126 ответов в этой теме

[RomaNNN]

Из ваших слов вытекает следуещее"Обильная отправка левых файлов" из карантина перед этим предпологает "обильное попадание этих левых файлов" в карантин.Что в свою очередь подразумевает "обильный левый детект". Такое бывает у многих АВ, но у Доктора это было проверить проще чем у некторых других.

Неверное умозаключение. Левые - не значит ложные. Проблема в том, что юзеры начинают отправлять как ложняки всякую адварь, считая что их любимый mediaget или другая программа, которую устанавливают в большинстве случаев при помощи агрессивных приемов, белая и пушистая. И это заваливает вирлаб.

[АВаТар]

И это заваливает вирлаб.

Значит, надо включить (встроить, сделать, купить,...) защиту от спама. Польза от этого должна быть по любому. Затраты, правда, могут быть значимые. Это уже вопросы администрирования... на форуме, само собой, не решаемые, а только задаваемые.

[VVS]

АВаТар, при чём здесь защита от спама?

Вы предлагаете на входе в вирлаб поставить защиту от спама?

5 баллов!!!

[АВаТар]

VVS, Это была аллегория. Вы поняли меня буквально.

 

Можно было бы использовать другое слово, например, DoS/DDoS. Или, вот в 90-х, когда Интернет был ~24 Кбит, и стоил 100 руб/час, и з/п была в районе 1000 руб, было понятие "почтовая бомба", когда тебе присылали "письмо" такого объёма, что одна только его доставка блокировала всю остальную почту. Так человек "попадал на деньги", либо "выпадал из общения". Потом эта проблема решилась чисто технически. Но история с "забиванием" информационных каналов повторяется на новом уровне.

 

Но по сути, всё это - "нежелательный запрос". Именно из-за того, что он стал нежелателен, эту возможность (отправку файла из Карантина на рассмотрение в вирлаб) отключили. А стал он нежелателен - из-за превышения потока с возможностью с ним справиться. Задачу "справиться с превышающим потоком" - в наших реалиях лучше всего решить автоматизированной защитой, отсекающей дубли "на подлёте", и устанавливаемой на границах периметра. В мире такой опыт, безусловно, имеется. Осталось только дождаться, когда он придёт в наши края.

 

Пусть специалисты по защите меня поправят, если я что-то не то сказал.

 

ЗЫ. К недостаткам интерфейса это уже не относится. Это более серьёзный недостаток - в функционировании обратной связи.

Сообщение было изменено АВаТар: 08 Март 2017 - 21:06

[VVS]

АВаТар, если пользователь отправил файл в категорию "ложное срабатывание", то этот файл должен обработать аналитик вручную, ибо робот в такой ситуации неприменим.

Речь ведь о том, что посылаются файлы, которые действительно являются вирусами...

[RomaNNN]

АВаТар, дело не в том, что забивается канал, а в том, что его надо вручную смотреть аналитикам. А это отнимает время.

[Ky3bkuHaM@Tb]

Вот о адвари которую люди считают чистой и отправляют об этом сообщения в вирлаб я не учел.Пардон.В таких случаях время действительно на проверку аналитиком тратится, но можно же как нибудь опознавать(по хэшу и т.д) этот файл(уже проверенный аналитиком ранее) и просто отсеивать его до попадания к аналитику.Или это и так делается, но этого недостаточно для оптимизации времени затрачиваемым аналитиком на это дело?

[АВаТар]

VVS, RomaNNN,

этот файл должен обработать аналитик вручную

его надо вручную смотреть аналитикам

Под всем процитированным, я как раз и имел в виду "забитый канал".

 

"Запрос юзера -> Аналитик / Робот -> Решение -> Воздействие -> Получение юзером актуальных изменений/исправлений" - чем не канал?

 

Как мы знаем, робот может легко справиться с рутинной работой (которая здесь есть, несмотря на присутствие аналитиков). Пусть возьмёт работу на себя по максимуму, а не только новости рассылает! Короче, тут есть место для творчества юных старых опытных роботехников.

[VVS]

Робот уже взял рутинную работу на себя:

Спасибо за присланный файл, но он уже есть в нашей базе.

До свидания!

 

Рассмотрение ложного срабатывания по определению не является рутинной операцией.

[АВаТар]

Ну, ложное срабатывание, рано или поздно, всё равно придётся рассмотреть (но лучше - рано).

