Kaspersky internet Security 2011: скриншоты, обсуждение и пр.

[Зайцев Олег]

Поскольку я вижу непонимание, то расшифрую: меня печалит столь несущественное развитие HIPS - один-единственный шаг. Поэтому я говорю, что новая версия выглядит как пакет обновлений к предыдущей: я ожидал куда более масштабных изменений в Контроле приложений. И поэтому же я спрашиваю: это все? или есть еще что-то новое в этой подсистеме, что не вошло в обзор?

"Это один маленький шаг для HIPS, один гигантский прыжок для продукта" (C)
Я поясню, чтобы внести хоть чуть информации в 2 листа флуда ... вся соль вот в чем - любой современный HIPS состоит как минимум из двух компонент:

• модуль мониторинга и блокировки поведения. Его задача - мониторить и блокировать, он должен отслеживать и уметь блокировать вызов всех функций и действий, которые могут причинить ущерб или какой-то вред системе или данным. Набор отслеживаемых действий естественно расширяется, но это именно расширение - революций тут особых не предвидится. Эта штука примерно общая у всех продуктов, так как собственно подходы к мониторингу примерно идентичны (какие-то реализации лучше, какие-то хуже - но суть у всех одна);
• модуль логики и принятия решений. Его задача - принимать решения о том, что какому приложению разрешить, а что - запретить. Это самое важное и больное место всех HIPS и на основании логики работы этого модуля они и различаются - обычно выделяют классические, поведенческие и Sandbox - http://ru.wikipedia.org/wiki/HIPS

Вот в модуле принятия решений и начинается все самое интересное - как реализовать логику принятия решений с минимальным участием пользователя ? Беда классического HIPS - он задолбает вопросами "приложение X хочет сделать Y - зарешить/запретить". Неверный ответ - и системе капут или программе каюк ... эту проблему отчасти уже удалось решить за счет эмулятора и патентованной системы вычисления SR рейтинга KIS, что позволяет оценить степень опасности приложения перед его запуском и исходя из этого автоматом принимать решения - что можно, а что нет.
Следующий шаг - это экспертные HIPS. В KIS уже в принципе есть уже модуль PDM, и в 2010 все это отлично работает (я реально видел ситуации, когда KIS пропускает некого свежайшего зверя, тот запускается, начинает безобразить и тут-же прибивается и карантинится с диагнозом эвристики "PDM.*". В KIS 2011 это получило развитие - анализ поведения стал сложнее и умнее, хотя суть сохранилась - изучать всеми силами поведение семпла и если вдруг обнаружится, что он творит что-то опасное и характерное для зверей - блокировать его. Это невидимая для простого пользователя часть, но крайне важная ...
Но вернемся к типам HIPS - есть еще Sandbox HIPS, в чистом виде почти бесполезные (как бы реклама не утверждала обратное), так как первая же ошибка пользователя в классификации того, доверять приложению или нет - и системе капут. Тем не менее в KIS отчасти это реализовано в виде того, что есть группа "сильные ограничения" HIPS и запуск в безопасной среде - которые развиваются и представлены в 2011. Но у них тот-же минус, что у аналогов типа Acronis или представителей Sandbox HIPS - пользователь должен заранее знать, что он не доверяет программе X и запустить его в безопасной среде ...
Вот тут то мы подходим к главной идее - что все известные типы HIPS несовершенны, и в конечном итоге все упирается в проблемы правильных ответов о том, что можно и что нельзя или привильной классификации приложения (доверенное/недоверенное). Вот тут то и проявляется новизна 2011, пусть не сильно заметная невооруженным глазом:
-новые эвристики для более качественного анализа поведения. Их плюс - они автономны, т.е. работают баз связи с Интернет и возможности спросить совета у "большого брата";
-подключение KSN. Это очень важный момент, так как у ЛК есть огромные базы опыта и знаний, которые нереально поместить в базы, но вполне реально сделать доступными через KSN. Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно;
Все это нацелено на решение главной задачи - "принять максимально грамотное решение при минимальном участии пользователя в автоматическом режиме, или дать максимум данных для принятия решения в интерактивном".
Общий вывод - в HIPS есть значимые качественные изменения, я бы не сказал, что они незначительные...

