Показано с 1 по 9 из 9.

Миф №1 "Антивирус достаточно обновлять ежедневно"

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166

    Миф №1 "Антивирус достаточно обновлять ежедневно"

    Нередко приходится видеть, что пользователи обновляют свои антивирусные программы (это же касается обновлений систем обнаружения атак, антиспамовых систем и т.п.) один раз в день, как правило, утром в момент загрузки компьютера. Достаточно ли этого? Можно с уверенностью сказать, что нет. Ежедневно появляется 30-50 новых вирусов, которые начинают распространяться по сетям и заражать все новые и новые жертвы. Если вы обновляете свою антивирусную базу один раз в день, то вероятность заражения компьютера между обновлениями возрастает многократно. Особенно опасно такое бездействие во время эпидемий, когда вредоносная программа распространяется по Интернет с огромной скоростью. Уже математически доказан факт создания червя (Warholl Worm), способного заразить все узлы Интернет (при современном развитии информационных технологий) всего за 15 минут! Даже при ежечасном обновлении антивируса такой червь 4 раза "обогнет" всю Сеть, прежде чем его "засекут" антивирусные сторожа.
    дальше http://bankir.ru/news/experts/lukatsky/502/165853

    P.S. Неплохие статьи там же в рамках книги "Мифы и заблуждения информационной безопасности" http://bankir.ru/news/experts/lukatsky/

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Не уважаю Лукацкого после этого http://www.securitylab.ru/opinion/312751.php

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для sergey888
    Регистрация
    28.06.2007
    Адрес
    The pirate bay
    Сообщений
    471
    Вес репутации
    344
    Как раз практика показывает обратное, что обновлений раз в день более чем достаточно. А эта статья не более чем еще одна рекламная акция.
    Kaspersky Internet Security 2013 и Windows 8 Профессионал с Media Center
    Стандартный пользователь + Политики ограниченного использования программ

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Автор статьи немного не учел того факта, что говорить о зависимости между защищенностью ПК и качеством защиты с одной стороны, и частотой обновления баз с другой - мягко говоря глупо. Дело в том, что оно справедливо только для лобового сигнатурного искателя. Для современного антивируса картина совершенно иная, и выглядит так:
    1. Частота выхода обновлений действительно является важным показателем, именно потому, что сигнатура детекта зверя или подпись чистого объекта позволяет антивирусу моментально, однозначно и без раздумий принять решения по объекту
    2. Современный антивирус может в случае надобности и наличия Инет канала обратиться к серверу своих создателей, передать данные по вызывающему у него подозрение файлу (размер, имя, хеш ...) и попросить совета. В терминах KIS2009 это называется Urgent Detection System (UDS). Логика проста - такой запрос антивирус может послать, когда он изучает новую, никогда ранее не запускавшуюся программу, не обнаруженную в базе чистых и не имеющую ЭЦП доверенного производителя типа Adobe или Microsoft/ Достоинство технологии - ответ будет получен сразу, независимо от того, свежие у антивируса базы или устаревшие, и как легко догадаться делается это редко, трафик будет очень небольшой ... и позволит антивирусу принять решение тогда, когда это надо, а не тогда, когда ему обновят базы
    3. У современного антивируса есть масса технологий детектирования и ограничения вредоносных программ несигнатурного типа. Если брать тот-же KIS за пример, то там есть эмулятор + рейтинг опасности SR, есть база чистых, если эвристический детект (подозрительные пакеры, всякая поведенческая и сигнатурная эвристика и т.п.), есть HIPS и PDM, Firewall с блокиратором заразных URL... Каждая из таких технологий далеко не панацея от всех бед, но прибавляет определенный процент к вероятности блокировки неизвестного зловреда. Поэтому рассуждения о "черве, который может позаразить всех за 15 минут" немного непонятно

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2008
    Сообщений
    83
    Вес репутации
    37
    Может быть я неправ, но (ИМХО) если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры, но...за полчаса и даже , может быть за день, спецы не подготовят обновление, посему есть ли смысл обновляться каждые 15-20 минут, как это реализовано, скажем, в NAV 2009?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от gorill Посмотреть сообщение
    Может быть я неправ, но (ИМХО) если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры, но...за полчаса и даже , может быть за день, спецы не подготовят обновление, посему есть ли смысл обновляться каждые 15-20 минут, как это реализовано, скажем, в NAV 2009?
    Обновление на новую заразу могут и за 5 минут подготовить ... причем возможны же разные методы. Возможен например "метод тупых автоматических сигнатур", т.е. например прилетел в вирлаб семпл (или как вариант данные о нем с десятка разных машин), робот видит, что это скорее всего зло, в базу можно немедленно запихать скажем MD5 этого зверя -> апдейт юзерам - получаем оперативную блокировку его запуска еще до нормальной обработки семпла. В такой ситуации базы можно и раз в 5 минут обновлять... и некоторый эффект от этого будет. Поэтому самое хорошее - это обновление антивируса в автоматическом режиме, если таковой у него есть. В этом случае антивирус сам будет обновляться с той периодичностью, которую его создатели считают наиболее оптимальной. В любом случае частые апдейты лучше редких - так как повышается вероятность детекта новой заразы ... однако нужно четко понимать, что
    1. Обновлять базы нужно не чаще, чем выпускает апдейты вирлаб. Т.е. если апдейты идут раз в 2 часа, то обновляться раз в 15 минут совершенно никакого смысла нет (хотя и вреда от этого не будет, кроме доп. нагрузки на сервера производителя антивируса - апдейт то инкрементный)
    2. Обновляться реже, чем идет выпуск баз при наличии технической возможности тоже особого смысла нет - чем актуальнее базы, тем выше качество защиты