 

Естественно, тут можно оптимизировать только дубли по присланным, имеющимся файлам в некоторой базе файлов со своими вердиктами. (Кстати, не о ней ли идёт речь в вышеприведённой цитате "он уже есть в нашей базе"?) Если присланный файл - не дубль (т.е. - уникальный, либо первый раз попавший в лапы Dr.Web), то его надо рассмотреть аналитику. Повторные рассмотрения уже проанализированных файлов ранее - не чаще раз в год, месяц, неделю, день - выбрать по желанию. При внесении изменений в антивирусные базы - обязательно проверять новые изменения на ложные срабатывания по чистым файлам в имеющейся базе файлов. Ну и не выпускать такие изменения, естественно.

 

Возможно, из-за отсутствия последнего пункта в графике текущих работ в компании по обновлению антивирусных баз, на аналитиков (и не только) наваливается дополнительная работа. Всё-таки, там объёмы данных - внушительные, чуть ли не все программы, выпущенные в мире. Это очень серьёзный объём - и данных, и работы над ними. Да и аналитикам труднее находить устраивающие все чистые файлы, решения. Зато результат качественнее.

 

Возможно, я ошибаюсь в своём видении реального положения дел. У меня нет реальных данных. Есть лишь косвенные наблюдения со стороны. Вижу, как некоторые функции включают, потом почему-то отключают, и тому подобное... Конечно, получаются рассуждения дилетанта, я не спорю. Просто в основе моих побуждений лежит желание получить улучшенную версию перспективно неплохого продукта, который будет трудиться не только у меня.

[VVS]

Ну, ложное срабатывание, рано или поздно, всё равно придётся рассмотреть (но лучше - рано).

Вот именно для того, чтобы это было рано, а не поздно, данный пункт из интерфейса и убран.

[АВаТар]

Принимая во внимание всю аргументацию VVS (и не только), остаётся непонятным один маленький вопрос. Почему же опция отправки файлов из Карантина заваливает работу аналитиков? Вроде бы у нас есть ответ:

Проблема в том, что юзеры начинают отправлять как ложняки всякую адварь, считая что их любимый mediaget или другая программа, которую устанавливают в большинстве случаев при помощи агрессивных приемов, белая и пушистая. И это заваливает вирлаб.

 

Тут меня удивляет вот что: а что заставляет вирлаб проверять им уже проверенное?! Пусть робот продолжает выдавать отправляющим файлы из Карантина известный вердикт вирлаба, и на этом всё. Злостных "спамеров" можно игнорировать / блокировать по желанию. А лучше ввести какое-то разумное ограничение на частоту отправки файлов из Карантина. И как я уже говорил, повторное рассмотрение одного и того же файла в вирлабе - делать "по желанию", какие проблемы?

 

Итак, какие остаются аргументы против отправки файлов из Карантина?

[VVS]

Тут меня удивляет вот что: а что заставляет вирлаб проверять им уже проверенное?!

Не что, а кто - пользователь, который отправил из карантина вирусный файл, заявив, что это не вирус, а ложное срабатывание.
 

Пусть робот продолжает выдавать отправляющим файлы из Карантина известный вердикт вирлаба, и на этом всё.

OK, т.е. оставляем пользователю возможность отправлять файлы из карантина, но отправленное пользователем обрабатывать перестаём.
Снова 5 баллов!!!
 

Итак, какие остаются аргументы против отправки файлов из Карантина?

Те же самые, которые и были.

[riaman]

Выскажусь и я... Конечно, функция отправки файла на анализ из карантина - удобная функция. Но я понимаю, что наличие этой функции добавляет работы... Да ещё тут предлагают дополнительно вводить автоматизацию, делать какие-то новые схемы и программы обработки. Всё это дополнительные затраты, да и нужно ли?

 

Приведу пример из ситуации, которая у нас сложилась на фирме. Раньше у нас взаимодействие между отделами и с заказчиками часто строилось на словесном общении. Мол тут что-то сделано не так, переделайте... здесь не работает..., а это нам удобно и т.п. И зачастую люди, обращаясь с такими вопросами, даже и не читают руководства пользователя, инструкции, не могут даже чётко сказать, что им надо и т.п. А теперь у нас на фирме другая политика...Все "хотелки" и замечания желательно оформлять через служебные записки (иначе я могу спокойно отказать им в их просьбе). И теперь поток задач снизился, люди прежде чем идти, подумают, почитают проектную документацию, ТЗ, посмотрят инструкцию (может нужная им опция уже есть), более чётко сформулируют задачу. 

 

Вот и отправка файла из веб-формы на сайте доктор веба - это что-то похожее на "служебную записку". Это сложнее, чем бездумно нажать кнопку, и заставляет хоть чуть-чуть напрячься (включить голову)...

