سلام
حرف شما در موقعیتی منطقی هست که آگاه باشیم از اینکه امسی و کمودو در صورت عدم شناخت نمیتوانستند جلوی سرقت اطلاعات را بگیرند
حرف شما دقیقا مثل این میمونه :
شناسایی ویروس مهم نیست مهم اینه که جلوی اجرا گرفته بشه مثلا بیاییم برای امسی این را بگیم
امسی هم توی شناسایی قوی هست و حتی اگر هم دیتابیس قادر به تشخیص نباشه رفتار شناسی بسیار مطمئن میتونه عمل کنه
ولی توی تست بالا اصلا امسی و کمودو به مرحله دوم نرسیده اند و دلیلی نمیشه که بگیم آنها قادر به دفع سرقت نیستند و فقط کسپر و اواست هستند
در کل صحبت و دلیل شما از نگاه بنده رد شده است
موفق باشید
سلام
من منظورم این نبود که شناسایی نمونه مهم نیست بلکه تکیه صرف بر شناسایی درست نیست چون میزان شناسایی نمونه های Zero-day اینگونه بدافزارها حتی برای بهترین نرمافزارهای امنیتی هم کم است.
همانطور که در گزارش نوشته شده است نمونه اول (BBC simulator) قبلا برای تمامی شرکتهای آنتیویروس ارسال شده بود یعنی اصولا تمامی شرکتها میتوانستند آن را با دیتابیس شناسایی کنند ولی حتی در این مورد هم آواست و کاسپرسکی تست مربوط به این نمونه را نه با شناسایی و جلوگیری از اجرای آن بلکه با بلوکه کردن انتقال اطلاعات گذراندهاند. هم آواست و هم کاسپرسکی و هم امسیسافت از نظر میزان شناسایی و سرعت عمل اضافه کردن نمونههای جدید اینگونه بدافزارها از بهترین نرمافزارهای امنیتی موجود هستند (به عنوان نمونه به نتایج MRG Flash Tests از همین شرکت نگاهی بیاندازید) ولی کاسپرسکی و آواست بر اساس این تست یک لایه محافظتی موثر دیگر هم دارند که حتی در صورت عدم شناسایی نمونه قادر به جلوگیری از سرقت اطلاعات است, اینکه آیا امسیسافت و کومودو هم این لایه محافظتی را دارند یا نه جای سوال است چون این لایه حفاظتی (جلوگیری از سرقت اطلاعات ورودی ) جزیی از رفتارشناسی یا HIPS نیست:
Earlier this year, the BBC broadcast a programmeiv we made with them based on our work on browser security and financial malware. The programme featured a test we conducted using one of our financial malware simulators which employed a verifiedv MitB attack as used by financial malware such as Zeus and SpyEye. We created the simulator to demonstrate the fact that very few security solutions had any dedicated protection against this type of attack and that relying on behavioural or blacklisting technologyvi was ineffective against new threats
هم کاسپرسکی و هم آواست یک لایه محافظتی خاص را برای این منظور طراحی کردهاند (Avast Safe Zone و Kaspersky Safe Money ) که جدا از HIPS موجود در آنها است. در این مورد حرف شما را قبول دارم که این تست مشخص نکرده است که در صورت عدم شناسایی نمونه کومودو و امسیسافت قادر به پیشگیری از سرقت اطلاعات هستند یا نه ولی تا آنجا که من میدانم نه امسیسافت و نه کومودو لایه محافظتی مشابهی برای جلوگیری از سرقت اطلاعات ندارند.
در توضیحات مربوط به تست نوشته شده است:
Given the fact that it is possible to get malicious code to execute undetected on most protected endpoints, we believe a new set of testing metrics is needed to assess product efficacy in a way that maps meaningfully to real world scenarios. Simple “detection” tests, weather static or dynamic are not enough.
The metrics we suggest will serve us best in the future are as follows:
1. Time taken to detect malware or attack (How long does it take a solution to detect malware or an attack)
2. Time to remediate (How long does it take to remediate in cases where it is possible)
3. Determination of breach (Measure if a data breach has occurred – as the execution of malware on a system does not necessarily mean it has been able to effect a data breach)
4. Assessment of breach (Determine what was breached, for how long and possible assessment of impact)
In 2013, MRG Effitas will be conducting a number of on-going public projects based on the above, starting with a Time to Detect project which will run alongside our Flash Tests.
For the purposes of this report, our primary concern is metric 3, “determination of breach”. We measure if the simulators are blocked from being executed, either by detection, hips (which may or may not involve a user input request) but our main focus is on measuring if the simulators are prevented from performing the data breach
همانطور که در پست قبلی گفتم نظرها در مورد اینکه کدام روش برای مقابله با این گونه تهدیدها بهتر است متفاوت است و من نظر خودم را در این مورد گفتم ولی به نظر شما هم احترام میگذارم چون حرفتان منطقی است تا نظر و قضاوت سایر دوستان چه باشد.
ارادتمند.