Röviden: keresek egy előfizethető, virustotal.com-hoz hasonlító szolgáltatást, ahol lehetőség van minél több antivirus motoron átkergetni a tartalmat. Fizetni leginkább az ellenőrzött fájlok darabszáma, vagy az ellenőrzés erőforrás-használata alapján szeretnék.
Hosszabban: jelenleg kétféle vírusirtót és egyféle spamszűrőt használunk, de ezek összesített hatékonysága nem éri el a kívánt szintet. A virustotal.com-on megfuttatva ezeket a fájlokat az látszik, hogy az ottani 54-55 féle ellenőrző eszközből jellemzően 6-8 fogja meg ezeket, és persze mindig más és más, így nem tudtuk levonni azt a konklúziót, hogy melyik 1-2-3 vírusirtó megvásárlásával érnénk el a kívánt eredményt.
Arra nyilván nincs pénzünk, hogy 15-20 féle virusirtót licenszeljünk. Az ellenőrzendő dokumentumok száma egyébként nem túl nagy, napi párezer darab.
A virustotal.com tökéletesen megfelelne a célra, de ha jól látom, az csak tesztelésre használható, for-profit használatra nem lehet előfizetni.
Nálam kliens oldalon Linux van, de leginkább az tetszene, ha felhőalapú megoldás volna, tehát POST-olom az ellenőrzendő tartalom hash-ét, és visszakapok egy true/false értéket, vagy valami részletesebb jelentést, valamilyen emészthető formában.
Hozzászólások
E-mail-ekben utazó tartalomról van szó?
Üdv,
Marci
Alapjaiban véve igen, de nem kizárólagosan.
Akkor javaslom az Exchange Online Protection-t. A nem emaileket meg beteszed egy mailbe és átküldöd rajta.
Üdv,
Marci
A Microsoftnál dolgozom.
Ez megfelel annak a kritériumnak, hogy nem egy termékkel szeretné ellenőrizni?
"Eliminate threats before they reach the corporate firewall with multi-layered, real-time anti-spam and multi-engine anti-malware protection. "
"It also provides comprehensive malware and virus filtering, using three different industry-leading anti-virus (AV) engines."
Igen.
Üdv,
Marci
Melyek ezek?
Nem tudom, gyanúm, hogy változik időnként és valószínűleg nem publikus.
Egyébként az ilyesmit nem nagyon szokta nyilvánosságra hozni senki...
Üdv,
Marci
Tudsz esetleg profilba vágó szolgáltatásról, ami hozzátok hasonlóan azt állítja, hogy több vezető víruskergetőn engedi át a fájlt, de nem publikálja, hogy melyeken?
Nem én. Miért, pl. a Gmail nyilvánosságra hozza, hogy mit használ erre?
Üdv,
Marci
"Forefront Security for SharePoint includes industry-leading anti-virus engines from global security firms such as Kaspersky Labs, Computer Associates, and Sophos."
Tippre ez a három lehet ott is. :)
Ha jól látom az Virustotal előfizethető.
https://www.virustotal.com/en/documentation/private-api/
Frankó, én össze-vissza böködtem a virustotal.com oldalt, illetőleg csináltam (teszteléshez) saját API accountot, de ez nem jött szembe.
Kértem tőlük árajánlatot. Kiváncsi leszek.
Megjött az ajánlat. A beugró szint a fizetős API-hoz 600 EUR/hó. Ez önmagában nagyon nem kevés pénz, viszont kihangsúlyozzák, hogy a VirusTotal nem egy antivirus-eszközként használandó szolgáltatás, hanem egy kutatási-fejlesztési projekt, aminek a célja a hozzájárulás a védelmi eszközök fejlesztéséhez.
Na, tehát a kérdés továbbra is él: bár nekem funkcionálisan a VirusTotal API-ja megfelelő lenne, de olyan megoldás kell helyette, ahol a szolgáltatás célja a vírusellenőrzés és a szolgáltatás ára megfizethető. Mondjuk napi párszáz, esetleg párezer fájl ellenőrzéséért nem szívesen fizetnék havi 600 EUR-t. Mondjuk a tizedét talán.