[АВаТар]

OK, т.е. оставляем пользователю возможность отправлять файлы из карантина, но отправленное пользователем обрабатывать перестаём.

Именно так! 5+!

Файл, ведь, не изменился, и он есть в базе проверенных файлов. Так что, зачем его проверять ещё раз?    

 

Только надо добавить, что пользователю отправляется уведомление о том, что это "окончательный вердикт", пересмотр дела может быть возобновлён по вашему новому запросу через год, или никогда.

 

сложнее, чем бездумно нажать кнопку, и заставляет хоть чуть-чуть напрячься (включить голову)...

На действия автомата (пользователь без головы) - пусть отвечает настоящий автомат. Человек (аналитик), ему (и всем, вообще-то) уже ответил (1 раз занеся данные в базу файлов) тем, что "присланный файл был проверен на все 100% N-адцатого числа, месяца и года, и был признан (далее идут варианты)...

- ЧИСТЫМ. В Карантине ему делать нечего.

- ВРЕДНЫМ. Пусть полежит в Карантине. А лучше - удалите его.

Такое сообщение рассылает робот всем, кто присылает файл, находящийся в базе проверенных файлов.

 

--- Другой вариант ---

Файла нет в базе проверенных файлов, но его (КС известна) шлют на анализ в неимоверном количестве.

 

Что тут надо сделать? - Правильно,

1) файл взять на хранение для проверки,

2) проверить его (1 раз!), и

3) внести в базу проверенных файлов с вердиктом.

Далее, пустьРобот ответит всем по существу запроса.

 

В С Ё !

[АВаТар]

Да, забыл добавить, что я описал простой случай, когда поставлен "окончательный диагноз".

 

Но бывают сложные случаи, когда ситуация неясная. В таких случаях файл тоже должен находиться в базе, но с другим вердиктом - "подозрительный (какой-то)". Отписка Роботом будет такая: "Мы исследуем этот файл. Спасибо за сотрудничество." (Это будет правда.) При переводе этого файла в категорию "установлен окончательный диагноз" - можно Дать задание Роботу разослать всем заинтересованным лицам "окончательный диагноз".

 

Возможно, будут происходить и случаи перевода "чистый" -> "подозрительный", либо "вредный" -> "подозрительный". Возможно, даже в таком редком случае, Робот мог бы что-то сообщить (кому-то?) об этом.

 

ЗЫ2. Про неимоверно большую базу (недо-)проверенных файлов, и про гигантские проблемы с ними, я уже писал ранее. Возможно, игра стоит свеч.

[VVS]

Угу...

И заставляем аналитиков перепроверять кучу файлов, правильный диагноз по которым уже выставил робот (но аналитики вручную его не проверяли).

[АВаТар]

VVS, Я этого не говорил. Жаль, что вы меня так поняли.

 

Повторюсь, заставлять аналитиков перепроверять кучу файлов - никто не собирается. Пусть работают неспешно, в удовольствие себе, на пользу нам (пользователям).

 

А вот правильный диагноз, или нет (по файлу) - это неизвестно, пока аналитик не посмотрит этот файл. А уж когда он его посмотрит - это под его ответственность, на его усмотрение. У него и опыта в таких делах больше, чем у нас вместе взятых. . Робот не может выставить правильный диагноз - он просто работает по указаниям человека-аналитика (извините, ваш кэп).

 

Так что, не надо командовать аналитику, чем ему заниматься - ему всегда есть, чем заниматься. Аналитик лучше нас знает про свои задачи и цели... И у него есть своя система приоритетов, не связанная - ни с моими, ни с вашими представлениями об этом деле.

 

Моё предложение, оформленное в предыдущих постах, поставит больше автоматики на службу общему делу. А освободить аналитика от (излишней?) работы - это его начальник на раз может сделать (надеюсь, не будет ).

 

Короче, пусть уж какой-нибудь настоящий аналитик внесёт ясность в эту дискуссию. Если у него время на это найдётся, конечно. Мне пока, больше сказать, вроде бы, нечего.

[Nenya Amo]

Да ладно Вам фантазировать , всё там впорядке , давно автоматизировано , и по хэшу файл проверяется , наверное.

[АВаТар]

Nenya Amo, А не у вас ли фантазии? Откуда тогда такое количество ложняков, и некая боязнь того, что аналитиков засыпят файлами? Не от того ли, что базы (недо-)проверенных файлов нету? По факту, непроверенных аналитиками файлов, в природе - гораздо больше проверенных. Так что они уже успешно засыпаны ими. Только они об этом ещё не знают.

Сообщение было изменено АВаТар: 11 Март 2017 - 07:05