Показано с 1 по 10 из 10.

Антивирусы на основе "белого списка"

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2007
    Сообщений
    6
    Вес репутации
    40

    Антивирусы на основе "белого списка"

    Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
    Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?

    Знаю, что подобный список есть у Зайцева в AVZ. Но нужно бы нечто подобное с полноценным монитором. И в добавок с лечением действительно заражённых файлов (особенно .doc). Таких вирусов, думаю, не так много.

    То, что не входит в список - в карантин для начала.
    Ну и должно быть автоматическое пополнение "белого списка" доверенными апдейтерами - при апдейтах винды, браузеров и т.п.

    В корпоративной среде, имхо, было бы разумно иметь такое.

    Или такое уже есть, просто я не курсе?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от sirocco Посмотреть сообщение
    Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
    Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?
    ...
    Или такое уже есть, просто я не курсе?
    Такое как раз сделано в KIS2009. Т.е. при запуске программы он смотрит, если ли она в белом списке, или подписана ли она ЭЦП того, кому по мнению ЛК можно доверять. Если да, то процесс попадает в доверенные и ему можно все (или почти все). Это позволяет меньше фолсить и долбать пользователя дурацкими вопросами типа "а можно до" или "резрешить это". Но это удобно как вспомогательная фича, не более того. Причины банальны:
    1. невозможно описать все мыслимое ПО "базой белых"
    2. Если приблизиться к решению проблемы 1, то получим базу, на порядки превышающую сигнатурную

    В корп. среде такое решение давно и успешно применяется, причем без антивирусных мониторов. Просто админ ставит то, что считает нужным и доверенным (и для контроля может вести базу MD5, а может и не вести - не принципиально), делает это из-под админской учетной записи естетсвенно. А юзер работает соответственно с правами юзера, и ничего нового поставить не может, равно как не может подменить или пропатчить что-то уже установленное. Поэтому автомтом решаются проблемы контроля, блокировки и т.п.

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от sirocco Посмотреть сообщение
    Имеет ли смысл антивирусный монитор на основе "белого списка" файлов? Или такое уже есть, просто я не курсе?
    Такое уже есть, например, Anti-Executable, BIt9 Parity, но как отдельное решение работает не очень хорошо. Особенно для end-user'ов.
    http://www.softsphere.com - DefenseWall, DefencePlus

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2007
    Сообщений
    6
    Вес репутации
    40
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    1. невозможно описать все мыслимое ПО "базой белых"
    1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
    2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

    ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от sirocco Посмотреть сообщение
    1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
    2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

    ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.
    1. У меня такая штука в корп. среде работает в режиме мониторинга, самодельная. Можно страшно удивиться тому, сколько всего легитимного ставится и постоянно обновляется... начиная от драйверов и софта идущего с железом и заканчивая десятками вариаций .Net, уследить за этим крейне сложно. А ведь для поддержания такой системы нужно засейчь неопознанные EXE/DLL/SYS, произвести их экспертизу и занести в базу, причем оперативно занести - юзер недели ждать не будет. Прибавим тучу банк-клиентов, кучу самопальногопостоянно меняющегося ведомственного ПО и т.п., и окажется, что для управления такой фигней админ (точнее админы) должен непрерывно заниматься этой базой. Ближайший пример - наше ведомственное ПО местной разработки насчитывает в дистрибутиве 3296 файлов, из которых 320 - EXE файлы. И они постоянно меняются
    2. В локальные каталоги пользователя разместится далего не каждый зловред. Не говоря уже про невозможность правок системных настроек, установки драйверов, патча компонент системы и т.п. Юзер может что-то принести, но это что-то очень просто отследить и прибить (имеется в виду убить ПО, самого пользователя, или их обоих ). Более того, есть политики безоопасности, позволяющие запретить запуск исполняемых файлов из папок юзера ... Плюс например QIP - он же обменивается с внешним миром, трафик характерный, если админ его не видит - он или не хочет это замечать, или такой он админ

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Белый список имеет свое специфическое применение. Допустим, у меня есть ноутбук для личного пользования, на котором запускается и работает определенный круг программ. Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений. Теперь, чтобы новое приложение могло запуститься, его нужно вручную внести в базу и записать в группу; в противном случае запуск будет запрещен.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений.
    Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик. Там по умолчанию стоит политика "Неограниченный" (т.е. запускается все, при условии, что нет запретительного правила), а можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным. Если это аккуратно сделать + правильно прописать привилегии (дабы исключить возможность что-то поменять в системе), то ПК станет на 100% неуязвим против любого существующего зверя.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным.
    Если в Политике безопасности, по умолчанию установить "Не разрешено", то без дополнительных настроек, пользователю будет разрешен запуск всех программ которые установлены в папках %SystemRoot% и %ProgramFiles%, все остальное запрещено. Но тут есть небольшая проблема, так как Политика безопасности, к исполняемым файлам относит и файлы LNK, то после установки "Не разрешено", пользователь не сможет запускать программы посредствам ярлыков на Desktop и Start Menu. Для устранении данной проблемы надо или удалить LNK файлы из списка исполняемых, или как-то настроить сами папки Desktop и Start Menu.
    Данной защитой я пользуюсь примерно 2 года, и она действительно защищает на все 100%, без дополнительных программ (антивируса, продвинутого firewall). Например, часто критикуемый, встроенный Windows Firewall не пропускает ни один leak test, потому что я просто немого запускать ни одну из тестовых программ (тестовые программ, которые небыли бы EXE файлом я не встречал). Тоже самое относится и вирусам – большая проблема найти живого неEXE вируса, разве что документы MS Office c macros и сильно урезанной функциональностю..
    Между прочем, в Политике безопасности, есть еще один, спрятанный пункт - “Basic User”. Его можно включить изменение одно ключа в Registry. Программы, у которых прописана правила “Basic User”, всегда будет запускаться с правами Limited User”, независима от того, какими правами обладает пользователь.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик.
    Забыл добавить: на ноутбуке работает XP Home.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.11.2005
    Сообщений
    91
    Вес репутации
    199
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Забыл добавить: на ноутбуке работает XP Home.
    Правила “Политике безопасности” обрабатывается и на
    Windows XP Home. Да, нет там нормальных средства для редактирование этих правил, но если нет необходимости в очень специфических правилах, то можно просто скопировать уже настроенные правила (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Wi ndows\Safer\) с другого компьютера с Windows XP Professional.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Умер режиссер "Белого солнца пустыни"
    От AlexGOMEL в разделе Оффтоп
    Ответов: 2
    Последнее сообщение: 23.02.2010, 10:50
  3. Ответов: 4
    Последнее сообщение: 22.02.2009, 03:39
  4. Ответов: 1
    Последнее сообщение: 28.11.2008, 17:59
  5. Ответов: 0
    Последнее сообщение: 30.04.2007, 22:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00526 seconds with 16 queries