Нет, нельзя
Можно добавлять только расширения, названия папок и файлов
Можно ли задавать относительные пути, например, папки пользователей. То есть допустим разрешить запуск %SYSTEMDRIVE%\Users\*\Program.exe?
Нельзя указывать условные пути.
Вообще с исключениями такой подход: каждое неклассифицированное приложение классифицируется в течение суток.
Можно подождать сутки, пока будет классифицировано приложение.
При необходимости можно добавить в исключения конкретное приложение, запускаемое на конкретной машине.
при этом после классификации система будет знать, что делать с таким приложением — добавлять в список надежных приложений, исключения или все блокировать
Но в целом в продукте не приветствуется практика добавления исключений, потому что это несет потенциальные риски для безопасности.
Уточните, пожалуйста, в Вашем случае зачем нужны исключения?
Тут все просто: чтобы включить функцию залипания клавиш на удаленном компьютере, не требуется логинится
Т.е. если даже жертва поменяла учетные данные для RDP, то когда хакер обращается к этому удаленному компьютеру по RDP, у него появляется окошко для ввода логина и пароля. Хакер на своей клавиатуре нажимает пять раз клавишу SHIFT, после чего выдается стандартное окошко для включения функции залипания клавиш. после этого хакер нажимает кнопку Да для включения этой опции, а вместе с тем активируется и бэкдор, который позволяет хакеру минуя авторизацию войти на компьютер.
кто первый придумает систему которая начнет анализировать системамы и элементы их кода, к примеру, анализируя саму изменчивость (разницу) и на выходе имея аналогичные решения по заданному запросу (готовые программы, которые, становятся более оптимизированными со временем)?
Наверное, это вопрос времени.
Мы пока стараемся с помощью искусственного интеллекта анализировать взаимосвязь всех процессов для определения контекста процессов с целью прогнозирования характера процесса (вредоносный или нет), его последующих действий и направлений атак.
Когда уже начнут проводить сравнительные тесты Anti-APT решений, все эти тесты должны быть регулярными
Очень хороший вопрос.
Пока сложно сказать.
Мы с 2015 года пробовали сподвигнуть некоторые независимые лаборатории на сравнительный анализ, включая наш Adaptive Defense 360.
Почему-то не получилось: есть информация, что лаборатории не смогли привлечь вендоров к такому сравнению.
Помоему идет передергивание. Сравнивается поведенческий анализатор, локально работающий на компьютере и облачный анализатор, анализирующий изменение согласно статистики кучи компьютеров.
Нет, передергивания здесь нет.
Тут речь идет не о том, что идет анализ с кучи компьютеров в облаке (это уже давно пройденный этап).
Речь идет о том, что на каждом отдельно взятом компьютере отслеживаются все взаимодействия между процессами, чтобы установить весь жизненный цикл большого вредоносного процесса. Допустим, на ПК попал какой-то файл из Интернета, этот файл запустил 10 разных процессов, каждый из которых тоже может запускать свои процессы. Система отслеживает все взаимосвязи, чтобы устанавливать причинно-следственную связь каждого процесса, таким образом можно четко знать, с чего все началось и что это породило.
Такой контекстный анализ позволяет анализировать весь большой процесс, состоящий из множества подпроцессов, чтобы понимать характер этого большого процесса и при необходимости заблокировать его. Это очень актуально именно для борьбы с неизвестными угрозами.
Стандартные технологии анализируют каждый процесс в отдельности в отрыве от всего большого процесса. Поэтому возможны случаи, когда вся атака может состоять из невредоносных процессов (каждый по отдельности не представляет опасности), хотя в целом у процесса вполне вредоносный характер, например, кража данных.
Аналогично и с шифровальщиками. Бывают разные ситуации:
— пользователь запустил архиватор и заархивировал файлы с паролем
— пользователь через Total Commander (например) запустил архивацию файлов с паролем
— сторонняя программа запустила Total Commander (например), в котором запустила архивацию файлов с паролем
— … другие варианты, где запуску процесса архивации с паролем может предшествовать с десяток итераций, которые могут быть предназначены для маскировки или имитации легального процесса
И в каждой такой ситуации надо правильно понимать, сам ли пользователь запустил архивацию с паролем или это кто-то умело сделал от его лица. Без анализа всего большого процесса очень сложно понимать, что происходит в самом деле.
В статье есть скриншоты и ссылка на демо-консоль. Посмотрите информацию по жизненному циклу тех или иных вредоносных процессов. Там все становится прозрачно с момента проникновения в систему чего-то подозрительного до подробного списка всех действий, которые после этого произошли (и какие из них были заблокированы): попытки обращения к конкретным ip_адресам, попытки записать определенные значения в конкретные ветки реестра, создание/ копирование таких то файлов и пр. Ценная информация для экспертного анализа и выявления слабых мест, включая несанкционированного доступа к файлам с данными.