[ALEX(XX)]

Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно;

Меня волнует вот такое, не только КИС, но и другие подобные продукты. Какова их эффективность без подключения к WWW? Базы то можно вручную обновить, но как быть с остальным?

[NickGolovko]

подключение KSN. Это очень важный момент, так как у ЛК есть огромные базы опыта и знаний, которые нереально поместить в базы, но вполне реально сделать доступными через KSN. Подкючение KSN в дополнение к имеющимся технологиям улучшит качество, причем значительно

Лично я пока отношусь к таким технологиям с некоторым недоверием. Вы видели в Коллегиальном разделе снимок информационного окна одного из упоминавшихся в этой теме продуктов? Там написано:

keygen.exe

• Много пользователей
  Тысячи пользователей в сообществе использовали этот файл
  
• Достаточное
  Файл был выпущен более 31 дня назад
  
• Хороший
  Есть указания на то, что этот файл заслуживает доверия

Не будет ли таких же недоразумений в новой версии KIS? Коллективный разум, простите за тавтологию, не всегда так разумен, как хотелось бы.

[Зайцев Олег]

Меня волнует вот такое, не только КИС, но и другие подобные продукты. Какова их эффективность без подключения к WWW? Базы то можно вручную обновить, но как быть с остальным?

Вот тут то и проявляется отличие KIS (и не только 2011) от других продуктов. Дело в том, что в KIS большое внимание уделено принятию решения именно на уровне продукта, автономно. Причем принятие решения многоконтурное - перед запуском работает эмулятор, у него базы HEUR детекта - за злобное поведение он может сразу задетектить. Если не задетектил - далее идет SR рейтингомер - тот может подсказать HIPS-у ограничить поведение подозрительного. Когда процесс запустится - начнут работать поведенческие эвристики и они могут дать PDM.* детет по совокупности. Плюс есть база чистых и проверка цифровых подписей - и все это находится в продукте и его базах, и работает автономно. Но эффективность всего этого не идеальная - бывают ложняки, детект неизвестных зверей менее 100%... вот тут-то в действие и вступает KSN - в случае, когда по процессу нельзя принять однозначного решения легитимный/злобный. Опять же в логике условно есть два уровня:
1. Может оказаться так, что по данному семплу принято однозначное решение (он признан зверем, или чистым, или известно, что скажем можно запустить - но стоит ограничить). Тогда это решение устраняет неопределенность. Типовой пример - некий легитимный файл получает высокий SR - но в KSN есть данные, что он чистый - и эти данные "перевесят" локальный вердикт
2. В KSN нет однозначного решения - тогда в работу вступает статистика, по аналогии с тем, как это сдеоано в других продуктах, идея у всех репутационных подходов примерно общая:
- установить, как много раз запускался семпл, и что из этого вышло ?
- как давно известен семпл ?
- доверяли ли семплу запускавшие его пользователи ?
- прочие данные - география запускавших семпл файлов, частота запусков во времени и т.п.
Далее все просто - если семпл известен давно, запускали его тысячи человек, они ему доверяли и ничего страшного не случилось - то в принципе семплу можно доверять. Если это непонятно что, появилось только-то - то стоит десять раз подумать, а доверять ли этому семплу. Это конечно не панацея - но лучше иметь данные для размышления, чем не иметь их.
KSN интересен еще и тем, что данные в него могут поставлять разные анализаторы - которые как-то могут оценить опасность семпла и сформировать его "репутацию"

Добавлено через 2 минуты

Не будет ли таких же недоразумений в новой версии KIS? Коллективный разум, простите за тавтологию, не всегда так разумен, как хотелось бы.

Эта штука применяется как крайняя мера - когда решение отдается на откуп человеку. И на мой взгляд куда лучше видеть некие дополнительнеы данные по семплу, чем принимать решение на уровне "запускается gluck.exe - разрешить или заблокировать ?"