Nem tizede, hétszázada: az Exchange Online Protection ára 0,84 €/felhasználó/hó
SLA-k:
Spam effectiveness SLA: >99%
False positive ratio SLA: <1:250,000
Virus detection and blocking SLA: 100% of known viruses
Monthly uptime SLA: 99.999%
Szolgáltatásleírás: https://technet.microsoft.com/library/exchange-online-protection-servic…
Üdv,
Marci
- Rendelkezik kívülről elérhető, dokumentált, publikus API-val? Nálam nincs Exchange.
- API esetén mit értünk per-felhasználó költségen? Nálam van egy helyi "antivirus" nevű felhasználó, ami futtat egy daemont. Az ellenőrizendő tartalmat egy UNIX socketen tolom bele. Ez a daemon kérdezgetné API-n keresztül az IaaS/SaaS külső "motort".
- "Virus detection and blocking SLA: 100% of known viruses." Ez cool, az általam ismert vírusok 100%-át én is blokkolom. Az a bajom, hogy olyan minták vannak, amiket nem ismerek fel vírusnak. Itt hányféle vendor milyen motorja dohog a motorháztető alatt? Ha csak a Microsoft-féle (Defender, vagy miaszösznek hívják aktuálisan) az sz.rt nem ér.
"Rendelkezik kívülről elérhető, dokumentált, publikus API-val?"
Nem, ez egy SMTP szűrő. Semmiféle Exchange nem kell hozzá, bármilyen SMTP környezetbe illeszkedik.
Nem ismerem a szolgáltatás részletes felépítését, de nem is lényeges szerintem (amúgy 3 különféle antivírus motort használunk).
Ugyanis az SLA itt úgy értendő, hogy pénzügyi felelősséget vállalunk ezeknek a szinteknek a teljesítéséért. Részletek itt: http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&Docu…
Innentől fogva nagyon nem érdekünk, hogy "sz.rt nem ér"-jen a szolgáltatás, mert akkor nincs bevételünk.
Ingyenesen kipróbálható, döntsd el magad, hogy hozza-e az elvárásaidat.
Üdv,
Marci
Szerintem nem szeretné, hogy az összes levél keresztülmenjen 3rd partyn (ez egyébként az elküldük/nem kaptuk meg vitákat bonyolítja kicsit), hanem olyan szolgáltatást, hogy jön egy levél ő a mellékleteket API-n felnyomja és ha tiszta továbbengedi. :)
Nekem az a bajom a 3 antivírus motorral, hogy sokszor csak 4-5 jelez be az 50+ motorból a virustotal-on is. Szóval statisztikailag 3 motoron úgy megy át szemét mint kés a vajon, legalábbis az első pár napban vagy órában.
Ha ez tényleg így lenne az EOP-nál is, akkor mindig buknánk az SLA-t és eltűnne a bevétel, mert vissza kéne fizetni.
Üdv,
Marci
Üzemeltetek olyan email server-t, ahol sokéves domain-ek párszáz címe közül néhány sajnos kvázi publikus, ömlik rá a spam és a malware is. A levelek át vannak küldve víruskeresőn is, de mellette van még egy elég paranoid szabályrendszer is, ami bizonyos leveleket a címzett helyett egy központi "kézzel átnézni" címre továbbít. Ezek között sok egyértelműen vírus (mittomén .pdf.js a csatolmány, vagy egy invoice.zip-ben levő .wsf file), ezeket feltolom virustotal-ra ha nagyon ráérek. Sikerült már 0/55-ös dzsuvát is megfogni ezzel, és nem csak ezt.
Volt olyan is, hogy csak néhány kisebb (általam kb. ismeretlen) jelzett be a sok közül, de én akkor se hiszem el hogy egy amerikai ISP küld számlát egy brazil dinamikus IP-ről .docm formátumban...
Ha az outlook protection csak 3 vírusirtóra épül (nem ismerem a szolgáltatást), akkor az ilyenek azért rontanák az SLA-t. Nyilván valamekkora hibaarány bele van kalkulálva.
