191 ответов в этой теме

[riaman]

 

И это "большое" преимущество заключается в возможности убивать уже убитых сусликов.

Почему уже убитых? Вроде именно ещё не убитых и не известных. Они то и начинают убиваться, когда уже на нескольких машинах навредили. Или это не так работает? 

[VVS]

 

 

В чем кайф то? Что один и тот же шифровальщик-неудачник будет палиться не только эвристиком, но еще и облаком?

То, что KSN позволяет пристрелить уже убитого суслика  - не велика ценность. Реальной пользы то - ноль. Это вообще на "технологию" не тянет, а вот с маркетингом тут все нормально.

 

В том, что благодаря этому устаревшие версии антивируса тоже будут палить суслика, ведь они тоже используют KSN.

 

А что, в Каспере лицензия действительна только на конкретную версию?

[VVS]

 

 

И это "большое" преимущество заключается в возможности убивать уже убитых сусликов.

Почему уже убитых? Вроде именно ещё не убитых и не известных. Они то и начинают убиваться, когда уже на нескольких машинах навредили. Или это не так работает? 

 

Судя по тому, что несколькими постами выше написал mike 1, ситуация выглядит так:

Если на нескольких компах суслика пристрелила эвристика, то на остальных компах этот же суслик будет пристреливаться уже не эвристикой, а с помощью облака.

[SergSG]

 

 

Из того, что я прочитал про KSN в блоге Касперского - очень интересная технология и помогает собирать анализировать много информации. Как я понял, она начинает работать, когда вирус уже распространяется и когда несколько (может 100, может 1000) компьютеров уже столкнулись с угрозой. То есть это эвристик, работающий на основе данных с многих компов и направленный на ранее выявление и предотвращение распространения новой угрозы (хотя и с неким запозданием).

Не более, чем набор красивых слов. Бессмысленных по сути.

 

Почему бессмысленных? Потому что я не правильно что-то написал, или потому что, вы знаете что KSN бессмысленная технология?

 

Да нет, вы правильно написали, с точки зрения того, что преподносят об этой "технологии". Только все намного скромнее. Подумайте сами - если АВ задетектил чем то суслика, ему облако уже не нужно, а если пропустил, ему облако уже не поможет, оно даже не узнает об этом.

 

Нет, я не хочу сказать, что облако совсем бесполезно:

- оно может помочь оперативно, не дожидаясь очередного апдейта баз, который может быть раз в сутки и реже, блокировать недетектируемые ни чем вирусы, как было у некоторых вендоров с Петей, например;

- оно может помочь блокировать суслика, если юзер поотключал эвристики или использует антикварные версии продукта;

- оно может слегка ускорить проверку, проверяя часть файлов по хешу у себя;

- оно может собирать статистику использования АВ, его настроек и действий, типа телеметрии. Полезно для разработчиков.

Вот, пожалуй, и все его основные функции. Только это может любое облако, любого вендора. Преподносить его как нечто супер ноу-хау, не очень честно, на мой взгляд. Хотя, конечно, я понимаю, что бизнес и честность вместе существовать не могут в принципе.

[SergSG]

 

И это "большое" преимущество заключается в возможности убивать уже убитых сусликов.

Почему уже убитых? Вроде именно ещё не убитых и не известных. Они то и начинают убиваться, когда уже на нескольких машинах навредили. Или это не так работает? 

Неизвестные, они и есть неизвестные. И облако о них так же ничего не знает и знать не может, если только на нем не сидит сам Гоподь. Остальное описал VVS 833802.

[riaman]

Судя по тому, что несколькими постами выше написал mike 1, ситуация выглядит так:

 

Если на нескольких компах суслика пристрелила эвристика, то на остальных компах этот же суслик будет пристреливаться уже не эвристикой, а с помощью облака.

 

mike 1  не верно написал. Вот цитата отсюда https://eugene.kaspersky.ru/2016/09/26/len-kiberbezopasnost-i-mashinnoe-obuchenie/

 

Сейчас у нас 99,9% киберугроз анализируется инфраструктурными алгоритмами с использованием машинного обучения. Между выявлением подозрительного поведения на защищённом устройстве и выпуском «таблетки» в среднем проходит всего 10 минут. Если, конечно, мы не отловили негодяя автономной проактивной защитой (например, автоматической защитой от эксплойтов).

 

То есть KSN работает до эвристика и именно с привлечением данных с других компьютеров. По мне KSN так же помогает избежать ложных срабатываний на подозрительные файлы.

[VVS]

riaman, если убрать рекламную шелуху из процитированного Вами (инфраструктурные алгоритмы... машинное обучение...) то получится именно то, что писал mike 1 - для того, чтобы KSN начал что-то определять, требуется выявление подозрительного поведения на защищённом устройстве, т.е. работа эвристики.

