Jump to content
Sign in to follow this  
Lorder

Контроль запуска программ

Recommended Posts

Вопрос, насколько корректным (как отразится на быстродействии клиентов или сервера) правило контроля запуска на основе белого списка и категории, пополняемой вручную хешами файлов SHA256? Если таких хешей будет сотни? Или тысячи?

Предполагаю, что правило, разрешающее запуск файлов на основе автоматически пополняемой категории, читающей метрики файлов, лежащих в определенной папке, по сути тоже самое, тоже длинный список (всего что помещено в папку), только заполненный автоматически а не вручную. Или я ошибаюсь?

Share this post


Link to post

Автоматически пополняемая категория формируется из содержимого папки самим KSC сразу при создании, либо с определенной заданной периодичностью, и затем распространяется по компам через политики.

К примеру у меня в некоторых категориях по 500 условий с хешами, и я не замечал, чтобы это как-то отражалось на быстродействии.
Никаких заметных замедлений при запуске программ не зафиксировано.

В антивирусных базах существенно больше сигнатур, чем хешей в ваших категориях, а принцип контроля тот-же: вычисление сигнатуры (хеша) запускаемого файла и поиск по антивирусным базам (вашим категориям).

К тому-же делать белый список только на основе хешей не слишком практично. Например файлы ОС контроллировать через хеши не получится, т.к. после первого-же обновления эталонной системы системы хеши поменяются, и на других компах система вообще перестанет запускаться.
Например файлы ОС и известного прикладного софта проще разрешать на основе KL-категорий.
А уже то, что по KL-категориям не классифицируется, разрешаем через хеши или сертификаты. В этом случае условий с хешами уж никак не будет "сотни" или "тысячи".

 

 

Edited by aigir

Share this post


Link to post
14 часов назад, aigir сказал:

К примеру у меня в некоторых категориях по 500 условий с хешами, и я не замечал, чтобы это как-то отражалось на быстродействии.

Отлично. Это я и хотел узнать.

 

14 часов назад, aigir сказал:

Например файлы ОС и известного прикладного софта проще разрешать на основе KL-категорий.

Само собой, и уже сделано. Настроен белый список, и режим "только уведомлять". И в событиях есть то, что все равно надо разрешить. Вероятно по хешам.

14 часов назад, aigir сказал:

В этом случае условий с хешами уж никак не будет "сотни" или "тысячи".

Выборка событий за 24 часа нашла 1000 запрещенных хэшей. Сколько их них надо разрешить - еще предстоит проверить, но, на первый взгляд, близко к 90%.

И это за 24 часа. За месяц анализа может всплыть много чего, используемого реже, чем раз в день.

 

Спасибо, вопрос решен.

Share this post


Link to post
2 часа назад, Lorder сказал:

Выборка событий за 24 часа нашла 1000 запрещенных хэшей. Сколько их них надо разрешить - еще предстоит проверить, но, на первый взгляд, близко к 90%.

Значит у вас не оптимально настроены условия.

Неизвестные файлы лучше добавлять не по хешам, а по KL-категориям или по метаданным (если они в файле есть). В этом случае под данное условие автоматически попадут все версии данного софта, и не нужно будет после каждого обновления заново разбираться и добавлять новые условия.
Хеши лучше использовать в тех случаях, когда в файлах нет метаданных.

Например я ежедневно анализирую базу "Исполняемые файлы" (сортировка по времени первого запуска), выявляю новые файлы,  идентифицирую их и определяю что с ними делать. И в день появляется от силы 1-2 новых файла, и то не каждый день.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.