Viszont érdekel ez a szolgáltatás. Olyan létezik, hogy nem viszem hozzátok az MX-et, hanem csak bizonyos címekre érkező levelet továbbítok felétek, és arra hoztok egy döntést és
a, én valami web-es felületen eldönthetem, hogy menjen tovább, menjen más címre vagy eldobjuk a levelet
b, továbbítjátok valami bejegyzéssel a header-rel ami alapján én magam tudok szabályt kreálni?
Tudom hogy nem ismered a terméket, de hátha van valaki nálatok aki erre tud egy igent/nemet mondani, nekem jelenleg nincs időm sok órát arra fordítani hogy ezt megfejtsem.
Nincs olyan, amit írsz: az EOP működéséhez az MX rekordnak a Microsoftra kell mutatnia.
Áttekintő ábra: https://technet.microsoft.com/en-us/library/jj723119%28v=exchg.150%29.a…
Szerintem ne bonyolítsuk túl. Ha tényleg érdekel, tedd próbára egy maildomainen úgy, hogy annak az MX-ét a Microsofthoz hozod ideiglenesen és szabállyal forwardolsz oda ilyen szemétkupacos leveleket. Nagyon érdekelnének a tapasztalataid.
Üdv,
Marci
Szerintem be lehet állítani úgy is ahogy szeretné. Bár a felhasználásra vonatkozó feltételeket nem találtam meg. :)
Pl. aldomainre beállítani az Exchange Protection thingy MX-ét és az ellenőrzendő leveleket átdobni
(gondolom azt nem nézik, jó szemmel, ha a checkit[at]antivirus.example.org-on keresztül nyomod az összes bejövő levelet :D)
Köszi, ez a link jó. Továbbítom az illetékeseknek.
Vannak fejlemények?
Üdv,
Marci
Áhh, nem ismered Te ezt a céget :)
Még mindig olcsóbb mint a Payload Security bár az valószínűleg ágyúval verébre. :D
tehát POST-olom az ellenőrzendő tartalom hash-ét, és visszakapok egy true/false értéket
azert nezz utana, legalabb alapszinten, hogy mukodnek a virusirtok, es maris erteni fogod, hogy ez igy garantaltan nem fog mukodni.
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
> azert nezz utana, legalabb alapszinten, hogy mukodnek a virusirtok,
> es maris erteni fogod, hogy ez igy garantaltan nem fog mukodni.
Azért nézz utána, legalább alapszinten a VirusTotal működésének, és máris érteni fogod, hogy ez így garantáltan működik. Az ellenőrizendő tartalom hash-ét (SHA256, stb.) kell elküldeni ahhoz, hogy össze tudja vetni a már általa látott malware-mintákkal.
utananeztem: fel kell tolteni a file-t, amit aztan atkerget n db av motoron. Hogy egy hash aligha eleg barmire is, ez konnyen belathato. Gondold meg, hogy van egy (real world) doc file-od valami random sha256 sum-mal. Fertozd meg 5 kulonfele virussal, igy kapsz +5 sha256 sum-ot. Sok sikert, hogy eldontsd, hogy a 6 kozul melyik 5-ben van virus. Mondom, nezz utana, hogy mukodnek az av cuccok. Egy bevett feature, hogy a kerdeses file-t egy virtualis gepben, sandbox-ban, whatever szabadjara engedik, es figyelik, hogy mit csinal. Namost ez (es meg egy csomo masik ellenorzes is) eselytelen egy sha256 sum bemutatasakor. Vagy vegyuk pl. a legprimitivebb, szignatura alapu ellenorzeset: ehhez vegig szkenneli (praktikusan) az egesz file-t, es osszehasonlitja az adatbazisaban levo szignaturakkal. Mukodik ez, ha csak egy hash-t adsz neki? Nem.
Egy hash-nek amugy van ertelme, de nem antivirus, hanem inkabb antispam celokra: annak megallapitasara, hogy hany cimzettnek kuldtek olyan mellekletet, aminek a hash-e ez es ez volt. De antivirus ellenorzesre kb. hasznalhatatlan.
