-
HIPS'овые "мировые тенденции"
Имеющиеся в Vista встроенные средства защиты (DEP, UAC, Defender, брандмауэр свой или сторонний, ...) и рекомендация использовать антивирусную программу от стороннего производителя делают ли лишним дополнительное использование HIPS, встроенного в какой либо комплексный пакет безопасности или установленного отдельно?
Мне кажется, что - да. Сидя под юзером с антивирусом и файерволлом при отключенном защитнике винды, я вообще не пользуюсь стронними хипсами/ипсами и антиспайверами и не испытываю неудобств. Насколько велика при этом моя уязвимость?
Какова вообще польза от программного HIPS? Почему они в настоящее время так плодятся? Типичный рыночный подход некоторых производителей - это более простое решение при недоступности развития традиционных "старых" эвристических технологий?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
ananas
Мне кажется, что - да. Сидя под юзером с антивирусом и файерволлом при отключенном защитнике винды, я вообще не пользуюсь стронними хипсами/ипсами и антиспайверами и не испытываю неудобств. Насколько велика при этом моя уязвимость?
Рассуждать о величине опасности сложно. Рассмотрим пару сценариев:
1. через уязвимость в браузере в систему заползает и запускается Pinch (детали в данном случае неважны, важно то, что прав юзера на это хватит). Далее пинч собирает пароли - на это у юзер есть права, так как тут в основном ключ HKCU и доступ только на чтение. Далее он отправляет собранные пароли "кому следует" - это тоже пройдет без проблем. А вот дальше можно рассуждать - опасно это или не опасно ...
2. На компьютер попадает зловред с иконкой и именем, неотличимой на глаз от иконки папки или картинки (путей куча - почта, разные средства типа Инет-пейджеров, флешки). Некий "абстрактный пользователь" с высокой степенью "откроет" ее, а там - злобный вирус, который посканирует профиль, найдет все фото/видео/картинки/документы и испоганит их - прав ему хватит без проблем ... вспомним пристнопамятную "диструктивную рекламу" - пострадавших было много
3. Варианты 1 или 2, но путь проникновения - Инет, а зловред склеен с чем-то полезным джоинером. Я такое видел много раз, и на фоне 10-100 мб дистрибутива заметить небольшой "довесок" посчти нереально, и сигнатурный поиск его может пропустить
Вот поэтому современные антивирусы строятся по принципу многоуровневой обороны - на случай, если уровень N прошляпит заразу, остаются другие уровни ... т.е. получаем сигнатурный сканер, разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Зайцев Олег
... разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.
Олег. А можно спросить Ваше мнение как профессионала - на каком уровне эвристика у KIS (по сравнению с другими конкурентами)?
-
Сообщение от
Зайцев Олег
современные антивирусы строятся по принципу многоуровневой обороны - на случай, если уровень N прошляпит заразу, остаются другие уровни ... т.е. получаем сигнатурный сканер, разные эвристики-эмуляторы-анализаторы. Если они не остановили запуск, то зловред естественно запустится - тут за него возьмутся HIPS и Firewall.
Ок. Но если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс и файерволл, тогда получается наоборот: антивирус лишний в этом случае? Убираем его и ставим хипс. Ну или может ограничиваемся в антивирусе файловым сканером по-требованию.
-
Сообщение от
ananas
Ок. Но если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс и файерволл, тогда получается наоборот: антивирус лишний в этом случае? Убираем его и ставим хипс. Ну или может ограничиваемся в антивирусе файловым сканером по-требованию.
Не совсем так - приведу другой пример: зловред с кодом, обходящим HIPS каким-то хитрым образом, таких сколько угодно. Есть хороший шанс, что его поймает сигнатурный сканер или его эвристические компоненты.
PS: Не бывает идеальных HIPS или антивирусов. Если бы они были - вирусов бы не было 
Если технологии работают совместно, обеспечивая "многоконтурную" защиту, то надежность возрастает.
-
-
Olegka-2007, какой именно из эвристических механизмов Вы хотите сравнить у КИС и конкурентов:
- эмулятор?
- поведенческий блокиратор?
