Вот есть сервер, на котором установлен Windows, обновления и всего 1 единственная программа собственной разработки. Больше ничего туда не установлено и не планируется.
Важно чтобы в любой момент времени на сервере не появился сторонний исполняемый файл, сторонние записи в реестре и пр.
Т.е. нужно сканировать все файлы и исполняющиеся процесы и проверять что они есть в белом списке. Файлы собственной разработки подписаны ЭЦП и для них делается исключение.
Обычно антивирус работает по черному списку, который для домохозяек создан еще в те времена, когда каждая домохозяйка скачивала ежедневно надцадть пограмм и часть из них была вродоносных (требовалось вести огромный черный список, и то смысл был не большой, т.к. список обновляется задним числом).
А вот бывает ли наоборот, когда в базу внесены ТОЛЬКО белые программы. Т.е. все программы Microsoft и других известных производителей, каждая библиотека, все их версии, все обновления. А так же внесены все системные настройки, т.е. если в реестре или еще где появляется запись, о которой 100% не известно что она белая -- то получаем оповещение.
Здравствуйте, Shmj, Вы писали:
S>Вот есть сервер, на котором установлен Windows, обновления и всего 1 единственная программа собственной разработки. Больше ничего туда не установлено и не планируется.
S>Важно чтобы в любой момент времени на сервере не появился сторонний исполняемый файл, сторонние записи в реестре и пр.
Если ничего туда не установлено и не планируется откуда же там появился сторонний исполняемый файл?
S>Встречали ли такое?
Бесплатный Comodo Internet Security например(есть там Defense+ c белым списком), правда у меня не прижилось, уж очень эти антивири тормозят систему, даже с SSD, кучей CPU и RAM.
p.s. Уже много лет пользуюсь только файрволом который блокирует всё кроме браузеров, почтовика и с десяток разрешёных программ, работаю только под ограниченым пользователем, бедные вирусы обламываются об UAC, и с писком падают "вай вай — не могу внедрится, не хватает прав!"
Re[2]: Антивирус не с черным а с белым списком для Security Critica
S>Нет. Он пытается анализировать поведение. И не факт что сможет проанализировать все. А нужна гарантия 100%.
S>Сервис финансовый, по этому безопасность крайне важна.
S>Белый список дает 100% гарантию.
Посмотрите, как устроены платежные терминалы и банкоматы. Они работают в основном на WinXP, но никаких проблем с вирусами нет.
Re[4]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, montenegra, Вы писали:
S>>Белый список дает 100% гарантию. M>Посмотрите, как устроены платежные терминалы и банкоматы. Они работают в основном на WinXP, но никаких проблем с вирусами нет.
А как туда попадет вирус без физического доступа? Распечаткой на 100 рублевой бумажке?
Re[5]: Антивирус не с черным а с белым списком для Security Critica
S>>>Белый список дает 100% гарантию. M>>Посмотрите, как устроены платежные терминалы и банкоматы. Они работают в основном на WinXP, но никаких проблем с вирусами нет. B>А как туда попадет вирус без физического доступа? Распечаткой на 100 рублевой бумажке?
Дитя истину глаголит. Решение очевидно, не так ли?
Re[3]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, Shmj, Вы писали:
S>Белый список дает 100% гарантию.
гарантию чего? малвари не обязательно создавать файлы на диске и лезть в реестр. малварь спокойно живет в памяти.
но даже если малварь создает файлы, то их можно заныкать так, что никто не найдет (рутикит).
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Re: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, Shmj, Вы писали:
S>Вот есть сервер, на котором установлен Windows, обновления и всего 1 единственная программа собственной разработки. Больше ничего туда не установлено и не планируется.
S>Важно чтобы в любой момент времени на сервере не появился сторонний исполняемый файл, сторонние записи в реестре и пр.
S>Т.е. нужно сканировать все файлы и исполняющиеся процесы и проверять что они есть в белом списке. Файлы собственной разработки подписаны ЭЦП и для них делается исключение.
S>Обычно антивирус работает по черному списку, который для домохозяек создан еще в те времена, когда каждая домохозяйка скачивала ежедневно надцадть пограмм и часть из них была вродоносных (требовалось вести огромный черный список, и то смысл был не большой, т.к. список обновляется задним числом).