Сервер управления C&C, используемый для данного образца вредоносной программы, расположен в Гибралтаре: Сильное заявление, проверять я его конечно не буду
что это 100%-облочное решение? То есть каждая подключенная машина будет тянуть обновления через Интернет?
Да, это полностью облачное решение, и это в первую очередь касается именно инфраструктуры, но тянуть патчи и обновления машины могут не только из Интернета.
Например, можно использовать локальный WSUS-сервер и указать его в настройках политики обновлений.
Кроме того, в ближайшие 2 недели выходит новая версия Panda Systems Management, в которой будет реализовано локальное кеширование. В этом случае выбранная конечная точка (сервер или рабочая станция в сети) сможет использоваться в качестве «репозитория», откуда и будут скачиваться патчи.
Вообще, в новой версии ожидается ряд улучшений, связанный с управлениями патчей.
Это нужно для того, чтобы контролировать обновление ПО на всех устройствах, наличие незакрытых уязвимостей, а также централизованно планировать все эти обновления.
Бывают разные сети, политики и т.д.
Бывают и пользователи разные.
взять первый попавшийся банкбот и ворд макрос коих много и написать статью
Да, к сожалению, подобных угроз ходит много…
Данная атака выглядела как направленная атака на министерство здравоохранения в одной из европейских стран.
Причем она действительно могла парализовать работу всего министерства. Более того, по данным VirusTotal на тот момент ни один антивирусный движок не обнаруживал данную угрозу, хотя в реальной ситуации решения Panda блокировали эту атаку. Ничего не имею против VirusTotal, но не нужно переоценивать значимость его результатов. Многие пользователи думают, что если на VirusTotal движок не обнаруживает угрозу в файле, значит он не может ее блокировать. Хотя на практике далеко не так.
Потом выяснилось, что данная атака была зафиксирована и в других странах.
Учитывая все это, наши коллеги из антивирусной лаборатории PandaLabs решили рассказать про эту угрозу, как один из примеров атаки через powershell.
Честно говоря, тут особо нечего рассказать… Облачная система Panda автоматически заблокировала эту угрозу по определенным признакам. Чуть позже наши коллеги из антивирусной лаборатории PandaLabs обнаружили это, проверяя данные, которые они получают из облака. Облачная система «знает» техники и подходы, которые используются злоумышленниками при атаках через PowerShell, это и сработало.
Начнем с того, что информация НЕ выложена в публичном облаке, доступном любому пользователю Интернета. Информация представлена в консоли управления, доступ к которой осуществляется по https протоколу под личным логином и паролем (а можно еще подключить двухфакторную авторизацию и пр.) того человека (сисадмин, ИТ-директор и т.д.), кто может такую информацию смотреть и работать с ней.
Эта информация (кстати, без персональных данных) хранится в зашифрованном виде в дата-центрах, физическая и информационная безопасность которых соответствует самым высоким требованиям, предъявляемым к такого рода объектам.
Поэтому на самом деле такая информация практически недоступна третьим лицам.
Безопасность такой информации не ниже, чем если она собирается и хранится внутри локальной сети. Потому что есть тысячи способов как такую информацию можно получить из любой локальной сети, и это будет дешевле, чем получать ее из чужой облачной консоли…
А чем это отличается от аиды? А как часто обновляете базу с распознованием? А как вообще распознаете? А что с выгрузками данных? Ничего на самом деле нужного не рассказали…
1. У нас нет сравнительного анализа с AIDA.
2. Данные с агентов в облако передаются практически в реальном времени. Информация, показываемая в консоли управления на закладке Audit, обновляется каждые 24 часа. Но если в панели действий нажать на иконку с биноклем (аудит по запросу), то данные обновятся в реальном времени на текущий момент. Об этом, кстати, в статье сказано в самом начале.
3. Вся инфраструктура PCSM находится в облаке, так что ничего разворачивать в сети не надо, кроме установки агентов на требуемые устройства. Они устанавливаются централизованно и удаленно (об этом мы писали в обзорной статье — 8 шагов как внедрить PCSM).
4. Для работы PCSM требуется лишь, чтобы были открыты определенные порты и доступны определенные URL. Об этом подробнее тут
Если не полностью ответили на вопросы, то уточните, пожалуйста, конкретнее, что именно интересует.
А у нас в статье и нет никакого оптимизма. Мы говорим о том, что наблюдаем снижение количества новых угроз, которые мы ежедневно детектируем. Но снижение количества новых угроз не означает, что снизится и количество зараженных устройств.
Но при этом мы говорим, что сами угрозы становятся все сложнее и наносят все более существенный ущерб, плюс в статье также говорится и про IoT и мобильные угрозы, плюс кибер-войны.
