Фичи невидимого фронта-3.

Previous Entry Поделиться Next Entry
9 декабря, 2011
e_kaspersky
Как я обещал, познакомимся с ещё одной вкусной фичой наших продуктов (конкретно сейчас это есть в KIS, CRYSTAL и новых корпоративных продуктах).

В какой-то мере фича вообще революционна для индустрии – она основана на совсем другой парадигме, нежели классические сигнатурные технологии.

В общем, сейчас мы замолвим слово о вайтлистинге (он же белые списки, он же whitelisting).

Сама по себе идея и не новая – не понимаю, за что Википедия назвала её “emerging”.  Правда, многие антивирусные вендоры действительно почему-то до сих пор не сподобились встроить её в свои продукты. Что ж, каждый сам творец своей рыночной доли.

Смысл состоит вот в чём.

В отличие от сигнатурного метода (пытается найти «плохого» по внешним признакам), вайтлистинг знает кто «хороший» (например, заведомо безопасное приложение, которое  проверено у нас по программе Whitelist). К сведению, в начале сентября у нас в базе было около  300 миллионов проверенных файлов.

Остальное автоматически помечается как подозрительное и отправляется на проверку другим компонентам продукта. Кроме того можно запустить программу в изолированной, безопасной среде (Safe Run) или посмотреть репутацию файла в KSN (видео, подробности).  Кстати, в среднем каждую секунду KSN получает 400 тысяч (sic!) таких запросов.





К чему это всё и чем это лучше традиционного подхода?

Защита компьютера сигнатурным методом значит, что нужно знать всё «плохое» в лицо. Сегодня мы каждый день детектим порядка 70 тыс. вредоносов, а что будет завтра вообще сложно представить. Но уж точно ничего хорошего. При этом каждую вредоносную программу (или семейство) нужно проанализировать и занести в базу данных. Да, мы сильно продвинулись в скорости реакции – благодаря облачным технологиям и автоматизации «конвейера» у нас сейчас среднее время выпуска обновления – всего 40 секунд. Но даже так остаётся «зазор» между детектом и обновлением. Мелкий, но неприятный нюанс, который мы всячески стараемся минимизировать.

Вот. А вайтлистингу наплевать как выглядит «плохое». Он точно знает то, что уже проверено и гарантировано чисто. А всё остальное отдыхает.

Так что вайтлистинг вообще не участвует в гонке вооружений с вредоносами. И как бы вирусописатели не напрягались, выпуская новые троянцы, у пользователя под рукой всегда будет репутационный сервис, который надёжно скажет, что можно запускать, а чем лучше не рисковать. Кстати, эта фича также повышает производительность антивируса – ему не надо проверять файлы из белого списка. Среди профи такой подход называется “Default Deny” – сначала всё запретить, потом разрешить только безопасное.



Недавно провели исследование – среди домашних пользователей эта технология, увы, малоизвестна. Ну, это только начало. Зато в крупных организациях вайтлистинг очень скоро станет одним из столпов корпоративной политики безопасности. И действительно – компаниям проще и надёжнее стандартизовать весь софт, а остальное запретить от греха подальше или же гибко управлять этим. Ну, например разрешить IM только топ-менеджерам, а простым позволить наслаждаться только чисто рабочими программами.

В недавнем релизе Endpoint Protection 8 и Security Center 9 уже есть все прелести белых списков с централизованным управлением, категоризацией, правилами, групповыми политиками и, конечно же, контролем приложений на разных этапах.

Вы спросите, а зачем вообще тогда нужны сигнатуры? Пересели бы все на вайтлистинг и горя бы не знали… Тема очень интересная и объёмная. Если вкратце, то вот так.

Во-первых, белые списки не покрывают всего разнообразия софта. А иногда и хочется и надо запустить что-то неизвестное. Вот тут неплохо бы просканировать файл другими механизмами, да на всякий случай понаблюдать через System Watcher. Во-вторых, удалить вредонос можно только старыми-добрыми сигнатурами и файловым антивирусом. Ну и наконец, в деле защиты никогда нельзя полагаться на какой-то один механизм – это как однорукий боксёр.

Как я много раз говорил:

Защита должна быть многоуровневой, при этом каждый уровень должен дополнять и подстраховывать другой, обеспечивая максимальную безопасность объекта, производительность и удобство вне зависимости от обстановки.

