سلام علیکم
ابتدا اجازه بدید من بررسی HIPS را از نگاه یک تاپ یوزر خدمت شما ارائه بدم، چون دوست ندارم بررسی یک ماژول تحت تاثیر فقط یک بخشی از کاربران (مبتدی) قرار بگیره. چون در بخش HIPS منتقدین برای انتقاد از HIPS سریع کاربران ناوارد را مطرح میکنند و میفرمایند HIPS به درد اونها نمیخوره! اکی من قبول کردم، بعد وارد مرحله دوم میشم: فرضا من یک تاپ یوزر هستم. انوقت HIPS برای من از مهمترین بخشها محسوب میشه، چیزی که به من این امکان را می دهد تا هر پروسه ی مشکوک و ناشناخته ای را بلاک و قطع کنم، به من اجازه میده علاوه بر آنتی ویروسم ، خودم هم شخصا رفتار یک فایل را زیر نظر بگیرم، اینها برای یک کاربر حرفه ای طلاست!
خب داستان این هست که من کنترل مانیتورینگ و بلاک آنی یک پروسه را در اختیار دارم و یک فایل اجرا میشه اینجا سه سناریو وجود داره:
یک:
یا HIPS صراحتا هشدار میده که رفتار فایل مشکوک است و بلاک کنید ( به شرط اینکه HIPS دارای الگوریتمهای تشخیص رفتار مخرب باشه که کومودو داره)
دو:
یا اینکه از روی رفتار نمیتونه تشخیص بده و صرفا فعالیتهای فایل را در قالب پیغام نشون میده اینجا من دو تا گزینه در اختیار دارم، اول اینکه خودم از روی رفتار فایل بفهمم فایل مشکوک هست، دقیقا من مثل رفتارشناسی عمل میکنم و تعاریف تشخیص رفتار فایل مشکوک در ذهن کاربر وجود داره، همانطور که سیستمهای تشخیص از روی رفتارشناسی، با رصد رفتار یک فایل و مطابقت با تعاریف موجود در خودشون یک فایل را مشکوک و مخرب معرفی میکنند، کاربر حرفه ای هم میتونه همین کار را بکنه، دقیقا مثل این هست که کارشناسان ساخت امضا برای ماژول رفتارشناسی یکسری رفتارها را شناسایی و وارد دیتابیس میکنند کاربر حرفه ای هم دست کم با تست مخربهای متفاوت در گذشته رفتارهایی از مخربها در ذهنش نقش میبنده..... (این مورد را کاربرانی که تجربه دارند میفهمند چی میگم)..... و همینطور که هیچ رفتارشناسی ای نمیتونه همه مخربها را تشخیص بده، البته که هیچ کاربری هم نمیتونه همه مخربها را از روی رفتارشون تشخیص بده و همینطور که رفتارشناسی آنتی ویروسها میتونه فالس داشته باشه ، رفتارشناسی کاربر هم میتونه فالس داشته باشه. پس اشکالی در این مورد نمیشه به کاربر حرفه ای گرفت.
اما فرض کنیم نه رفتارشناسی محصول ما و نه رفتارشناسی کاربر نتوانند مخرب را تشخیص بدهند .... امکان سوم:
یک امکان دیگه مسدود فایل و بررسی دستی فایل است که هر کاربر حرفه ای خیلی راحت میتونه بفهمه فایل مخرب است یا نه (کمترین کار بلاک فایل و اسکن فایل در VT هست).... چند وقت پیش به یکی از دوستان (اقا امیر) میگفتم (حالا به شوخی و جدی) من ایکی ثانیه میفهمم فایل مخربه یا امن هست.... فقط یک محصول میخوام که اجازه مسدو کردن فایل را قبل از این ایکی ثانیه، به من بده
خب، جریان ساده است، محصولاتی که فط رفتارشناسی اتوماتیک دارند اون دو سناریوی بعدی را ندارند! یا محصول شما از روی رفتار فایل تشخیص میده یا نمیده.....کابر این وسط کاره ای نیست، سوال: این سیستم دفاعی تو امنیت الان قویترین مدل حفاظت هست؟؟ کدوم کاربر حرفه ای این مدل را میپسنده؟
تو بحث HIPS نمیدونم چرا یک عده نیمه خالی لیوان را میبینند؟ مگر رفتارشناسی فلان محصول میتونه همه مخربها را کشف کنه؟ خب کاربر هم از روی تعاریف ایجاد شده در ذهنش هم میتونه بخشی (حتی بخش کمی) از مخربها را شناسایی کنه، ولی مهم این هست که این امکان برای کاربر وجود داره...........
نکنه خیی واضحی اینجا وجود داره: اگر کاربری HIPS محصول خود را غیرفعال کند در برابر اون محصولی که اصلا HIPS ندارد هیچ چیزی را از دست نمیده....<==کسی با این نظر من مخالفه؟
بنابراین در بحث HIPS برای کاربران مبتدی نیمه پر لیوان را ببینید که محصول فاقد HIPS اون نیمه پر را نداره.... و برای کاربران حرفه ای این لیوان همیشه لبریز هست.
======
تو پست شما یکسری سوالات در مورد کومودو هست که سرفرصت نظر خودم را میگم.....
نوشته شده توسط Nine
جواب بصورت نقل قول