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
Lehet értelme egy hibrid megoldásnak, ami először felküldi a fájlméretet és a hasht. Ha van már eltárolva ilyen minta, azonnal lehet válaszolni a korábbi szkennelési eredményekkel, vagy újra el lehrt végezni a mintán az ellenőrzéseket (jéé, gyanúsan hasonlóan működik a webes felület is.) Ha pedig nem volt találat a méretre és a hash-re, még mindig fel lehet tölteni a fájlt.
ez mar csak optimalizalas, de amit irtam, azon nem valtoztat: egy (ismeretlen) hash-bol nem lehet megallapitani, hogy virus vagy sem...
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
Ott van az OPSWAT, ami ezt tudja. Csak sajnos userenként árazódik...
Lehet még egy verzió a nem szignatúra alapú detekciós megoldások (AKA APT védelemként eladott) használata. Ebből van on-premise doboz, és felhős szolgáltatás is. És a legtöbb nagyobb UTM gyártó dobozához is lehet ilyet integráltan venni. Így azt nem csak SMTP-re, hanem HTTP-re is ültetheted.
Én nem keverném a kettőt. Nem helyettesítik, sokkal inkább kiegészítik egymást. A vírusirtók (és így az OPSWAT) az ismert kártevők ellen jók, azon belül is a vírus jellegűek ellen. Az APT eszközök -bár nagy részük inkább marketing bullshit, mint ténylegesen használható rendszer- az ismeretlen, célzott, leginkább perzisztens támadásokra vannak kihegyezve.
(disclaimer: mi forgalmazzuk az említett OPSWAT-ot és a vezető APT-védelmi gyártót is)
Találkoztunk is már néhányszor :)
Én olyan szempontból reagáltam, hogy a cél a malware védelmi szint növelése amellett, hogy nincsenek high-end követelmények. Ezt ugye meg lehet tenni a motorok számának (és a fals-pozitív eredménynek) növelésével, vagy nem szignatúra alapú detekcióval.
Ismert vs ismeretlen fenyegetés: eltekintve a malware családoktól és heurisztikus detekciótól minden ismeretlennek indul, aztán lesz ismert :) Emellett Ti is tudjátok hogy milyen a hagyományos szignatúra alapú detekció hatékonysága, és sok olyan szignatúra van, amit csak egyszer lát az ember...
Ebben tökéletesen igazad van. Én is megközelítem akkor máshogy: az OPSWAT a vírusirtókhoz hasonlóan inkább a tömegszerű támadások (vírusok, de mostanában leginkább ransomware-ek) ellen a leginkább hatásos, az APT-védelmek pedig a célzott, viszonylag egyedi, de legalábbis kisszériás támadások (és a callbackjeik!) ellen. Természetesen borzalmasan leegyszerűsítve.
(a disclaimer azért kellett, mert nyilvános fórum, és a véleményem értékeléséhez szükséges információ lehet)
Akkor finomítsunk :)
Azzal egyetértek, hogy az OPSWAT szerű megoldások a detekciós szint növelésével (detekciós időablak lerövidítésével) tudja növelni a védelmet. Hiszen attól függően hogy mi hol bukkan fel és ki detektálja először (és a többiek mikor) nagy szórás van.
Az APT védelmek megfogják az általad említett kisszériás/egyedi támadásokat is. De nem csak azt, mivel nem szignatúra alapon dolgoznak, hanem a "viselkedést" elemzik. És pl. egy jó kis ransomware is produkál olyan jeleket, ami miatt sikítanak. Ha nem így lenne, akkor furcsa is lenne. Emellett nem csak a kifinomult támadások, hanem mostanság már a mainstream malware is a dropper/callback/payload download irányba mozdul. De C&C kommunikációja minimum van :)
agreed.
1. SUB.
2. Nem a felismeréssel van a baj, hanem az időtényezővel. Javaslom az összes állomány rendszeres ellenőrzését több vírusirtóval és visszakövethetőséggel, mondjuk a levelezőkiszolgáló teljese tartalmának rendszeres ellenőrzését javaslom.