Jump to content
Vadimon

Как работает KSN [В процессе]

Recommended Posts

Прочитал несколько статей про KSN и аналогичные технологии других производителей, но все они носят маркетинговый характер, поэтому я не могу найти ответа на простые вопросы.

Итак, несколько модельных ситуаций

- ПО используется на миллионе компьютеров, поэтому его репутация высока, ПО можно доверять.

- Программа задетектирована ЛК как вредоносная, её репутация сразу становится неподнимаемо низкой.

- На программе сработало какое-то эвритическое или поведенческое правило - репутация программы понижается.

- Пользователь отправил программу на проверку в ЛК - репутация программы понижается, по крайней мере до её анализа специалистами.

 

Но эта ситуация никак не относится к блокировке 0day-уязвимостей. Как уже писал в другой теме, написать ПО, которое обойдет эвристику и мониторинг системы вполне возможно.

 

Маркетологи пишут, что KSN может понизить репутацию файла, если на компьютере возникли какие-то проблемы. Пытаюсь понять, как такое может быть? Например, вирус обошел проактивные технологии антивируса, заразил компьютер, теперь у меня куча зашифрованных файлов. Как антивирус сам поймёт, что у меня проблема, и что причиной проблемы стал именно конкретный запущенный файл? Задним числом, когда кто-то уже отправил эту програму на проверку, или его даже уже внесли в базы - такая информация будет бесполезна для защиты.

 

Теперь представим ситуацию. Я на предприятии написал собственную программу, или сделал свой установщик для программы, или просто скрипт администирования. Сначала у этой программы никакая репутация. Станет ли репутация достаточной, когда эта программа запустится на 10 компьютерах, на 100, на 200? Смогу ли я после этого убрать программу из списка ограничений, чтобы для её работы в контроле активности было достаточно репутации из KSN?

 

И другую ситуацию. Злоумышленник пишет программу специально для атаки на нашу организацию. Злоумылшенник знает какой у нас антивирус, поэтому может написать решение, которое его обойдет. Вот вредонос запустился на одном компьютере, на втором, на десятом. Мы можем долго не замечать проблем, ведь это может быть просто некое шпионское ПО. Есть ли в таком случае толк от KSN? Или же до тех пор, пока администратор не изловит хотя бы один экземпляр, и не отправит его на обработку, репутация файла не будет понижаться?

Share this post


Link to post

И ещё вопрос. Есть ли возможность в KES узнать репутацию файла, как это возможно в KIS через контекстное меню файла?

Или может быть на каком-нибудь сайте, отправив сам файл или его MD5?

Просто у меня есть специальное ПО, которое, вроде бы, достаточно распространено, но контроль активности совместно с KSN не дали ему достаточного для запуска рейтинга. Хочется понять, почему.

Share this post


Link to post

Добрый день!

 

Если ПО начинает себя вести подозрительно, проактивная защита остановит его действия, например, если шифровальщик вдруг начал зашифровывать файлы.

В правилах контроля приложений можно посмотреть репутацию файлов (их популярность, рекомендованную группу и географическую распространённость).

 

Спасибо!

Share this post


Link to post
И ещё вопрос. Есть ли возможность в KES узнать репутацию файла, как это возможно в KIS через контекстное меню файла?

Или может быть на каком-нибудь сайте, отправив сам файл или его MD5?

Просто у меня есть специальное ПО, которое, вроде бы, достаточно распространено, но контроль активности совместно с KSN не дали ему достаточного для запуска рейтинга. Хочется понять, почему.

В KES нет такой возможности.

Есть онлайн-сервис Kaspersky Application Advisor

http://whitelist.kaspersky.ru/advisor-ru

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.