- 845 megtekintés
Hozzászólások
Bármelyik gyártónál előfordulhat ilyen.
De ezért jobb ha: "cipőt a cipőboltból" -> secu. megoldást secu. gyártótól választunk.
- A hozzászóláshoz be kell jelentkezni
Mert a secu gyártók termékei hibátlanok.
- A hozzászóláshoz be kell jelentkezni
Nem azok, de nálunk a cégnél külön víruskergető van, azokkal nem volt gond, otthon sem jelentkezett, pedig Defender van csak, Origónak meg a Tech részét is kétségekkel kell fogadni...
Amúgy gyártótól függetlenül nem hiába vannak még mindig whitelist-ek a különböző víruskergetőkben, ha valami lassan fut, érdemes megvizsgálni, ne rakjuk-e kivételek közé (mondjuk a Wordot/Outlookot pont ne rakjuk :D, de pl, ha van olyan hülye a víruskergető, hogy vegzálja a PST/OST-ket, bár azért ezt nem hiszem, azt pl fel lehet venni kivételnek a fájlrendszer vizsgálatnál).
Na pl a Defendert pont kezdhetnélk átírni Rust-ban, hátha javítana rajta, vagy máshogy lenne szar :D
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
Nálunk a Sophos minden évben megajándékozott bennünket egy-egy beengedett féreggel, amit egyébként a lenézett defender is megfogott volna.
Most nincs sophos, várjuk a defender hibáit :) (mert mindben van hiba)
- A hozzászóláshoz be kell jelentkezni
Ezt senki nem mondta, sőt...
Ami a nagy különbség szerintem, hogy a secu gyártóknál erről szól a "business" és legalább értenek is hozzá valamelyest, invesztálnak a kutatásba és nem fél - 1 év késéssel a piacon lévő kipróbált dolgokból 1-2 feature-t kimazsolázva, lebutítva "piacra dobnak" valamit, ami a legnagyobb jóindulattal sem nevezhető megoldásnak és legtöbbször valamilyen bundle-ban kitolva ráerőltetnek az ügyfelekre, hogy jó lesz az nektek, "ingyé'" van.
A "szuperül" megírt OS-ükhöz akarnak egy újabb bőrként a "javítási, biztonságnövelő" tool-okat eladni, csak nem mindig sikerül elsőre (meg néha másodikra sem) használhatóra...ahelyett hogy az OS-t fejlesztenék gőzerővel, hogy egyre kevesebb sérülékenység legyen benne by default.
Mindeközben a secu gyártókat ott szivatják ahol tudják, zárt interfacek, csak "hivatalos" kiadás után elérhető verziók, dokumentációk nekik is. Van 0 napjuk igazítani a kódot...
- A hozzászóláshoz be kell jelentkezni
aslr, dep és társai, security reference monitor, uac, vbs és vtl-ek, object integrity szintek (uipi), control flow guard, win32k szegregáció, konzol menedzsment, protected processzek/light, konténerek, kernel patch protection, credentinal/device guard-ok, amsi interface, soroljam? Ennyit a "szuperül" megírt OS-ről.
A defender atp amúgy egy jó megoldás, nem tudom milyen "secu gyártók" azok, akik "valamelyest" értenek hozzá.
- A hozzászóláshoz be kell jelentkezni
Én még a signature alapú bináris whitelist-et (AppLocker) ide tenném, nem tudom, hogy ezt pl. Linux alatt hogyan lehet megoldani.
- A hozzászóláshoz be kell jelentkezni
~20 éve kernelszinten támogatott:
https://www.kernel.org/doc/html/latest/security/digsig.html
http://www.usenix.org/event/lisa04/tech/full_papers/apvrille/apvrille.pdf
http://github.com/digsig-ng/linux-digsig
- A hozzászóláshoz be kell jelentkezni
Keress rá - nem akarok konkrét termékeket írni, de van ahol Application and Change Control néven fut több mint 10 éve Linux-ra is.
Nem az MS találta fel az Applocker-rel, még ha úgy is állítják be néha.
- A hozzászóláshoz be kell jelentkezni
Az Applockert az MSFT találta fel. Csak az alapjáúl szolgáló technikát nem ;)
- A hozzászóláshoz be kell jelentkezni
Én is ezt írtam szó szerint, hogy az Applocker-rel nem az MS találta fel a application controll-t, csak 10 évvel a piac után kihozta saját néven a technológiát. Ugyan nem tökéletes, de már van sajátjuk.
- A hozzászóláshoz be kell jelentkezni
Ja, én is pont ezekről beszélek.