не видно никаких причин для сокращения количества вредоносного по
Есть разные мнения.
Производитель Panda Security видит причины — они, видимо, объясняют тем, что акцент переносится на компании, а угрозы становятся все более сложными, поэтому их меньше стали создавать.
И еще, видимо, уходят кустарные «подельщики» вирусов, потому что их уровень творений достаточно низок и пресекается практически любыми антивирусами даже без знаний в сигнатурах за счет эвристики и облачных знаний.
В материале подробно рассмотрены стандартные ситуации удаленной и централизованной установки ПО на устройствах Windows, Linux, Mac, приложений на мобильные устройства с iOS (с помощью облачного RMM-сервиса).
Нет, нельзя
Можно добавлять только расширения, названия папок и файлов
Нельзя указывать условные пути.
Вообще с исключениями такой подход: каждое неклассифицированное приложение классифицируется в течение суток.
Можно подождать сутки, пока будет классифицировано приложение.
При необходимости можно добавить в исключения конкретное приложение, запускаемое на конкретной машине.
при этом после классификации система будет знать, что делать с таким приложением — добавлять в список надежных приложений, исключения или все блокировать
Но в целом в продукте не приветствуется практика добавления исключений, потому что это несет потенциальные риски для безопасности.
Уточните, пожалуйста, в Вашем случае зачем нужны исключения?
Т.е. если даже жертва поменяла учетные данные для RDP, то когда хакер обращается к этому удаленному компьютеру по RDP, у него появляется окошко для ввода логина и пароля. Хакер на своей клавиатуре нажимает пять раз клавишу SHIFT, после чего выдается стандартное окошко для включения функции залипания клавиш. после этого хакер нажимает кнопку Да для включения этой опции, а вместе с тем активируется и бэкдор, который позволяет хакеру минуя авторизацию войти на компьютер.
Наверное, это вопрос времени.
Мы пока стараемся с помощью искусственного интеллекта анализировать взаимосвязь всех процессов для определения контекста процессов с целью прогнозирования характера процесса (вредоносный или нет), его последующих действий и направлений атак.
Очень хороший вопрос.
Пока сложно сказать.
Мы с 2015 года пробовали сподвигнуть некоторые независимые лаборатории на сравнительный анализ, включая наш Adaptive Defense 360.
Почему-то не получилось: есть информация, что лаборатории не смогли привлечь вендоров к такому сравнению.
Для Panda Security это давно пройденный этап.
Аналог KSN Касперского — это наш Коллективный разум, запущенный в коммерческую эксплуатацию в 2007 году.
Нет, передергивания здесь нет.
Тут речь идет не о том, что идет анализ с кучи компьютеров в облаке (это уже давно пройденный этап).
Речь идет о том, что на каждом отдельно взятом компьютере отслеживаются все взаимодействия между процессами, чтобы установить весь жизненный цикл большого вредоносного процесса. Допустим, на ПК попал какой-то файл из Интернета, этот файл запустил 10 разных процессов, каждый из которых тоже может запускать свои процессы. Система отслеживает все взаимосвязи, чтобы устанавливать причинно-следственную связь каждого процесса, таким образом можно четко знать, с чего все началось и что это породило.
Такой контекстный анализ позволяет анализировать весь большой процесс, состоящий из множества подпроцессов, чтобы понимать характер этого большого процесса и при необходимости заблокировать его. Это очень актуально именно для борьбы с неизвестными угрозами.
Стандартные технологии анализируют каждый процесс в отдельности в отрыве от всего большого процесса. Поэтому возможны случаи, когда вся атака может состоять из невредоносных процессов (каждый по отдельности не представляет опасности), хотя в целом у процесса вполне вредоносный характер, например, кража данных.
Аналогично и с шифровальщиками. Бывают разные ситуации:
— пользователь запустил архиватор и заархивировал файлы с паролем
— пользователь через Total Commander (например) запустил архивацию файлов с паролем
— сторонняя программа запустила Total Commander (например), в котором запустила архивацию файлов с паролем
— … другие варианты, где запуску процесса архивации с паролем может предшествовать с десяток итераций, которые могут быть предназначены для маскировки или имитации легального процесса
И в каждой такой ситуации надо правильно понимать, сам ли пользователь запустил архивацию с паролем или это кто-то умело сделал от его лица. Без анализа всего большого процесса очень сложно понимать, что происходит в самом деле.
В статье есть скриншоты и ссылка на демо-консоль. Посмотрите информацию по жизненному циклу тех или иных вредоносных процессов. Там все становится прозрачно с момента проникновения в систему чего-то подозрительного до подробного списка всех действий, которые после этого произошли (и какие из них были заблокированы): попытки обращения к конкретным ip_адресам, попытки записать определенные значения в конкретные ветки реестра, создание/ копирование таких то файлов и пр. Ценная информация для экспертного анализа и выявления слабых мест, включая несанкционированного доступа к файлам с данными.
