楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
驭龙
发表于 2017-11-25 15:50:59 | 显示全部楼层
wangkaka 发表于 2017-11-25 15:44
除了那个俄罗斯的勒索BadRabbit和另一个会部分加密(但加密的也不多,就10几个文件),其他完美防御了。 ...

那你这测试并不能代表SONAR强了,现在大多数的勒索没有网络是不进行加密的,所以无法断定SONAR是否能抵御加密,而且有的勒索需要梯子才能发挥威力
wangkaka
发表于 2017-11-25 15:53:38 | 显示全部楼层
驭龙 发表于 2017-11-25 15:50
那你这测试并不能代表SONAR强了,现在大多数的勒索没有网络是不进行加密的,所以无法断定SONAR是否能抵御 ...

诺顿拉黑太快了,联网基本信誉云全拉黑了。。不过基本诺顿各个防御都正常的话,勒索一般也进不来。只不过在我这误杀太严重,不敢用他,还是eset低误报的用的舒服。。
驭龙
发表于 2017-11-25 15:58:35 | 显示全部楼层
wangkaka 发表于 2017-11-25 15:53
诺顿拉黑太快了,联网基本信誉云全拉黑了。。不过基本诺顿各个防御都正常的话,勒索一般也进不来。只不过 ...

所以说测试SONAR需要最新鲜的样本,不好测,但是之前确实是有SONAR无能为力的时候,不过智能主防中SONAR已经很强大了,毋庸置疑
wangkaka
发表于 2017-11-25 16:12:41 | 显示全部楼层
68221281 发表于 2017-11-25 15:45
SONAR现在还有离线规则,不是早就云化了吗?

不是全部云化。。
cloud01
头像被屏蔽
发表于 2017-11-25 16:44:02 | 显示全部楼层
欧阳宣 发表于 2017-11-25 14:59
你又觉得自己不懂哪个是高危,别人帮你判断;又觉得自己知道哪个是高危,要自己搞规则,喜欢矛盾的是你。 ...

我又不想跟你诡辩,我现在搞规则不就是因为没有更多内置规则吗?这个么简单的道理,他要有了高危调用询问,我还懒得搞规则呢。
PanzerVIIIMaus
发表于 2017-11-25 20:32:46 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2017-11-25 20:38 编辑
cloud01 发表于 2017-11-25 11:01
对,所以要求ESET对高危调用规则内置规则,至少可以看出来调用的具体在干嘛。

我无意冒犯,然而看到这里我的确笑了,如果不会手动搞定的话,感觉可以滚去火绒一类的了,设置内置成吨懒人规则觉得哪个高危就选上嫌弱就搞搭配,潜在冲突?影响性能?降低体验?抱歉,你到这里讲了这么多就没看见你怎么强调这些东西这样一来就能理解ESET在某个方面上是个什么样的设计思路然后闭上嘴巴,或者如此口才自己去和ESET的工程师们谈笑风生而不是在这里讲那么一堆却没改变自己不会弄太多好使的规则而ESET也“没什么你所期望的改进”的现实——你还是要闭上嘴巴
cloud01
头像被屏蔽
发表于 2017-11-25 21:13:00 | 显示全部楼层
PanzerVIIIMaus 发表于 2017-11-25 20:32
我无意冒犯,然而看到这里我的确笑了,如果不会手动搞定的话,感觉可以滚去火绒一类的了,设置内置成吨懒 ...

可以手工搞定,但是提示很模糊 ,每次都要打开最下面的规则看具体是哪个路径。而且自建白名单这一步就需要很麻烦的一个个去添加,不是说不能搞,而是明明可以搞的简单点,现在却很费时,当然后面可以直接导入规则。
到现在为止都是好用的,我只是希望eset能提升些用户易用性。我们公司的技术人员就不会像你这么想,他们只会追求极致,这就是人和人的区别。
欧阳宣
头像被屏蔽
发表于 2017-11-25 23:54:38 | 显示全部楼层
cloud01 发表于 2017-11-25 16:44
我又不想跟你诡辩,我现在搞规则不就是因为没有更多内置规则吗?这个么简单的道理,他要有了高危调用询问 ...

一直有规则,智能模式就有,你只是看不上而已,虽然自己搞的规则其实也好不到哪里去。

你要的根本不是一个更贴合实际情况的规则,而是一个你能看得懂能理解的规则。你甚至想把规则的层次都拉低到你这个层面……没必要……好好智能模式用着吧
B100D1E55
 楼主| 发表于 2017-11-26 01:19:20 | 显示全部楼层
68221281 发表于 2017-11-25 15:43
所以更有效的安全思路是环境隔离?不同安全需要的程序,运行在完全隔离的环境下,隔离的环境设置不 ...

但是这会大幅降低易用性。像iOS那种每个app给权限的系统这方面的确比较好一些,但是也有不便的地方(例如将文件和app绑定对于用户来说就可能带来困惑)。而PC操作系统基本上是基于用户的权限管控,做到这种隔离就比较麻烦了。

企业针对这种攻击主要还是异常侦测-->人肉调查-->解决问题。人这个环节是免不了的
cloud01
头像被屏蔽
发表于 2017-11-26 07:57:07 | 显示全部楼层
欧阳宣 发表于 2017-11-25 23:54
一直有规则,智能模式就有,你只是看不上而已,虽然自己搞的规则其实也好不到哪里去。

你要的根本不是 ...

智能模式貌似也不对文件夹有反应吧?对注册表也有限,我的规则至少更全面点。不跟你争了。你反正总觉得别人得重头开始先学全了再说。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:37 , Processed in 0.106649 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表