Кстати, добавлю про облако Panda: оно работает в двухстороннем режиме.
т.е. облако не только собирает информацию с локальных агентов, анализирует и потом добавляет что-то в сигнатуры, но и в реальном времени «консультирует» локального агента. Например, если локальный агент увидел что-то подозрительное, то он автоматически отправляет короткий запрос в облако и практически тут же получает ответ: либо не реагировать (если файл не вредоносный), либо блокировать с помещением в карантин, либо вылечить (+микровакцина).
Прочитал по ссылке. Честно говоря, все те же самые виды защит реализованы и в Panda Adaptive Defense 360. Я не увидел чего-то нового.
Конечно, допускаю вариации уже на уровне исполнения, но пока не попробуешь, не узнаешь…
Но если в AD360 посмотреть жизненный цикл угрозы, то там четко видно все, что данный процесс пытается / пытался сделать с указанием времени и машин, когда и что происходило. Причем отслеживается связь процессов между собой.
Например, на компьютер попал какой-то файл (пока не представляет угрозу) и далее мы видим, тогда-то и там-то он создал еще один файл, переименовал его, запустил такую-то службу, создал DLL, попытался по такому-то порту в таком-то протоколе связаться с таким-то IP, сделал такую-то запись в реестр с таким-то ключом и т.д. Т.е. полная видимость процесса изнутри, шаг за шагом, что делается. Какие-то действия сами по себе не вызывают опасности и они пока не пресекаются, но какие-то сразу кажутся подозрительными и в зависимости от режима работы блокируются или нет, и т.д.
Согласен про облако.
Опять же, нет 100% защиты, хотя мы все очень стремимся к этому.
Но облако все же в целом серьезно расширяет возможности обнаружения и реагирования
Что касается контроля работы процесса изнутри.
А Вы можете пояснить, каким образом идет контроль процесса изнутри? Что Вы подразумеваете под этим?
Спасибо за Ваш комментарий, ибо нахожу его предельно конкретным и профессиональным.
Ну и потом критика, если она по существу, — это не страшно, а зачастую полезно.
1. Adaptive Defense 360 — это все же продукт для сетей, которые имеют хотя бы один компьютер, подключенный к Интернету.
Конечно, для совсем закрытых сетей этот продукт не подойдет. Но мы и не разрабатывали его для полностью закрытых сетей.
2. Насчет задержки между заражением и вердиктом. В нашем продукте есть несколько режимов работы. Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный. Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут. В настоящий момент классифицировано свыше 1,5 млрд процессов. Технологии машинного обучения, собственные аналитические технологии и мощные вычислительные ресурсы позволяют большинство процессов классифицировать без привлечения экспертов, т.е. в автоматическом режиме. Соответственно, скорость классификации очень высокая.
3. Доступность облаков для злоумышленников: да, доступно, в текущий момент на текущую минуту. В облаках все может менять оперативно :)
4. По поводу защиты от уязвимостей. Тут все же вопрос может быть спорный, потому что использовать уязвимость — это цель для хакеров. Если данная уязвимость не закрыта, но она известна антивирусной компании, то антиэксплойтная технология может отслеживать процессы, которые пытаются воспользоваться этой уязвимостью, чтобы блокировать ее. Конечно, я не говорю, что тут 100% защиты — ни одна превентивная технология такого не даст, наверное, в принципе. Но опять же насколько широки эти знания и насколько детально можно отслеживать все процессы, пытающиеся воспользоваться уязвимостью — тут есть возможности для улучшения. А как это реализовано в Dr. Web?
5. По поводу маркетинга. А почему нет? Adaptive Defense 360 достаточно уникален в силу своей облачной природы. Рассказать о данном решении на хабре — я думаю, что стоит. Тем более, что, как показывает статистика и наш анализ, на хабре очень много людей, которым такая информация интересна :)
Соглашусь с Вами в том плане, что действительно, на текущий момент 100% защиты от неизвестных угроз нет. Кстати, вряд ли она когда-либо будет создана (извечная битва атаки и обороны).
Поэтому AD360 (например, в расширенном режиме) использует помимо всех традиционных антивирусных технологий, запрет на запуск всех процессов, которые не классифицированы как невредоносные. Особенность решения в том, что:
1. Решение полностью облачное, а потому не требуется инфраструктура на предприятии и соответствующие расходы на ее приобретение / обслуживание (до 40-50% ТСО)
2. Расширенная защита работает полностью в автоматическом режиме. Соответственно, простота управления и низкие ресурсы на настройку, обслуживание.