- ХИПС?
- обнаружение уязвимостей?
И главное - по какой методике Вы хотите это сравнивать?
Добавлено через 3 минуты
Сообщение от
ananas
если мы изначально считаем эвристики антивируса дырявыми, а последний надежный уровень - хипс
Хипс - это тоже "эвристик". Ибо это один из механизмов обеспечения защиты от неизвестного науке вируса.
Последний раз редактировалось DVi; 04.08.2008 в 17:38.
Причина: Добавлено
-
-
Путаница в понятиях - привилегия представителей АВ вендоров?
Сообщение от
DVi
- эмулятор?
- поведенческий блокиратор?
- ХИПС?
- обнаружение уязвимостей?
При наличии первых двух, зачем нужен третий? Как консоль или пульт управления?
Добавил.
DVi, Вы к двум первым проактивным механизмам добавили еще два реактивных. Зачем?
Последний раз редактировалось ananas; 04.08.2008 в 18:13.
-
На самом деле, всё очень просто. Поведенческий блокиратор по версии ЛК- это тот же самый blacklisting HIPS. А то, что они называют HIPS- это зачатки sandbox HIPS. Стоит почитать wiki.castlecops.com и всё сразу станет понятнее.
Насчёт оригинального вопроса- поведенческие защиты есть насущная необходимость. Все остальные техники просто не справляются с зловредами. Ограниченная учётная запись (LUA), равно как и ограничение прав основного пользователя (UAC) не спасёт, оба предоставляют достаточно прав для внедрения в систему.
Последний раз редактировалось rav; 04.08.2008 в 19:08.
-
-
Сообщение от
ananas
Путаница в понятиях - привилегия представителей АВ вендоров?
http://biology.krc.karelia.ru/misc/s.../gloss_ae.html
эвристики - это общие рекомендации или советы, основанные на статистической очевидности ... или теоретических рассуждениях
Таким образом под понятие "антивирусная эвристика" попадают все перечисленные мной механизмы.
Сообщение от
ananas
При наличии первых двух, зачем нужен третий?
Я привел четыре пункта, а не три.
Сообщение от
ananas
DVi, Вы к двум первым проактивным механизмам добавили еще два реактивных. Зачем?
- Sandbox HIPS реактивен? Впервые слышу такую интерпретацию.
- Поиск уязвимостей в системе по базе Секунии не является защитой от вирусов в прямом смысле. Однако это неплохой метод защиты от любых вирусов (в том числе - неизвестных науке), желающих проникнуть в Ваш компьютер через эти уязвимости.
-
-
В том то и дело, что черт ногу сломит во всех ваших интерпретациях понятий. Не понятно, как вы сами между собой общаетесь, а уж стороннему человеку вообще разобраться мудрено. Даже в HIPS "S" у кого - System, у кого - Solution.
Если у Вас, DVi, эвристических механизмов
= 4, то
(http://www.anti-malware.ru/forum/ind...showtopic=4720)
@Олег Гудилин 01.06.2008
Результат таков:
- по эвристику это уже не 21% детекта как у семерки, а 42%.
- модуль контроля приложений автоматически заблокировал 68% зловредов из тестового набора, присвоив им рейтинг опасности 100.
- модуль Проактивная защита (PDM), который есть не только в восьмерке, но и в версиях 6/7, к сожалению отдельно не тестировался.
= 3
(http://www.anti-malware.ru/node/91)
@Алиса Шевченко 29.11.2007
Обобщая, можно выделить следующие способы сбора данных для выявления вредоносных программ:
1. Работа с файлом как с массивом байтов.
2. Эмуляция кода программы.
3. Запуск программы в «песочнице» (sandbox) (а также использование близких по смыслу технологий виртуализации).
4. Мониторинг системных событий.
5. Поиск системных аномалий.
Способы перечислены в соответствии с повышением уровня абстракции при работе с кодом. Под уровнем абстракции в данном случае подразумевается то, под каким углом зрения рассматривается исполняемая программа: как первичный цифровой объект (набор байт), как поведение (более абстрактное следствие из набора байт) или как совокупность эффектов в операционной системе (более абстрактное следствие из поведения).
