Проактивная защита

[kirgos]

Вот не совсем понимаю, что это такое. Одни источники говорят, что это дополнение к эвристике и сигнатурному анализу, другие - что это общее понятие и в него входят эвристика, сигнатурный анализ и многое другое.
Кто-нить может разъяснить?

 

[okun]

Цитата из справки:

Проактивная защита вашего компьютера

Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах сигнатур угроз. Это обеспечивает специально разработанный компонент - Проактивная защита.

Необходимость в проактивной защите назрела с тех пор, как скорость распространения вредоносных программ стала превышать скорость обновления антивирусной защиты, способной обезвредить эти угрозы. Реактивные технологии, на которых построена антивирусная защита, требуют как минимум одного фактического заражения новой угрозой, времени на анализ вредоносного кода, на добавление его в базы сигнатур угроз и на обновление этой базы на компьютерах пользователей. За это время новая угроза может нанести огромный ущерб.


Превентивные технологии, на которых построена Проактивная защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется по коду, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторым приложением (процессом). В поставку программы включен набор критериев, позволяющих определять уровень опасной активности. Если активность некоторого приложения напоминает действия, характерные для опасной активности, такое приложение сразу же классифицируется как опасное и к нему применяются действия, заданные в правиле для такой активности. К опасной активности, например, относятся:

• изменения файловой системы;
• встраивание модулей в другие процессы;
• скрытие процессов;
• изменение ключей системного реестра Microsoft Windows.
• Все опасные операции отслеживаются и блокируются Проактивной защитой.

Проактивная защита также отслеживает все VBA-макросы, запускаемые в приложениях Microsoft Office. При анализе макросов на вредоносность используются сигнатуры угроз.

В процессе работы Проактивная защита использует набор правил, включенных в поставку программы, и созданных исключений. Правило - это набор критериев, определяющих степень опасности той или иной активности и реакцию программы на такую активность.

Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра, макросов и запускаемых на компьютере процессов. Вы можете изменять список правил по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.

Рассмотрим алгоритм работы Проактивной защиты:

1. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты:

• Действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку программы и обновляется вместе с сигнатурами угроз).
• Действия каждого запускаемого VBA-макроса. Они проверяются на наличие в списке опасных действий, включенном в поставку программы.
• Целостность программных модулей установленных на вашем компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода, запуска этих приложений вредоносными программами.
• Каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод странных значений для ключей и т.д.),

2. В анализе используются правила Проактивной защиты и заданные исключения.
3. В результате анализа возможны следующие варианты поведения:

• Если активность удовлетворяет условиям разрешающего правила Проактивной защиты, она не блокируется.
• Если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран будет выведено уведомление, где указывается приложение, тип его активности, история выполненных действий. Вам нужно самостоятельно принять решение, запретить или разрешить такую активность. Вы можете создать правило для такой активности и откатить выполненные действия в системе.
• Если выполняемая на вашем компьютере последовательность действий не регламентируется каким-либо правилом, она разрешается.

 

[kirgos]

а "что, так сказать, было раньше: яйцо или курица" , т.е. что является расширением(модулем) чего? или это параллельные технологии?

 

[Veda]

слова, слова, много слов...

суть этой самой проактивной защиты в попытке выяснить по факту действия его цель и соответственно разрешить или запретить...

ээх красиво написано про каспера, ну да рекламщики не зря свой хлеб едят Однако реальность сильно отличается, суть любой защиты можно выразить вкратце так: ЭФФЕКТИВНАЯ ЗАЩИТА - КОГДА ПОЛУЧЕННАЯ ОТ ВЗЛОМА ВЫГОДА НИЖЕ СТОИМОСТИ САМОГО ВЗЛОМА, грубо говоря никто в здравом уме (а для взлома он понадобиться) не пойдёт на муху с пушкой! Так же проактивная защита - фраза умная, а вкратце можно описать как внутрисистемный фаерволл, да и схоже по сути с работой сетевых фаеров... Однако незабываем что нет защиты которую невозможно обойти

 

[z0id]

_http://ru.wikipedia.org/wiki/Проактивная_защита

 

[kirgos]

на википедиа пишется - логическое продолжение эвристических методов, но явл. более расширенным понятием, нежели эвристический анализатор.
тогда не лучше ли развивать именно этот метод защиты, а про эвристику забыть, а?
а здесь _http://www.viruslist.com/ru/analysis?pubid=170273483 немного по-другому написано, вот это и вводит в заблуждение...

