос остается. Каким образом выявить вредоносную программу, пропущенную при запуске проверкой базами и не обнаруженную по поведению? В обычном антивирусе это выявляет тот же антируткит проверкой процессов после очередного обновления. А в легком агента?
Легкий агент по компонентам защиты ничем не отличается от «полноразмерного» решения для настольных ПК, ноутбуков и т.д. Исходя из этого, действовать он будет в точности как и kaspersky endpoint security, поскольку в проверке по умолчанию включен пункт «выполнять поиск программ, предназначенных для скрытия следов вредоносной программы в системе (руткитов)». Соответственно, Легкий агент так же следит за запущенными в системе процессами, как и его старший собрат.
Во избежание хочу сказать, что ни в коем случае не хочу сказать, что продукт Касперского плохой. По сути мы обсуждаем преимущества и недостатки архитектуры легкого агента.
А теперь к вопросу. Итого у нас получается, что легкий агент имеет возможность проверять как файлы, так и процессы со всякими секторами. Поскольку априори существуют неизвестные на момент запуска/проникновения вредоносные программы, то как минимум раз в полчаса/час — после прихода обновления все виртуальные машины должны проверить все запущенные процессы, а также по хорошему все файлы, которые нужны для работы процесса. Тоесть передать память на проверку во внешнюю виртуальную машину. И если в случае файлов можно проверить файл, одинаковый для всех виртуальных машин один раз на все машины, то процессы скорее всего так не проверишь. И тут возникает вопрос. Проверка локальным антивирусом процессов скорее всего быстрее, чем облачным, так как в случае облачного раз в час (примем так, хотя процесс может быть заражен в любой момент каким бесфайловым троем) нужно передать объекты на проверку в центральную машину. Соответственно центральная машина должна быть нехилой мощности, прямо пропорциональной количеству обслуживаемых виртуальных машин — ибо вставать им в очередь на проверку не очень хорошая идея
Прав я или нет?
Не совсем так. Дело в том, что виртуальная машина защиты (SVM) — это что-то в роде Appliance. Развертывание происходит на саму виртуализацию, используемую для создания VDI. Конечная нагрузка на эту систему будет зависеть от количества подключаемых Легких агентов.

Но даже вариант с перегрузом по количеству Легких агентов предусмотрен. Нагрузка автоматически распределяется между множеством SVM по алгоритмам балансировки в KSC. Можно управлять балансировкой вручную, например, ограничивать определенные SVM и указывать жесткую привязку Легкого агента к одной или нескольким выделенным машинам защиты.

Замечаний по работе такой системы у нас не возникло, в большинстве случаев используем автоматическую балансировку нагрузки на SVM. В дальнейшем планируем еще одну статью по сравнению Легкого агента с Endpoint, которая расставит все точки над Й!)
Как оно реализовано это то как раз понятно. Я верю, что все работает. У касперских профессионалы сидят. Вопрос исключительно в сравнении общей нагрузки на систему при легком агента или обычном антивирусе
Смотрите. Когда антивирус проверяет файл, то он в общем случае проверяет его не весь целиком байт за байтом. Грубо говоря идет проверка от точки входа и по всем возможным местам расположения вредоносного кода. Тоесть при обычном антивирусе зачитывается только часть файла. При облачном файл передается сначала по сети (целиком! — а он может быть большим и это какая-никакая, а задержка), а потом еще и проверяется
Но в случае файлов двойная работа компенсируется тем, что можно сначала посчитать контрольную сумму файла и передать ее. Если файл с такой суммой проверялся, то его можно не передавать. Тоесть в случае файлов легкий агент выгоден в однородной среде с виртуальными машинами с одинаковыми ОС и приложениями.
Но в случае процессов все поиному. Как я понимаю контрольную сумму не передашь и нужно передать всю память (?). И поскольку на всех виртуалках задачи разные, то тут надо передавать со всех машин на проверку. А памяти сейчас процессы жрут много.
И второй нюанс. Насколько я слышал в случае ядра и баз Касперского они не все размещаются в памяти, а лежат на диске и отображаются в память по необходимости. Тоесть жесткий диск нагружается, а не память. А если нагружается жесткий диск, то какая в сущности разница где его дергать — на обычной виртуалке или на центральной
Сорри за вопросы, просто все это не особо освещается, а интересно
Вопросы это всегда хорошо! Задавать их очень даже нужно! Постараемся ответить в следующей части статьи, в которой сравним Легкий агент с Endpoint security. Если есть еще вопросы по этой теме — пишите. Соберем все и напишем подробный ответ.

