Tatry03 píše:Co si myslite o tomto?
Je realne, aby antiviry opustili signatury a presli len cisto na heuristiku a cloud reputaciu?
Realne to prakticky je, dnes se prosazuji ruzne hlouposti, ale z pohledu efektivity a dobre ochrany to ovsem realne neni.
Aby takovy system dobre fungoval, musela by stejne byt pro reputaci nejaka lokalni nezavisla databaze, a to jsou proste
zase signatury a vzorky jak je zname.
Trosku se rozkecam o cloudech s dovolenim.......jelikoz me dost stvou.....
Podstata Cloudu obecne, tohoto modniho vystrelku poslednich let, je dost nebezpecna a nevyhnutelna cesta do pekla.
Odrazi to stav, kdy ve velkych firmach (ktere stale rostou) postupne nahradili znale techniky tzv. manazeri,
kteri jsou tam po znamosti, nebo z politickych duvodu, popr. z duvodu chybne koncepce fungovani podniku.
Chybna koncepce je zalozena na minimalizaci vykonne pracovni sily/specialisty, a premanazerovani podniku,
ze mnohdy na deset techniku mame pet manazeru kteri jakozto vyborni obchodnici a manazeri casto vi o problematice
kulove, jsou spise lajky s naucenymi zaklady. Tento trend zasahuje vsechyn odvetni, nejen security, potazmo VT,
a vysledky jsou znat na to, ze je dnes na svete casto nebezpecno, a to i globalne, a to vse v ruku v ruce s podklady
nejakych dalsich "odborniku", kteri ve studiich ukazuji jak je to skvele a bezpecne, k tomu jeste takove kraviny naridi
globalne nejaka smernice nebo narizeni politika, a je to cele v prd..zadku.
Bezpecnostni pravidlo c.1 (potazmo kdyz ne 1, tam minimalne v prcni desitce) je: Decentralizace, dalsi pravidlo je nezavislost.
Je rozdil kdyz utokem zasahnu jednotku pc, nebo datove centrum, a rozsirim pres "bezpecny cloud software" skodlivy kod
na cele stromy jednotek, stovky, ci tisice...... atd. Jak je pak jednoduche pro utocnika vyuzit chyby lidskeho faktoru,
exploitu, nebo selhani sw ci hw k tomu, aby si delal se stadem ovci co jen chtel.
Napadena jednotka nemuze zachranovat jinou napadenou jednotku, protoze pokud se napadne datove centrum, budou v prd..zadku vsechny jednotky kompletne
Kdyz uz se banda idio...nechytrych rozhodla standardizovat a prosazovat (hlavni trend poslednich let nasazuje gigant
co ho nedavno jeste vedl takovy brylaty pan, a ted jen kibicuje) globalne cloud technologie, bylo by hloupe se proti moznym
rizikum branit zase dalsim cloud resenim. Nebudu se branit proti negativum pusobeni alkoholu, tim ze ho budu pit ze?
Ad konkretne reseni McAfee. Ano reseni hw antiviru je dobry napad...objeveni ameriky...sam jsem pred mnoha lety bombardoval nektere av spolecnosti
s hotovym resenim (mysleno navrhem ne vyrobkem) jak mit av na vymenitelnem chipu na MB a vhodnym zpusobem update (zasilani cipu firmam klasickou
postou primo vyrobcem, a tak eliminace mozneho zavedeni falesneho obsahu na cip, atd. atd.).
Reseni od McAffe vypada dost nedotazene, a take je velkym problemem monopolizace platformy, rict ze budu chranit jen Intel je dost na povazenou.
Reseni by melo byt Unifikovane pro jakykoliv pocitac, jinak nema smyslu. Vyuziti cloudu je uz uplne znevazuje moznosti produktu, i kdyby jsme se zamerili
pouze na reputacni system, tak co se asi stane, kdyz reputace neco skodliveho mylne oznaci za spravne.
Reputacni systemy obecne vzato a podobne silenosti maji primarni ulohu ulehcit scaner casti praci, a nescanovat vse, popr. u nejistoty rozhodnout na zaklade
prikloneni k reputaci. Tohle si myslim by melo byt na uzivateli, popr. na nejakem lokalnim adminovi ve firme.
System stada ovci a nejake vyssi moci co rozhoduje o tom co je a neni spravne muze byt ale i k dobru, a to napr. pro lidi pocitacove neprilis gramotne,
jako jista berlicka k vymyceni zombie pocitacu. Osobne bych ale v takovych pripadech radeji videl, aby na strane providera internetoveho pripojeni
byla k tomu doplnkova moznost vyzadat si pripojeni pres proxy server, ktery by traffic scanoval na prilohy a blacklist odkazu a ip, atd,
aby se predeslo vubec tomu, ze se najky kod z venku dostane na pc (samozrejme flashky a cd apod, to si uzivatel muze zaprasit pc sam, ale hlavni gro dneska,
je svinstvo z hloupeho klikani do vseho mozneho, coz proxy s av ve velmi velkem procentu nedovoli)
V domacnosti tak udela vetsi praci treba male pc s intel atomem na ktere si nahraju nod32, nejakou proxy a necham nodu scanovat dany port proxy
na ktery pripojim prohlizece v domacnosti. (berte pouze jako priklad, naposledny jsem to provozoval na nodu verze 4 tusim)
Dalsi reseni je proxy se squidem an tuxu, kde si dam restrikce a vytvarim si blacklist, coz mam posledni dobou nejradsi, popr do procesu zapojim
nejaky scanovaci engine.
Add posledni: ze zbezneho pohledu .....U McAffe to jeste to poradne nezavedli, a uz nyni me napada nekolik zpusobu, jak lze zavest skodlivy kod pred tim, nez tahle vec muze
zafungovat, popr ji podvrhovat data ktera ji prijdou bezpecna. Ono neni jednoduche dnes udelat neco, co by bylo neprustrelne. Napady by byly,
ale stalo by to moc penez, a ty dnes spolecnosti maji v mensim obsahu nez kdy jindy. Kdyby byl antivir ci security balik nejakym vyrobkem
farmaceuticke oblasi, treba tabletkou na zvyseni libida, meli bychom dnes diky obrovskym penezum dokonale ochranne baliky,
a firmy, ktere by meli ve vyvoji zapojeno tolik odborniku, ze by bylo pro opacnou stranu bitevniho pole dost tezke neco pusobit,
mozna by se nebylo ani proti komu branit, kdyby vetsina nekalych zivlu makala za slusny plat nekde v security firme.
Kdyz to vezmu kompletne v souhrnu, je urcite lepsi kdyz existuje mnoho druhu ochran, nez kdyby jich bylo malo,
ale je nutne dost rozlisovat kam s tim, co to ma delat, zda to je vhodne, a zda nektera reseni (hlavne cloudova, a ruzna jina co napr. odesilaji
vzorky mimo lokalni pocitac na analyzu) nemuze byt v konecne m dusledku pro bezpecnostni politiku brano jako "legalni trojsky kun".
Pokud udelam ochranu pomoci HW, nenicil bych tu vyhodu tim, ze ji dovolim ovlivnovat jakymkoliv zasahem z venci.