Таким образом, если на локальных компьютерах эвристика не определит это подозрительное поведение, то KSN ничем помочь не сможет.

[eco]

А что, в Каспере лицензия действительна только на конкретную версию?

Нет. Она действует по правилу -1 +3 версии. Т.е. если лицензия например на версию 2015, то ей можно активировать: 2014, 2015, 2016, 2017 и 2018 версии.

На 2019 она уже не подойдет.

Сообщение было изменено eco: 04 Август 2017 - 11:49

[Black_SOKOL]

Тестировал касперского бесплатного, так вот там проактивки нет, так, вот фаил не детектился, хотя он является трояном, так, вот через день начал детектироваться как UDS:dangerousObject.Multi.Generic, это говорит, о том, что здесь работает облако, проверив эвристика антивируса молчит. Вывод антивирус неизвестные файлы отправляет в облако где, их анализирует, также действует немецкий антивирус Avira (Avira Protection Cloud).

[VVS]

Black_SOKOL, вывод - на других компах, на которых есть проактивка, он детектировался => этот детект попал в облако => стал детектиться и у Вас.

[SergSG]

Блин, насколько эффективно ленкомовские маркетологи работают! Фантастика! Самое обычное облако, а как всех обули.

Сообщение было изменено SergSG: 04 Август 2017 - 14:29

[WSK]

Тестировал касперского бесплатного, так вот там проактивки нет, так, вот фаил не детектился, хотя он является трояном, так, вот через день начал детектироваться как UDS:dangerousObject.Multi.Generic, это говорит, о том, что здесь работает облако, проверив эвристика антивируса молчит. Вывод антивирус неизвестные файлы отправляет в облако где, их анализирует, также действует немецкий антивирус Avira (Avira Protection Cloud).

Касперский никуда никакие файлы не отправляет. KSN работает только с метаданными. https://blog.kaspersky.ru/ksn/1572/

[VVS]

Блин, насколько эффективно ленкомовские маркетологи работают! Фантастика! Самое обычное облако, а как всех обули.

Завидно?

Мне - таки да.

[Black_SOKOL]

 

Black_SOKOL, on 04 Aug 2017 - 12:30, said:

Тестировал касперского бесплатного, так вот там проактивки нет, так, вот фаил не детектился, хотя он является трояном, так, вот через день начал детектироваться как UDS:dangerousObject.Multi.Generic, это говорит, о том, что здесь работает облако, проверив эвристика антивируса молчит. Вывод антивирус неизвестные файлы отправляет в облако где, их анализирует, также действует немецкий антивирус Avira (Avira Protection Cloud).

Касперский никуда никакие файлы не отправляет. KSN работает только с метаданными. https://blog.kaspersky.ru/ksn/1572/

Списался с ними, так выяснил, информация о файлах, которая отправляется, специальные роботы ищут в помойке по хешам и другим характеристикам и эти файлы загружают и анализируют.

[VVS]

Black_SOKOL, а какое это имеет отношение к облаку?

[Black_SOKOL]

Так работает KSN, получает информацию о  неизвестном файле, ну а дальше процесс, который было описано выше

 

информация о файлах, которая отправляется в облако, специальные роботы ищут в помойке по хешам и другим характеристикам и эти файлы загружают и анализируют.

это конечно по словам разработчиков.

[VVS]

У Доктора специальные роботы тоже ищут по помойкам... загружают и анализируют...

[Konstantin Yudin]

у меня вопрос, то что сейчас ЛК реализовывает в 2019 версии не то же, что в вебе уже реализовано? см. скрины.

Это уже давно есть. Занимается отловом все тот же модуль "Мониторинг активности", а вот в вебе что-то похожее появилось с 9 версии.

amsi появился в windows 10 как часть апи самой ос, ни какого давно и 9 версии тут быть не может.

Сообщение было изменено Konstantin Yudin: 05 Август 2017 - 11:54

[Konstantin Yudin]

У Доктора специальные роботы тоже ищут по помойкам... загружают и анализируют...

много тут написали. идея то простая как бревно. у всех уже давно роботы фигачат сигнатуры в том числе и по поведению, нужно лишь ускорить доставку детекта туда-обратно, это и есть облака. которые облаками не являются по сути. все вендоры при необходимости могут скачать файл и каспер помнится тут не исключение.

[Black_SOKOL]

Константин, с вами согласен. У вас конечно вручную обрабатывают, но вы справляетесь. Да у каспера раздуто самомнение. Да и частенько шифровальщики одного семейства, но с микроизменениями в штамме, он уже с трудом видит, как и любой другой антивирус. 

Сообщение было изменено Black_SOKOL: 05 Август 2017 - 12:52