从简单案例看多层防御的重要性

驭龙

wangkaka 发表于 2017-11-25 15:44
除了那个俄罗斯的勒索BadRabbit和另一个会部分加密（但加密的也不多，就10几个文件），其他完美防御了。 ...

那你这测试并不能代表SONAR强了，现在大多数的勒索没有网络是不进行加密的，所以无法断定SONAR是否能抵御加密，而且有的勒索需要梯子才能发挥威力

wangkaka

驭龙 发表于 2017-11-25 15:50
那你这测试并不能代表SONAR强了，现在大多数的勒索没有网络是不进行加密的，所以无法断定SONAR是否能抵御 ...

诺顿拉黑太快了，联网基本信誉云全拉黑了。。不过基本诺顿各个防御都正常的话，勒索一般也进不来。只不过在我这误杀太严重，不敢用他，还是eset低误报的用的舒服。。

驭龙

wangkaka 发表于 2017-11-25 15:53
诺顿拉黑太快了，联网基本信誉云全拉黑了。。不过基本诺顿各个防御都正常的话，勒索一般也进不来。只不过 ...

所以说测试SONAR需要最新鲜的样本，不好测，但是之前确实是有SONAR无能为力的时候，不过智能主防中SONAR已经很强大了，毋庸置疑

wangkaka

68221281 发表于 2017-11-25 15:45
SONAR现在还有离线规则，不是早就云化了吗？

不是全部云化。。

cloud01

欧阳宣 发表于 2017-11-25 14:59
你又觉得自己不懂哪个是高危，别人帮你判断；又觉得自己知道哪个是高危，要自己搞规则，喜欢矛盾的是你。 ...

我又不想跟你诡辩，我现在搞规则不就是因为没有更多内置规则吗？这个么简单的道理，他要有了高危调用询问，我还懒得搞规则呢。

PanzerVIIIMaus

cloud01 发表于 2017-11-25 11:01
对，所以要求ESET对高危调用规则内置规则，至少可以看出来调用的具体在干嘛。

我无意冒犯，然而看到这里我的确笑了，如果不会手动搞定的话，感觉可以滚去火绒一类的了，设置内置成吨懒人规则觉得哪个高危就选上嫌弱就搞搭配，潜在冲突？影响性能？降低体验？抱歉，你到这里讲了这么多就没看见你怎么强调这些东西这样一来就能理解ESET在某个方面上是个什么样的设计思路然后闭上嘴巴，或者如此口才自己去和ESET的工程师们谈笑风生而不是在这里讲那么一堆却没改变自己不会弄太多好使的规则而ESET也“没什么你所期望的改进”的现实——你还是要闭上嘴巴

cloud01

PanzerVIIIMaus 发表于 2017-11-25 20:32
我无意冒犯，然而看到这里我的确笑了，如果不会手动搞定的话，感觉可以滚去火绒一类的了，设置内置成吨懒 ...

可以手工搞定，但是提示很模糊 ，每次都要打开最下面的规则看具体是哪个路径。而且自建白名单这一步就需要很麻烦的一个个去添加，不是说不能搞，而是明明可以搞的简单点，现在却很费时，当然后面可以直接导入规则。
到现在为止都是好用的，我只是希望eset能提升些用户易用性。我们公司的技术人员就不会像你这么想，他们只会追求极致，这就是人和人的区别。

欧阳宣

cloud01 发表于 2017-11-25 16:44
我又不想跟你诡辩，我现在搞规则不就是因为没有更多内置规则吗？这个么简单的道理，他要有了高危调用询问 ...

一直有规则，智能模式就有，你只是看不上而已，虽然自己搞的规则其实也好不到哪里去。

你要的根本不是一个更贴合实际情况的规则，而是一个你能看得懂能理解的规则。你甚至想把规则的层次都拉低到你这个层面……没必要……好好智能模式用着吧

B100D1E55

68221281 发表于 2017-11-25 15:43
所以更有效的安全思路是环境隔离？不同安全需要的程序，运行在完全隔离的环境下，隔离的环境设置不 ...

但是这会大幅降低易用性。像iOS那种每个app给权限的系统这方面的确比较好一些，但是也有不便的地方（例如将文件和app绑定对于用户来说就可能带来困惑）。而PC操作系统基本上是基于用户的权限管控，做到这种隔离就比较麻烦了。

企业针对这种攻击主要还是异常侦测-->人肉调查-->解决问题。人这个环节是免不了的

cloud01

欧阳宣 发表于 2017-11-25 23:54
一直有规则，智能模式就有，你只是看不上而已，虽然自己搞的规则其实也好不到哪里去。

你要的根本不是 ...

智能模式貌似也不对文件夹有反应吧？对注册表也有限，我的规则至少更全面点。不跟你争了。你反正总觉得别人得重头开始先学全了再说。