Фичи невидимого фронта-3.

Previous Entry Поделиться Next Entry
9 декабря, 2011
e_kaspersky
Как я обещал, познакомимся с ещё одной вкусной фичой наших продуктов (конкретно сейчас это есть в KIS, CRYSTAL и новых корпоративных продуктах).

В какой-то мере фича вообще революционна для индустрии – она основана на совсем другой парадигме, нежели классические сигнатурные технологии.

В общем, сейчас мы замолвим слово о вайтлистинге (он же белые списки, он же whitelisting).

Сама по себе идея и не новая – не понимаю, за что Википедия назвала её “emerging”.  Правда, многие антивирусные вендоры действительно почему-то до сих пор не сподобились встроить её в свои продукты. Что ж, каждый сам творец своей рыночной доли.

Смысл состоит вот в чём.

В отличие от сигнатурного метода (пытается найти «плохого» по внешним признакам), вайтлистинг знает кто «хороший» (например, заведомо безопасное приложение, которое  проверено у нас по программе Whitelist). К сведению, в начале сентября у нас в базе было около  300 миллионов проверенных файлов.

Остальное автоматически помечается как подозрительное и отправляется на проверку другим компонентам продукта. Кроме того можно запустить программу в изолированной, безопасной среде (Safe Run) или посмотреть репутацию файла в KSN (видео, подробности).  Кстати, в среднем каждую секунду KSN получает 400 тысяч (sic!) таких запросов.





К чему это всё и чем это лучше традиционного подхода?

Защита компьютера сигнатурным методом значит, что нужно знать всё «плохое» в лицо. Сегодня мы каждый день детектим порядка 70 тыс. вредоносов, а что будет завтра вообще сложно представить. Но уж точно ничего хорошего. При этом каждую вредоносную программу (или семейство) нужно проанализировать и занести в базу данных. Да, мы сильно продвинулись в скорости реакции – благодаря облачным технологиям и автоматизации «конвейера» у нас сейчас среднее время выпуска обновления – всего 40 секунд. Но даже так остаётся «зазор» между детектом и обновлением. Мелкий, но неприятный нюанс, который мы всячески стараемся минимизировать.

Вот. А вайтлистингу наплевать как выглядит «плохое». Он точно знает то, что уже проверено и гарантировано чисто. А всё остальное отдыхает.

Так что вайтлистинг вообще не участвует в гонке вооружений с вредоносами. И как бы вирусописатели не напрягались, выпуская новые троянцы, у пользователя под рукой всегда будет репутационный сервис, который надёжно скажет, что можно запускать, а чем лучше не рисковать. Кстати, эта фича также повышает производительность антивируса – ему не надо проверять файлы из белого списка. Среди профи такой подход называется “Default Deny” – сначала всё запретить, потом разрешить только безопасное.



Недавно провели исследование – среди домашних пользователей эта технология, увы, малоизвестна. Ну, это только начало. Зато в крупных организациях вайтлистинг очень скоро станет одним из столпов корпоративной политики безопасности. И действительно – компаниям проще и надёжнее стандартизовать весь софт, а остальное запретить от греха подальше или же гибко управлять этим. Ну, например разрешить IM только топ-менеджерам, а простым позволить наслаждаться только чисто рабочими программами.

В недавнем релизе Endpoint Protection 8 и Security Center 9 уже есть все прелести белых списков с централизованным управлением, категоризацией, правилами, групповыми политиками и, конечно же, контролем приложений на разных этапах.

Вы спросите, а зачем вообще тогда нужны сигнатуры? Пересели бы все на вайтлистинг и горя бы не знали… Тема очень интересная и объёмная. Если вкратце, то вот так.

Во-первых, белые списки не покрывают всего разнообразия софта. А иногда и хочется и надо запустить что-то неизвестное. Вот тут неплохо бы просканировать файл другими механизмами, да на всякий случай понаблюдать через System Watcher. Во-вторых, удалить вредонос можно только старыми-добрыми сигнатурами и файловым антивирусом. Ну и наконец, в деле защиты никогда нельзя полагаться на какой-то один механизм – это как однорукий боксёр.