3. Экспертная информация по всему жизненному циклу угроз, по всем процессам (с использованием LogTrust).
Данные технологии тестировались в течение 1,5 лет на различных предприятиях в мире.
Уровень обнаружения новых угроз, блокируемых в течение первых 24 часов — 99,999%
Уровень ложных срабатываний — 0,0009%
Работа Adaptive Defense 360 основана на непрерывном мониторинге и анализе целого ряда событий, происходящих на машине. В процессе мониторинга собирается информация о различных событиях: загрузка файлов, установка программ, откуда что скачивается, изменения файла hosts, записи в реестр, запуск DLL, открытие, удаление или переименование файлов, доступ к данным (свыше 200 форматов) и многое другое. Вся эта информация анализируется в облаке и между всеми процессами устанавливается корреляция. Анализ такого большого массива статической, динамической и контекстной информации в режиме реального времени позволяет с высокой точностью классифицировать процесс (вредоносный или нет). Кроме того, выполняется ретроспективный анализ, а потому процесс, который ранее классифицировался как невредоносный, может впоследствии оказаться вредоносным.
Анализ осуществляется в облаке в глобальном режиме, информация по каждому из процессов поступает как локально с машины, так и из других источников (сообщество пользователей, внешние источники, антивирусная лаборатория и т.д.).
Если говорить о неизвестных угрозах, то в борьбе с ними принимают участие следующие основные технологии:
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса
— эвристика (локально и из облака) для оценки подозрительности каждого процесса
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы
— блокировка запуска подозрительных и неклассифицированных процессов и приложений
Да, мы не оперируем какими-то принципиально новыми техниками: поведенческий анализ, эвристика, блокировка запуска — сами по себе эти технологии используются в решениях Panda и других производителей достаточно давно. Но усовершенствование данных технологий в сочетании с использованием платформы больших данных для глубокого и тщательного глобального анализа в облаке в реальном времени (а главное, с учетом анализа корреляции между всеми процессами) и специальных техник машинного обучения позволяют добиться высоких результатов.
Если же говорить о потребительских качествах, то такая расширенная защита работает автоматически. В расширенном режиме запрещаются все процессы, которые не классифицированы в настоящий момент как вредоносные или подозрительные. Классификация каждого нового процесса и приложения, как правило, занимает секунды и минуты. Администратору не требуется выполнять какие-либо настройки, достаточно только выбрать один из трех режимов работы. При необходимости, можно указать исключения и настроить нагрузку на полосу пропускания.
т.е. облако не только собирает информацию с локальных агентов, анализирует и потом добавляет что-то в сигнатуры, но и в реальном времени «консультирует» локального агента. Например, если локальный агент увидел что-то подозрительное, то он автоматически отправляет короткий запрос в облако и практически тут же получает ответ: либо не реагировать (если файл не вредоносный), либо блокировать с помещением в карантин, либо вылечить (+микровакцина).
Конечно, допускаю вариации уже на уровне исполнения, но пока не попробуешь, не узнаешь…
Но если в AD360 посмотреть жизненный цикл угрозы, то там четко видно все, что данный процесс пытается / пытался сделать с указанием времени и машин, когда и что происходило. Причем отслеживается связь процессов между собой.
Например, на компьютер попал какой-то файл (пока не представляет угрозу) и далее мы видим, тогда-то и там-то он создал еще один файл, переименовал его, запустил такую-то службу, создал DLL, попытался по такому-то порту в таком-то протоколе связаться с таким-то IP, сделал такую-то запись в реестр с таким-то ключом и т.д. Т.е. полная видимость процесса изнутри, шаг за шагом, что делается. Какие-то действия сами по себе не вызывают опасности и они пока не пресекаются, но какие-то сразу кажутся подозрительными и в зависимости от режима работы блокируются или нет, и т.д.
Опять же, нет 100% защиты, хотя мы все очень стремимся к этому.
Но облако все же в целом серьезно расширяет возможности обнаружения и реагирования
Что касается контроля работы процесса изнутри.
А Вы можете пояснить, каким образом идет контроль процесса изнутри? Что Вы подразумеваете под этим?
