B
ID:568590497
И то сначала проверить, может ваш антивирус уже ловит те же инжекты к lsass)
Очевидно
Size: a a a
2018 May 20
B
А вот когда вызывает предправления и спрашивает что мы сделали и проверили ли все на прошумевший вчера на РБК ваннакрай - нужны более простые и конкретные методы
B
Антивирусы не панацея
NK
А вот когда вызывает предправления и спрашивает что мы сделали и проверили ли все на прошумевший вчера на РБК ваннакрай - нужны более простые и конкретные методы
Странный пример :) т.е вы начали руками впиливать названия вируса в сием чтоб проверить ? Все то того чтобы обновить базы АВ. Все сигнатуры уже там были через пару тройку часов. Проще обновить базы ав и прогнать им сетку .
NK
Все то = вместо
NK
Опечатка
NK
Для коммерческих сок не спорю чтоб повысить привлекательность можно для красного слова говорить . А мы ванна край , дуку и стакснет ловим своими уникальными методами.
ВД
Вставлю свои пять копеек про уникальные методы. С тезисом "каждый должен заниматься своим делом, а антивирусы ловить вирусы" согласен даже не на 100, а на 200 процентов. Но есть всегда пара нюансов.
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
Z
В Д
Вставлю свои пять копеек про уникальные методы. С тезисом "каждый должен заниматься своим делом, а антивирусы ловить вирусы" согласен даже не на 100, а на 200 процентов. Но есть всегда пара нюансов.
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
+++++
Z
ав не панацея, ругаюсь с лк
NK
В Д
Вставлю свои пять копеек про уникальные методы. С тезисом "каждый должен заниматься своим делом, а антивирусы ловить вирусы" согласен даже не на 100, а на 200 процентов. Но есть всегда пара нюансов.
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
1. Почти не в одном инфраструктуры не видел 100% покрытия антивирусом АРМ. И даже не касаясь серверного сегмента, где всегда война с ИТ за быстродействие, сбои, совместимость и т.д. Целевые показатели покрытия АРМ обычно около 98%. Делаем простую калькуляцию на 5к сотрудников и получаем 100 АРМ без антивируса. Стоит ли играть с законом Мерфи или лучше хотя бы c&c сервера завести на мониторинг в сетевых потоках? Каждый сам делает выбор
2. Антивирусы ловят зачастую конкретные сэмплы, а не угрозы. Любого реверсера можно спросить сколько времени нужно чтобы из пойманного вируса сделать не пойманный. Цифры пугают. Поэтому и требуется страховать эту ситуацию сигнатурами своими или анализом логов, когда ситуация совсем неприятная
3. Не все угрозы попадают в сигнатуры. Иногда это ограничение действующего расследования (но они могут быть в фидах и APT репортах), иногда просто вируса нет, а атака есть, как было с Silence.
В каждой ситуации и у каждой компании - свой ответ
2п. Про это и речь. Смысла большого нет вбивать конкретные сэмплы (имена) Этих имён и сэмплов по 1000 новых каждый день. лучше сосредоточится на поведенческом анализе
NK
Если доросли до сок то оно должно ловить апт на которых нет сигнатур av ids
Z
дело даже не в семплах, в крипторах и не великих способностях проактивки
Z
в глюках самих ав, у меня вот 2 недели назад ав покосил ексель документы на 15 хостах.
Z
просто потому что глюкнул
NK
дело даже не в семплах, в крипторах и не великих способностях проактивки
С другой стороны та самая машинная эвристика у АВ, тоже делает своё дело. Например детект перехвата клавы, можно конечно сваливать на людей аналитиков, а можно доверить эвристики AV.)
NK
Завтра идею проаерю, будет ли ав ловить перекриптованный мимикадз, чисто за счёт детекта инжекта )
Z
ID:568590497
Завтра идею проаерю, будет ли ав ловить перекриптованный мимикадз, чисто за счёт детекта инжекта )
нет
Z
😂😂
ВД
нет
Подтверждаем со своей стороны :)