 

[Veda]

всему своё место и время!

естественно вводит в заблуждение, а как не ввестись в заблуждение если немалое количество "спецов", оперирующих такими карсивыми фразами, не только незнают толком о чём они говорят, но даже не понимают зачастую что значит защита. Искренне веря что понятие защиты - это чем больше, тем лучше...

 

[kirgos]

"Искренне веря что понятие защиты - это чем больше, тем лучше..." - наверно, да

Наверно я таки сложный вопрос задал, если даже профи не могут ответить

насколько я понял, у Каспера проактивная защита встроена как модуль, но есть такая вещь Safe’n’SEc , так там проактивная защита работает как скелет, а антивирь и anti-spyware как модули. Хм... а разница?

 

[Veda]

Наверно я таки сложный вопрос задал, если даже профи не могут ответить

Ну как говориться один новичок может задать столько вопросов что и 100 профи не ответят

Разница в том, что антивирь ищет то, что уже есть, а такие проги как Safe'n'Sec пытаются предотвратить попадание или разрушительное воздействие того, что попало на локальную машину

 

[kirgos]

та нет, я имел ввиду схему построения программ, т.е. у каспера в основе идет антивирус, а проактив - как модуль(его можно выключить). А в Safe'n'SEc - наоборот, на сколько я понал. Там можно установить сначала проактив, а в дополнение - антивирус. Вот в этом и вопрос был: какая разница.

 

[Veda]

Конечно у Каспера проактивная защита будет только модулем, потому как всю свою славу и известность этот антивирус заработал именно на оперативном выходе сигнатур и что же вы думаете они так сразу ото всего откажуться и полностью новый продукт выпустят?? Который к тому же фактически даже не в стадии бета, а в стадии альфа (это я про проактивную защиту вообще)
Что же касается Safe'n'Sec так тут имеет место попытка завоевать совершенно новую нишу (кстати очень перспективную нишу) на рынке защиты и пока что у разработчиков это получается очень даже неплохо, по крайней мере среди мне известных аналогичных продуктов Safe'n'Sec лучшая. А вот сигнатурный анализ для них мало известен да и не занималась компания сбором информации чтобы иметь обширную базу сигнатур, поэтому такой вид защиты у них всего лишь как модуль (может и поймает чего ), так сказать до кучи не помешает...

Что касаемо связки антивирь + проактивная защита (вот и пришли к понятию хорошей защиты - до кучи ), а почему бы и нет если ресурсы компьютера позволяют держать всё это да и не жалко их тратить на это!

 

[kirgos]

У Safe'n'SEc как антивирус встроен BitDefender, впринципе неплох, но касперу уступает во многом.
В общем я так понял, что лучше модульный антивирь, чем модульный проактив(так???). Щас я перешёл 5-го каспера на 6-й, 5-й мне больше нравится. Вот щас думаю, может обратно на 5-й + Safe'n'SEc хотябы протестировать, не будет ли также тормозить как 6-й

 

[Veda]

Вообщем то верно понял - сыровата пока ещё проактивная защита (на мой взгляд), что касаемо каспера, если покопаться в настойках то тормозить он будет значительно меньше, ну а сравнивать 5 и 6 версию не стоит, так как 6 ещё тестируется...

Однако я считаю что связка сетевой фаер (причём аппаратный) + проактивная защита (внутрисистемный фаер) + хорошее знание винды - грамотно настоенные внутренние средства безопасности и аудита (ну и естественно голова на плечах, а так же должное количество опыта) даст фору не только касперу, но и нескольким антивирусам вместе

 

[kirgos]

... если покопаться в настойках то тормозить он будет значительно меньше...

это если проактив отключить полностью. щас у меня отключён только контроль реестра.
В остальном согласен, правда аппаратный фаер - это проблемотично, пров ставит свою аппаратуру ... ну это не к этому делу