Ну и потом критика, если она по существу, — это не страшно, а зачастую полезно.
1. Adaptive Defense 360 — это все же продукт для сетей, которые имеют хотя бы один компьютер, подключенный к Интернету.
Конечно, для совсем закрытых сетей этот продукт не подойдет. Но мы и не разрабатывали его для полностью закрытых сетей.
2. Насчет задержки между заражением и вердиктом. В нашем продукте есть несколько режимов работы. Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный. Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут. В настоящий момент классифицировано свыше 1,5 млрд процессов. Технологии машинного обучения, собственные аналитические технологии и мощные вычислительные ресурсы позволяют большинство процессов классифицировать без привлечения экспертов, т.е. в автоматическом режиме. Соответственно, скорость классификации очень высокая.
3. Доступность облаков для злоумышленников: да, доступно, в текущий момент на текущую минуту. В облаках все может менять оперативно :)
4. По поводу защиты от уязвимостей. Тут все же вопрос может быть спорный, потому что использовать уязвимость — это цель для хакеров. Если данная уязвимость не закрыта, но она известна антивирусной компании, то антиэксплойтная технология может отслеживать процессы, которые пытаются воспользоваться этой уязвимостью, чтобы блокировать ее. Конечно, я не говорю, что тут 100% защиты — ни одна превентивная технология такого не даст, наверное, в принципе. Но опять же насколько широки эти знания и насколько детально можно отслеживать все процессы, пытающиеся воспользоваться уязвимостью — тут есть возможности для улучшения. А как это реализовано в Dr. Web?
5. По поводу маркетинга. А почему нет? Adaptive Defense 360 достаточно уникален в силу своей облачной природы. Рассказать о данном решении на хабре — я думаю, что стоит. Тем более, что, как показывает статистика и наш анализ, на хабре очень много людей, которым такая информация интересна :)
Соглашусь с Вами в том плане, что действительно, на текущий момент 100% защиты от неизвестных угроз нет. Кстати, вряд ли она когда-либо будет создана (извечная битва атаки и обороны).
Поэтому AD360 (например, в расширенном режиме) использует помимо всех традиционных антивирусных технологий, запрет на запуск всех процессов, которые не классифицированы как невредоносные. Особенность решения в том, что:
1. Решение полностью облачное, а потому не требуется инфраструктура на предприятии и соответствующие расходы на ее приобретение / обслуживание (до 40-50% ТСО)
2. Расширенная защита работает полностью в автоматическом режиме. Соответственно, простота управления и низкие ресурсы на настройку, обслуживание.
3. Экспертная информация по всему жизненному циклу угроз, по всем процессам (с использованием LogTrust).
Данные технологии тестировались в течение 1,5 лет на различных предприятиях в мире.
Уровень обнаружения новых угроз, блокируемых в течение первых 24 часов — 99,999%
Уровень ложных срабатываний — 0,0009%
Анализ осуществляется в облаке в глобальном режиме, информация по каждому из процессов поступает как локально с машины, так и из других источников (сообщество пользователей, внешние источники, антивирусная лаборатория и т.д.).
Если говорить о неизвестных угрозах, то в борьбе с ними принимают участие следующие основные технологии:
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса
— эвристика (локально и из облака) для оценки подозрительности каждого процесса
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы
— блокировка запуска подозрительных и неклассифицированных процессов и приложений
Да, мы не оперируем какими-то принципиально новыми техниками: поведенческий анализ, эвристика, блокировка запуска — сами по себе эти технологии используются в решениях Panda и других производителей достаточно давно. Но усовершенствование данных технологий в сочетании с использованием платформы больших данных для глубокого и тщательного глобального анализа в облаке в реальном времени (а главное, с учетом анализа корреляции между всеми процессами) и специальных техник машинного обучения позволяют добиться высоких результатов.
Если же говорить о потребительских качествах, то такая расширенная защита работает автоматически. В расширенном режиме запрещаются все процессы, которые не классифицированы в настоящий момент как вредоносные или подозрительные. Классификация каждого нового процесса и приложения, как правило, занимает секунды и минуты. Администратору не требуется выполнять какие-либо настройки, достаточно только выбрать один из трех режимов работы. При необходимости, можно указать исключения и настроить нагрузку на полосу пропускания.