В общем, не кладите все яйца в одну корзину.

И напоследок – видео с популярным объяснением преимуществ вайтлистинга:



Подробнее о нашем вайтлистинге здесь.
Метки:
Previous Entry Поделиться Next Entry
Олег, спасибо за ответ.

У меня стоял лицензионный продукт Kaspersky Internet Security 2010 (или 2009, не помню точно). Я купил продление на продукт Kaspersky Internet Security 2012 (на 2010 не было). При вводе кода получил сообщение о том, что код неверный. Тогда прочитал, что написано на карточке: там сначала предлагается проапдейтиться до последней версии продукта. Проапдейтился. Код приняли. И появилось предложение: либо введите предыдущий код активации, либо соглашайтесь на 8 месяцев. Предыдущий код у меня не сохранился, поэтому согласился на 8 месяцев.

В связи с этим вопрос: с чем мне идти в саппорт? Это же by design: не сохранил предыдущий код - вот тебе 8 месяцев вместо 12. Саппорт решает вопросы когда что-то не работает так, как должно работать. А тут, похоже, такая работа изначально задумывалась...


Код от 2012 к версии 2010 точно не подходит
И скорее всего вы не выбрали при удалении антивируса опцию - удалять с сохранением лицензии

Проверьте следующую ситуацию - при активации у вас должно было запросить
Электронную почту и имя
Это вход в личный кабинет
Вйдите в личный кабинет из интерфейса продукта есть большой шанс что предыдущий код активации есть там (если вы оформляли его в 2010)
Заодно в ТП можно обратиться из личного кабинета

Нет, я не удалял антивирус. Видимо, он был удален в процессе апгрейда.

Никаких вопросов о сохранении лицензии не было.

Нет, у меня не запрашивалась ни электронная почта, ни имя.

Не пробовал. Вечером попробую из дома (нет с собой нетбука) и напишу.

Ответить если что смогу только в понедельник

При нажатии на кнопку "Личный кабинет" попадаю на сайт kaspersky.com, где мне предлагают либо зарегистрировать учетную запись, либо войти. Учетной записи у меня нет и не помню, чтобы я ее создавал... То есть, получается, что я не могу доказать тот факт, что до этой истории с принудительным апгрейдом до internet security 2012 и ввода нового кода активации у меня стояла лицензионная версия.

Думаю, что такую ситуацию сотрудники Лаборатории Касперского смогли бы воссоздать у себя в лабе на раз. Наверняка у них есть инструменты, позволяющие сдвигать дату окончания лицензии. Тогда надо просто поставить internet security 2010 (или 2009, не помню точно, какая у меня стояла, помню только что специальный edition для нетбука), потом смоделировать окончание лицензии, накатить 2012 и получить ту ситуацию, в которой оказался я: будет предложено либо ввести предыдущий код активации либо выбрать 8 месяцев вместо 12.

Беда заключается в том, что это by design: либо выискивай предыдущий код активации, либо сам дурак.

Вы не поверите, я затеял уборку перед новым годом и нашел предыдущую карточку активации (2011). Но, судя по всему, поздно пить боржоми - я уже "согласился" на 8 месяцев вместо 12. Можно сказать, что сам дурак, но это не отменяет ущербности (на мой взгляд) самого механизма лицензирования. Нужно избавить пользователя от ввода предыдущего кода активации. Не верю, что только я так "залетел".

Хорошо что нашли
Вот теперь с этой кодом активации (в техподдержку) там обязаны помочь
А вот почему его не подхватило - я не скажу, у большинства подхватывает
Завтра еще проверю у соседа
Как раз у него лицензия на 2011 закончилась и он просит обновить, а сам отказывается хотя (ИМХО) там ничего сложного нет

Да, возможно, попробую, хотя в данном случае скорее "за державу" ратовал :)

Ну до нужных людей я проблему донес (это насчет державы ;))
В моих силах только навести людей на способы решения проблемы

Спасибо! Создал запрос с номером 313690809. По результату напишу.

Вадим, лицензию восстановили. Держу пальцы "за державу". С наступающим!

Спасибо,
Ю.

?

Log in

No account? Create an account