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Адрес
    Darkness of Moscow
    Сообщений
    2,754
    Вес репутации
    1724
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. Обновлять базы нужно не чаще, чем выпускает апдейты вирлаб. Т.е. если апдейты идут раз в 2 часа, то обновляться раз в 15 минут совершенно никакого смысла нет (хотя и вреда от этого не будет, кроме доп. нагрузки на сервера производителя антивируса - апдейт то инкрементный)
    +1000
    At this very moment, your eternal soul may be less than twenty miles from the burning fires of hell. If you go to hell, be sure - you'll be there forever... (c, Primal Fear, Devil's ground)

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.10.2008
    Сообщений
    332
    Вес репутации
    50
    Цитата Сообщение от gorill Посмотреть сообщение
    если антивирус при встрече с неизвестным врагом не справился с ним, то с ним разберутся специалисты производителя и обновят сигнатуры
    вот совсем недавно столкнулся. По почте пришел якобы XLS файл с расширением SCR. На VirusTotal был довольно низкий уровень детекта 6/38. Не определили ни касперский, ни drWeb.
    Через 6 часов drWeb стал детектировать вирус. Однако, проведя опыты в виртуальной машине XP, обнаружил, что вирус создает и запускает файл
    c:\Recycled\System Volume\svhost.exe
    который опять таки почти не детектировался на VirusTotal.

    На виртуальной машине, в ближайшем рассмотрении, я действия вируса не заметил, хотя вирус не создает просто так файл в скрытой папке...
    Это говорит о том, что даже если антивирус обновлять с периодом выхода обновлений - нет 100% гарантии, что подхваченный вирус сам собой уйдет после его детектирования. Т.е. как всегда - полагаться прежде всего надо на себя. В этом конкретном случае не сыграло бы большой роли, с какой частотой обновлялся антивирус - что день, что пять минут...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    132
    Цитата Сообщение от Damien Посмотреть сообщение
    вот совсем недавно столкнулся. По почте пришел якобы XLS файл с расширением SCR. На VirusTotal был довольно низкий уровень детекта 6/38. Не определили ни касперский, ни drWeb.
    Через 6 часов drWeb стал детектировать вирус. Однако, проведя опыты в виртуальной машине XP, обнаружил, что вирус создает и запускает файл
    c:\Recycled\System Volume\svhost.exe
    который опять таки почти не детектировался на VirusTotal.

    На виртуальной машине, в ближайшем рассмотрении, я действия вируса не заметил, хотя вирус не создает просто так файл в скрытой папке...
    Это говорит о том, что даже если антивирус обновлять с периодом выхода обновлений - нет 100% гарантии, что подхваченный вирус сам собой уйдет после его детектирования. Т.е. как всегда - полагаться прежде всего надо на себя. В этом конкретном случае не сыграло бы большой роли, с какой частотой обновлялся антивирус - что день, что пять минут...
    Ну так нахрена всякую гадость, что приходит по почте открывать? Ведь ясно же, что исполняемый файл, пришедший невесть откудова, ничего хорошего содержать в себе не может. В быту-то Вы гигиеной не пренебрегаете, а при работе с компьютером многоие пользователи "компьютерной гигиеной" как раз пренебрегают. А всего-то надо не открывать почтовые вложения от неизвестных адресатов, а лучше - в настройках Аутлука заблокировать открытие потенциально опасных вложений, не ходить по ссылкам в подозрительных письмах и Асе, не лазить по порнухам, кряковарезам, халявным файлообменникам, не покупать диски типа "150 лучших компьютерных программ 2008 года", пользоваться только лицензионнной ОС и настроить регулярное автообновление. Правила простые, но благодаря им можно снизить угрозу заражения до разумного минимума. А вопрос о том, насколько часто надо обновлять базу сигнатур вообще лишен смысла - это зависит даже не от того, насколько часто выпускаются обновления баз сигнатур вендорами, сколько от того, как используется компьютер. Поясню: локальный компьютер, не подключенный к сети, компьютер входящий в домен и настроенный согласно групповым политикам на максимально безопасное использование, и компьютер, подключенный непосредственно к Интернет - требуют разного подхода к частотео обновления. На первом можно обновлять не так уж и часто, но поставить полифаг с хорошим эвристиком, чтобы спать спокойнее, во втором случае - все зависит от того, как развернута защита домена - зачастую достаточно обновления раз в 2-3 дня (можете бросить в меня ботинком), и на третьем - обновление должно быть, естетственно, частым. Однако есть и то, что объединяет наши три случая - обновление должно производиться регулярно.
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Ответов: 12
    Последнее сообщение: 16.06.2011, 10:15
  3. "Открытый" маршрутизатор Netgear оказался не достаточно открытым
    От ALEX(XX) в разделе Маршрутизаторы (routers), модемы xDSL
    Ответов: 0
    Последнее сообщение: 08.10.2009, 21:17
  4. Ответов: 5
    Последнее сообщение: 03.02.2009, 13:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01180 seconds with 16 queries