В случае с NotPetya проблема была не столько в том, что стороннее ПО работало с привилегиями системы, а с тем, что поголовно не было патчей MS17-010, которые опять же закрывают дыру в родной службе SMB.
Абсурдность "борьбы с терроризмом" путём ограничения использования криптографии всеми в том, что никто не запрещает условному террористу пользоваться стеганографией тут уже выше об этом писали — даже на полностью открытых площадках. И ее-то уже отличить от "легитимного" контента куда как сложнее. Т.е. преступник на то и преступник, что защищенный канал связи у него и так будет, и оружие он достанет несмотря на запрет, и взрывчатку приготовит — было бы желание. А под соусом борьбы с преступностью очень удобно ограничиваются гражданские свободы — ничего нового.
Сам продукт может и не являться ни одним из вышеперечисленных решений. Однако назначением SIEM как раз и есть выявление аномалий в функционировани информационной системы на основании данных от систем защиты — IPS/IDS, файрволы, сэндбоксы и т.д. Аномалии — как раз и есть те самые неизвестные угрозы и целевые атаки. Потому, из описания, этот THF и выглядит как комплекс решений во главе с SIEM и продвинутым sandbox в ядре.
В случае с NotPetya проблема была не столько в том, что стороннее ПО работало с привилегиями системы, а с тем, что поголовно не было патчей MS17-010, которые опять же закрывают дыру в родной службе SMB.
Абсурдность "борьбы с терроризмом" путём ограничения использования криптографии всеми в том, что никто не запрещает условному террористу пользоваться стеганографией тут уже выше об этом писали — даже на полностью открытых площадках. И ее-то уже отличить от "легитимного" контента куда как сложнее. Т.е. преступник на то и преступник, что защищенный канал связи у него и так будет, и оружие он достанет несмотря на запрет, и взрывчатку приготовит — было бы желание. А под соусом борьбы с преступностью очень удобно ограничиваются гражданские свободы — ничего нового.
Сам продукт может и не являться ни одним из вышеперечисленных решений. Однако назначением SIEM как раз и есть выявление аномалий в функционировани информационной системы на основании данных от систем защиты — IPS/IDS, файрволы, сэндбоксы и т.д. Аномалии — как раз и есть те самые неизвестные угрозы и целевые атаки. Потому, из описания, этот THF и выглядит как комплекс решений во главе с SIEM и продвинутым sandbox в ядре.