= 5 - 1 (первый) = 4
В той же последовательности авторов:
1. эмулятор = эвристик = эмуляция кода
2. поведенческий блокиратор = модуль проактивная защита = мониторинг системных событий
3. хипс? = модуль контроля приложений = песочница-виртуализация
4. обнаружение уязвимостей = ??? = поиск системных аномалий
Так?
А если отдельные модули - "старый" эвристик и "новая" проактивка способны сами принимать решения, зачем передача прав третьей стороне - хипсу? Только лишь потому, что в нем реализованы дополнительные черно-белые механизмы для удобства пользователей? Так?
-
Не нужно меня спрашивать уточнения про то, что сказал Олег Гудилин и Алиса Шевченко - зарегестрировавшись на anti-malware, у Вас появится уникальная возможность спросить об этом их самих.
Алиса описала пункт (1) "Работа с файлом как с массивом байтов" - если не ошибаюсь, это о чисто сигнатурном определении известных вирусов. Хотя когда одной сигнатурой удается заблокировать достаточно много интерпретаций одного вируса - такой механизм тоже можно назвать эвристическим.
В остальном Вы почти все правильно поняли:
1. Эмулятор = эмуляция кода (но не надо называть "эмулятор" "эвристиком", т.к. понятие "эвристик" гораздо шире)
2. Поведенческий блокиратор = модуль "проактивная защита" (эти два названия идентичны - в терминах разработчиков этот модуль называется "поведенческий блокиратор", а маркетологи дали ему название "проактивная защита"). Этот модуль занимается мониторингом системных событий и на основе заложенных в нем алгоритмов выносит вердикт о зловредности процесса.
3. ХИПС = модуль контроля приложений = песочница-виртуализация
4. Обнаружение уязвимостей = поиск уязвимостей и системных аномалий. Это задача on-demand, выполнена в виде т.н. "мастеров": "Восстановление после заражения", "Анализ безопасности", "Настройка браузера", "Устранение следов активности", "Отчет о состоянии системы (для техподдержки)".
Хипс нужен для того, чтобы не пришлось откатывать систему после исполнения зловредного кода - он заранее ограничивает подозрительное приложение в правах и не дает ему совершать подозрительные действия.
Кроме того, Хипс подстраховывает эмулятор, если эмулятор не смог достаточно точно проэмулировать код исполняемого файла и дать достаточно точный вердикт для детектирования зловреда.
-
-
rav, почитал.
Чуть поправил Вашу ссылку http://wiki.castlecops.com/HIPS_FAQ
Действительно, стало понятнее. Получается, по вики, поведенческий блокиратор - это часть HIPS, как и песочница-виртуализация. А обнаружение уязвимостей специфично для продукта ЛК.
DVi, итого в общем имеется 2-х слойная эвристически-проактивная защита из эмулятора и HIPS (в последнем несколько модулей-механизмов).
И сейчас у меня в резерве защитник винды и возможность вступить в SpyNet. Буду иметь ввиду.
Спасибо всем.
зы
Сообщение от
DVi
Не нужно меня спрашивать уточнения про то, что сказал Олег Гудилин и Алиса Шевченко - зарегестрировавшись на anti-malware, у Вас появится уникальная возможность спросить об этом их самих.
Я не спрашивал Вас, читал просто все подряд по этому поводу.
-
Рад, что помог Вам разобраться.
Сообщение от
ananas
DVi, итого в общем имеется 2-х слойная эвристически-проактивная защита из эмулятора и HIPS (в последнем несколько модулей-механизмов).
Чтобы окончательно Вас запутать: в КИС2009 эмулятор используется и в ХИПСе тоже
-
-
Да, я уже понял, что четких границ нет. Все взаимосвязано. Что-то разделили, что-то срастили. На то у Вас и новый комплексный пакет, об уникальности которого сказано много и во многих местах. Но главное - результаты, ведь уникальность - не самоцель. Мне не хотелось бы переходить от общих принципов на обсуждение конкретного продукта.
Желаю антивирусных успехов.