Marketing anyagban igen jól működnek, a harcmezőn már nem annyira, tele vannak sérülékenységekkel és nagyvállalati környezetben management szempontból (kivételkezelés, customizálás, integrálhatóság, Segregation_of_Duties,...) egy rémálom. De van ahol ez pont elég, lehet pipálni a secu-t.
- A hozzászóláshoz be kell jelentkezni
Világos. Akkor melyik a szuperül megírt OS?
- A hozzászóláshoz be kell jelentkezni
Lehet félreérhető volt amit írtam.
Azt gondolom, hogy azt az energiát, amit félkész, fáziskéséses, "light" funkcionalitású secu modulok fejlesztésésre fordítanak, hasznosabb lenne, ha az alap OS funkcióba tennék és a secu fejlesztők ezeket néznék át release előtt inkább, hogy pl ne kelljen a credential kezelést egy belső virtuális gépben futtatni, hogy "biztonságos" legyen.
Ha így tennének, akkor az ő OS-ük lenne a szuperül megírt.... :-)
De ezért ugye nem lehet plusz pénzt kérni, az E5 csomagért meg igen. És mivel bundle-be összerakják 1-2 alap, az OS-ból hiányzó, de az operációt megkönnyítő dolgokkal, sok cég ha már megveszi, akkor rátolják őket a secu modulokra is, mert a vezetőséget megmajmolják, hogy ha már kifizetted csomagban, miért használnál mást? - "Good enough" a szlogen.
Így bármilyen, 3rd party, full funkcionalitású secu cucc árát a 0-val kell összehasonlítani...ami persze nem igaz, de így is lehet olvasni....erre iram, hogy "ingyé'" van.
+ ha minden ilyen plusz dolog szuperül működne is felvetne szegregációs kérdéseket, mert nem lehet az IT adminisztrációt vegytisztán szétválasztani a securitytől. Nem a devsecops-ra gondolok, hanem vannak összeférhetetlen kontrollok, amik nem érnek sokat ha 1 kézben vannak, (insider threat kezelés pl.) Ilyen szempontból is érdemes körbejárni kicsit - globalizáció az IT ban :-)
- A hozzászóláshoz be kell jelentkezni
A vindóz biztonságáról annyit tudok elmondani, hogy volt egyszer egy nagy teszt, ahol windwos xp, vista, 7, 8, vállalati és home "terepen" össze lettek mérve a víruskergetők és a defender/security essential a hét teszten hatszor utolsó lett, egyszer utolsó előtti: http://bgafc.t-hosting.hu/bvk.php?m=0&o=9625&c=1
Meg még annyit, hogy a letöltött vírust nyugodtan hagyja futtatni, de az én homebrew programomat kérdés nélkül letörli, mielőtt elindíthatnám (security essential), vagy blokkolja az indítását (smartscreen): http://bgafc.t-hosting.hu/bvk.php?m=0&o=11662&c=1, http://bgafc.t-hosting.hu/bvk.php?m=0&o=17277&c=1
- A hozzászóláshoz be kell jelentkezni
Microsoft is fejlesztőcsapatokat tart fent a Defender fejlesztésére (ami egyébként csak részben ingyenes), konkrétan már komplexebb a termékük, mint a nagy gyártók egy részének - csak nem feltétlenül ide építik be az új funkcionalitást, hanem az Azure-be (Defender for Cloud pl.) és GitHub-ba.
De egymástól is vesznek funkciókat és tényleg nem tökéletes egyik sem.
Defender ATP for Linux egyelőre nem támogatja a Docker Layer FS szkennelését, az említett Sophos amióta átállt a Capsule8 engine-re, nincs pattern alapú keresés - tehát egy szimpla EICAR-al nem tudod tesztelni a működését.
- A hozzászóláshoz be kell jelentkezni
Secu gyartoktol is csak olyan programot, ami nem akar mindent IS csinalni: https://bugs.chromium.org/p/project-zero/issues/detail?id=704&redir=1
- A hozzászóláshoz be kell jelentkezni
Guglin nekem is csak régi cikkek jönnek elő...
Színes vászon, színes vászon, fúj!
Kérem a Fiátot..
- A hozzászóláshoz be kell jelentkezni
Ott van a cikkben a forrás: https://borncity.com/win/2022/04/30/defender-for-endpoint-verursacht-probleme-bei-windows-10-20h2-clients-26-april-2022/
Egyet kellett volna kattintani hozzá...
- A hozzászóláshoz be kell jelentkezni