S>А вот бывает ли наоборот, когда в базу внесены ТОЛЬКО белые программы. Т.е. все программы Microsoft и других известных производителей, каждая библиотека, все их версии, все обновления. А так же внесены все системные настройки, т.е. если в реестре или еще где появляется запись, о которой 100% не известно что она белая -- то получаем оповещение.
S>Встречали ли такое?
У Касперского сто лет, как есть белый список софта.
Можно включить режим, чтобы блокировал всё, что не в белом списке.
Подозреваю, что у других антивирей есть все те же возможности.
Re[4]: Антивирус не с черным а с белым списком для Security
Здравствуйте, montenegra, Вы писали:
M>Посмотрите, как устроены платежные терминалы и банкоматы. Они работают в основном на WinXP, но никаких проблем с вирусами нет.
Щаззз, еще как есть проблемы. Вот из относительно свежего, вирус Tyupkin Атаковал банкоматы под XP...
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, montenegra, Вы писали:
M>>Посмотрите, как устроены платежные терминалы и банкоматы. Они работают в основном на WinXP, но никаких проблем с вирусами нет.
M>Щаззз, еще как есть проблемы. Вот из относительно свежего, вирус [https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/]Tyupkin[/url] Атаковал банкоматы под XP...
И как он изх атаковал, через кассеты с купюрами ?
Re[6]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, marcopolo, Вы писали:
M>И как он изх атаковал, через кассеты с купюрами ?
У банкомата есть IP-адрес, он подключен к глобальной сети.
Если я вам скажу что IP 221.17.94.35 -- это IP банкомата за углом, то вы сможете как минимум попытаться подобрать пароль для удаленного управления (бывали случаи что оставляли пароль по умолчанию, который прописывается в документации).
Вся беда и горечь в том, что можно атаковать пассивный компьютер. Т.е. просто зная IP адрес компа, отправить некоторые пакеты и получить админский доступ к нему.
Если бы опасность заражения была лишь в случае когда комп. используют, открывают сайты и запускают левые программы -- мы бы жили практически в идеальном мире.
Re[2]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, vsavkin, Вы писали:
V>У Касперского сто лет, как есть белый список софта. V>Можно включить режим, чтобы блокировал всё, что не в белом списке. V>Подозреваю, что у других антивирей есть все те же возможности.
А белый список нужно самому заполнять? Там уже есть все системные проги, библиотеки, популярные проги типа 7zip? Или самому нужно все вносить?
Re[4]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, мыщъх, Вы писали:
М>гарантию чего? малвари не обязательно создавать файлы на диске и лезть в реестр. малварь спокойно живет в памяти.
Как я понимаю, каждый процесс ассоциирован с файлом, всегда можно открыть "file location". Процессы без привязки к файлу можно убивать.
Кроме того, любая малварь хочет зацепиться в системе, чтобы не жить до первой перезагрузки.
М>но даже если малварь создает файлы, то их можно заныкать так, что никто не найдет (рутикит).
А универсальное решение для поиска руткитов уже придумали?
Re[5]: Антивирус не с черным а с белым списком для Security Critica
Здравствуйте, Shmj, Вы писали:
S>Здравствуйте, мыщъх, Вы писали:
М>>гарантию чего? малвари не обязательно создавать файлы на диске и лезть в реестр. малварь спокойно живет в памяти. S> Как я понимаю, каждый процесс ассоциирован с файлом, всегда можно открыть "file location". S> Процессы без привязки к файлу можно убивать.
можно создать новый поток в доверенном процессе или вклиниться в его адресное пространство.
кстати, powershell позволяет выполнить объект как скрипт, а объект там храниться в db.
S> Кроме того, любая малварь хочет зацепиться в системе, чтобы не жить до первой перезагрузки.
зачем зацепляться после того как вас обокрали? тем более на сервере. малварь приходит к вам через дыру и она будет приходить снова и снова пока вы ее не заткнете.
М>> но даже если малварь создает файлы, то их можно заныкать так, что никто не найдет (рутикит). S> А универсальное решение для поиска руткитов уже придумали?
давно придумали, но тут же сломали. проблема меча и щита.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.