Как я много раз говорил:

Защита должна быть многоуровневой, при этом каждый уровень должен дополнять и подстраховывать другой, обеспечивая максимальную безопасность объекта, производительность и удобство вне зависимости от обстановки.

В общем, не кладите все яйца в одну корзину.

И напоследок – видео с популярным объяснением преимуществ вайтлистинга:



Подробнее о нашем вайтлистинге здесь.
Метки:
Previous Entry Поделиться Next Entry
наносейф ловите?
удалось расшифровать хоть одно обращение?

(Удалённый комментарий)
(Удалённый комментарий)
Точно технологию не знаю, но то что блэклистинг в ЦП так точно есть
И кажется есть вл. ЦП от Майкрософта и самой ЛК - априори считаются белыми и пушистыми

Учитывая, что криминалы давно научились тырить цифровые подписи (e.g. Stuxnet, Duqu и кое-кто еще), то WL по ЦП - штука обоюдоострая и должна использоваться осторожно. Насколько я знаю, именно так она и используется в WL ЛК.

тоесть все эти чинуши от техдиректора и до васи эникейщика идут нахуй, и будет каспер за всех решать что можно ставить а что нет?

По моему вы не совсем понимаете как работает корпоративка
Там все настраиваемо как нужно
Как настроит админ так и будет

как работает корпоративка, по всей видимости, не понимаете ВЫ.
там, знаешь ли, документы крутятся, в которых тоже малвара быть может.
очевидно, все бухотчёты тоже надо визировать у васперского, да?

а вообще - ребята, окститесь.
легитимных программ гораздо больше чем малвари.
много, много, много больше.
если вы переходите на "от противного" потому что малвари уже слишком много, то легитимностей будет ещё больше.
очевидно, какойто нэроумайндед продакт манагер у вас там решил что легитимное это только браузер, вижуал студия и бит торент...

Знаете, Евгений, мне давно не было так обидно из-за софта, как сейчас. Я пользуюсь Kaspersky Internet Security три года. Замечаний не было (разве что к быстродействию). И вот несколько дней назад закончилась годовая лицензия, купил карточку на продление. И с меня требуют _предыдущий_ код активации: либо я введу предыдущий код, либо срок лицензии уменьшается на треть. Наверное, на карточке продления, которую я покупал год назад, что-то говорилось про то, что код надо хранить. Не помню, не знаю. Но вот я не сохранил. И теперь за это наказан. Неужели трудно при сетапе проверять, что софт стоит лицензионный и тем самым избегать такого унижения (другого слова не подберу) пользователя?

Я работаю в большой компании, выпускающей программное обеспечение, и такой подход не приснился бы в самом страшном сне. Я не обеднею на 300 рублей, которые таким образом у меня урвали. Просто обидно.

а чо обидно? любишь варезы таскать - люби касперскому отстёгивать.

Ситуация очень проста:
1. Если вы пользовались три года, у вас на компьютере был лицензионный продукт, с коммереческой лицензией на 1 год, а вы купили продление и ввели новый код активации в уже установленный у вас продукт (тот которым вы пользовались 3 года), то у вас должно быть нормальное продление сроком на 1 год. Если этого не случилось, то обращайтесь в техподдержку, как легальный пользователь - вы имеете на это право.
2.Если вы пользовались продуктом три года, но решили установить купленное вами продление на компьютер, где не был установлен до этого этого лицензионный продукт, с коммереческой лицензией на 1 год, то от вас действительно потребуют прошлый код активации как доказательство того, что вы имеете право на продление. Об этом кстати написано на коробке продления. Если у вас его нет, то обращайтесь в техподдержку, вам будут помогать.
3.Т.е. если вы уверены, что имеете право на скидку при продлении лицензиий, то смело обращайтесь в техподдержку – там помогут.
4. Если же у вас на самом деле до этого не было коммерческой годовой лицензии, то вы не имеете права на продление на год со скидкой. Поэтому срок действия лицензии после продления у вас будет 8 месяцев.

?

Log in

No account? Create an account