-
ananas, на anti-malware сейчас идёт тестирование средств защиты на отражение проникновения зловредов на компьютеры фактически в условиях, максимально приближенным к реальным. Так что скоро можно будет узнать и результаты...
-
-
Да, rav, спс. Читал, с чтением проблем нет. Вот только с начала теста некоторые антивирусы свои сборки обновили и не один раз. Интересно, каков будет итог.
-
Junior Member
- Вес репутации
- 63
Whitelisting
Прочитал в какой-то статье на английском языке о тенденциях в антивирусах. Так там говорят о whitelisting как о самом перспективном виде защиты компьютера. Смысл, как я понял в том, что будет разрешаться работа только тех приложений (и файлов), которые есть в белом списке. Что думают специалисты?
Нашел эту статью. Кто знает английский - прошу!
http://resources.zdnet.co.uk/article...9451075,00.htm
-
Специалисты приветствуют. В той или иной мере whitelistening используют:
1. Windows Vista - не позволяет устанавливать неподписанные драйвера.
2. AVZ - файлы, находящиеся в "белом списке", исключаются из исследования системы.
3. Norton Internet Security 2009 - не проверяет подписанные файлы.
4. Kaspersky Internet Security 2009 - назначает разрешающие правила HIPS для файлов, находящихся в "белом списке"
-
-
Сообщение от
Sibir
Прочитал в какой-то статье на английском языке о тенденциях в антивирусах. Так там говорят о whitelisting как о самом перспективном виде защиты компьютера. Смысл, как я понял в том, что будет разрешаться работа только тех приложений (и файлов), которые есть в белом списке. Что думают специалисты?
Использование в чистом виде как средства безопасности бесперспективно. Whitelisting хорошо работает лишь как поддержка иных методов обеспечения безопасности.
-
-
Junior Member
- Вес репутации
- 60
Озадачил себя поиском HIPS.Вот что нашел интересное:Антивирус защищает вас лишь от уже известных ему вирусов (он очень зависим от сигнатур). Поэтому если вы запустите вирус с варезного сайта, который не знаком вашему антивирусу - ваша система будет заражена.Что касается HIPS'ов, то программы этого класса защищают от любых видов вредоносных программ (и не важно: известен вирус кому-нибудь или нет), потому что контролируют потенциально-опасные и/или опасные действия в системе.Скачав и запустив зараженный крак с варезного сайта, вы получите не одно предупреждение, на каждом из этапов (попыток) внедрения вируса в систему: создание исполняемых (возможно, скрытых) файлов где-либо на диске (в случае, если крак будет "дропать" вирус и потом его запускать - так делают обычно), запуск этого приложения. Далее, скорее всего, он полезет в какую-либо из автозагрузок (не обязательно в простой ключ "Run" в реестре), потом он может пытаться установить перехваты в системе (много способов и все они должны контролироваться) - функциями системы, открытием других процессов и их модификацией, подгрузкой своих модулей во все или некоторые процессы, создание потоков в других процессах и т.д. При попытке установить и запустить драйвер - так же запрос. При попытке скрыть себя в списке процессов или драйверов - его автоматическое нахождение. При попытке скрыть себя в реестре или на диске - нахождение там (при соответствующем запуске сканирования; пассивный анализ). При попытке заражать (менять, дописывать) другие исполняемые объекты в системе (на диске) - так же запрос.В общем, у вас будет не меньше 3-15 шансов остановить вирус практически на каждом этапе его вредоносной деятельности в системе. Более того. Если даже вы умудрились все эти действия разрешить, у вас так же остается возможность в дальнейшем нейтрализовать этот вирус, запретив ранее разрешенные действия. И в каждом из запросов - удалить файл, объект в памяти и т.д.И антивируса в такой системе нет.В такие системы могут включать антивирусы лишь для того, чтобы не мучать пользователя вопросами, ответы на которые могут быть известны уже заранее. Если, например, четко известно, что это вирус - об этом можно сразу же сообщить пользователю, не предлагая ему возможности что-либо запускать и анализировать. Для упрощения процесса.http://www.softboard.ru/index.php?showtopic=43912&st=80. Получается-без HIPS нам не жить?