Что смутило в данном высказывании?
Гибралтар — это заморская территория Великобритании.
Да, это полностью облачное решение, и это в первую очередь касается именно инфраструктуры, но тянуть патчи и обновления машины могут не только из Интернета.
Например, можно использовать локальный WSUS-сервер и указать его в настройках политики обновлений.
Кроме того, в ближайшие 2 недели выходит новая версия Panda Systems Management, в которой будет реализовано локальное кеширование. В этом случае выбранная конечная точка (сервер или рабочая станция в сети) сможет использоваться в качестве «репозитория», откуда и будут скачиваться патчи.
Вообще, в новой версии ожидается ряд улучшений, связанный с управлениями патчей.
Разных производителей (Java, Adobe, Chrome, Mozilla, 7zip, Opera, Oracle и т.д.)
Это нужно для того, чтобы контролировать обновление ПО на всех устройствах, наличие незакрытых уязвимостей, а также централизованно планировать все эти обновления.
Бывают разные сети, политики и т.д.
Бывают и пользователи разные.
Да, к сожалению, подобных угроз ходит много…
Данная атака выглядела как направленная атака на министерство здравоохранения в одной из европейских стран.
Причем она действительно могла парализовать работу всего министерства. Более того, по данным VirusTotal на тот момент ни один антивирусный движок не обнаруживал данную угрозу, хотя в реальной ситуации решения Panda блокировали эту атаку. Ничего не имею против VirusTotal, но не нужно переоценивать значимость его результатов. Многие пользователи думают, что если на VirusTotal движок не обнаруживает угрозу в файле, значит он не может ее блокировать. Хотя на практике далеко не так.
Потом выяснилось, что данная атака была зафиксирована и в других странах.
Учитывая все это, наши коллеги из антивирусной лаборатории PandaLabs решили рассказать про эту угрозу, как один из примеров атаки через powershell.
Пожалуй, самый оптимальный вариант — это настроить VPN-доступ.
Эта информация (кстати, без персональных данных) хранится в зашифрованном виде в дата-центрах, физическая и информационная безопасность которых соответствует самым высоким требованиям, предъявляемым к такого рода объектам.
Поэтому на самом деле такая информация практически недоступна третьим лицам.
Безопасность такой информации не ниже, чем если она собирается и хранится внутри локальной сети. Потому что есть тысячи способов как такую информацию можно получить из любой локальной сети, и это будет дешевле, чем получать ее из чужой облачной консоли…
1. У нас нет сравнительного анализа с AIDA.
2. Данные с агентов в облако передаются практически в реальном времени. Информация, показываемая в консоли управления на закладке Audit, обновляется каждые 24 часа. Но если в панели действий нажать на иконку с биноклем (аудит по запросу), то данные обновятся в реальном времени на текущий момент. Об этом, кстати, в статье сказано в самом начале.
3. Вся инфраструктура PCSM находится в облаке, так что ничего разворачивать в сети не надо, кроме установки агентов на требуемые устройства. Они устанавливаются централизованно и удаленно (об этом мы писали в обзорной статье — 8 шагов как внедрить PCSM).
4. Для работы PCSM требуется лишь, чтобы были открыты определенные порты и доступны определенные URL. Об этом подробнее тут
Если не полностью ответили на вопросы, то уточните, пожалуйста, конкретнее, что именно интересует.
Можете скрин приложить, в чем проблема с отображением данных?
А у нас в статье и нет никакого оптимизма. Мы говорим о том, что наблюдаем снижение количества новых угроз, которые мы ежедневно детектируем. Но снижение количества новых угроз не означает, что снизится и количество зараженных устройств.
Но при этом мы говорим, что сами угрозы становятся все сложнее и наносят все более существенный ущерб, плюс в статье также говорится и про IoT и мобильные угрозы, плюс кибер-войны.
Возможно, Вы несколько иначе поняли наш прогноз…
Специального сравнения и тестирования не проводили. Сейчас затрудняемся ответить точно.
Есть разные мнения.
Производитель Panda Security видит причины — они, видимо, объясняют тем, что акцент переносится на компании, а угрозы становятся все более сложными, поэтому их меньше стали создавать.
И еще, видимо, уходят кустарные «подельщики» вирусов, потому что их уровень творений достаточно низок и пресекается практически любыми антивирусами даже без знаний в сигнатурах за счет эвристики и облачных знаний.
В материале подробно рассмотрены стандартные ситуации удаленной и централизованной установки ПО на устройствах Windows, Linux, Mac, приложений на мобильные устройства с iOS (с помощью облачного RMM-сервиса).