Скажу лишь, что SVM — это централизованный механизм проверки, и все машины, подключенные к определенной SVM, пополняют свою базу знаний за счет других ВМ, работающих в этой связке :)
пополняют свою базу знаний за счет других ВМ, работающих в этой связке

Ну вот и вопрос с пожеланием. Очень хочется поменьше маркетинга, побольше графиков сравнений, так как насколько мне известно база знаний это чисто контрольные суммы общих файлов, проверенных ранее. Ибо искусственным интеллектом собственным машины не обладают
Да, конечно, соберем больше информации для следующей статьи, где сравним два решения и расскажем все в подробностях.
Спасибо!
Рады стараться :)

Упало/не устанавливается соединение агента из ВМ с серверами Касперского ( приведенными в статье). Как поведет себя в этих случаях ВМ/юзеровская сессия протокола( VMware Blast/PCoIP, Citrix HDX… не знаю, что Вы предоставляете, сорри). Если при провижмнинге ВМ используется что-то типа AppVolumes, а агент не может проверить(см.выше) подключаемые файлы из AppVolumes, какое поведение ВМ?

В момент потери связи с KSC и соответственно с SVM Легкий агент будет опираться на политику, полученную до потери связи. Легкий агент самодостаточный, чтобы работать без взаимодействия с виртуальной машиной защиты. Она нужна ему для эластичности, чтобы в момент штатных задач не перегружать и без того нагруженную ВМ.

По факту Легкий агент маловероятно сможет потерять связь с SVM. Она является чем то вроде Appliance для среды виртуализации — живет непосредственно на самой виртуализации и контролирует ее.

Я спрашивал о поведении ВМ и сессии, а не агента. Придется сообщить, что маловероятная потеря связи агента и серверов Касперского раньше случалась. В этом случае накрывался весь VDI. Похоже, что этот сценарий не тестировался у Вас

Если я вас правильно понимаю и под сессией в данном ответе вы представляете в целом доступность виртуальной машины при обрыве связи. То проблем с доступностью ВМ не наблюдалось. Приватное облако и все ВМ по отдельности остаются доступными. Поправьте, если я вас понял некорректно

Я только на КДП узнал, что какой-то из «касперских» может быть не «медленным-тяжелым».

Сужу, конечно, только по своему опыту.
Да, Легкий агент на самом деле намного упрощает жизнь ОС и виртуальной машине в целом за счет передачи нагрузки на выделенные машины защиты (SVM).
У меня один вопрос: если все эти годы (да какой там, десятилетия) маркетинг Касперского утверждал, про вот те, старые, «медленные-тяжелые» антивирусы — что они на самом-то деле отличный-быстрые-шустрые, и с каждым релизом все шустрее и быстрее работают. А теперь, когда они («ни разу не было, и вот оно!») говорят, что «умный-гибкий» (наконец-то!) появился, то какова цена тем «правдивым» (прежним) заявлениям? А новым?

Правда, про быстроту нового я зря ловлю на слове, среди слов «умный-гибкий» слова «быстрый» или «легкий» по прежнему нет. Есть только усложнение лицензирования, и большее число точек отказа, но куда без этого?

А что мы выносим проверку наружу, так и раньше проверка (делаясь локально, т.е. убирая часть стадий из проверки) была небыстрой и ресурсоемкой, чем же это ускорит проверку сейчас — алгоритмически всё стало только сложнее?

Одно, наверное, может быть разумно — не проверять по многу раз и на многих ВМ файлы, уже проверенные на одной ВМ (по контрольной сумме). Но это не спасет от самозашифрованных с рандомными каждый раз ключами вирусов, а таковых всё больше.
Полноразмерное решение Endpoint стало действительно меньше нагружать систему. Для обычного современного ПК или ноутбука работа Endpoint давным-давно не в напряг, и при проверках его активность не сказывается в худшую сторону на системе. Чтобы не быть голословным, в следующий раз соберу несколько примеров нагрузки на современную систему при проверке.

В статье идет речь о решении для виртуальных сред, где все характеристики, грубо говоря, нужно умножать на два, так как виртуализация дает о себе знать. Поэтому предлагается решение на базе Легкого агента, который часть нагрузки переносит на выделенные машины защиты (SVM).

Endpoint в свою очередь, стал более гибким в настройках, что позволяет экономить ресурсы в зависимости от правил. К примеру, есть параметр: «Уступать ресурсы другим программам». Если он включен, Endpoint будет уступать ресурсы другим программам, запущенным параллельно проверке. Есть другой вариант: «Выполнять проверку при простое компьютера». В таком случае проверка будет выполняться, пока система бездействует. И таких тонкостей в новых решениях от Касперского — много!
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.