难以避免的误报和无法排除的拦截

黑暗的背叛者

今天更新软件，一直默默无闻的Viruscope大发神威，喝口水的功夫就把安装包删了，然后完美回滚
幸好毛豆的策略是进隔离，我恢复出来再手动运行一遍，警报窗口选择“排除且报告为误报”，这下就没问题了。

之前做开发的时候，都是把HIPS、自动沙盒、VC都关掉，只留下防火墙。
一堆操作引起警报等着用户处理得烦死，想排除也不行，不是固定的文件路径或文件内容。

安全软件是为用户服务的，应该适应用户的需求。最近几年HIPS类的防护软件显得没落了。为什么呢？因为人变懒了（误），人的处理效率跟不上数据的生产了。一个服务器安全管理人员，传统防火墙产生的警报量，24小时不吃不喝都看不完。所以这方面，大数据，必然要经过数据清洗和自动化分析后，呈现到用户面前。这叫什么？辅助决策。安全软件云的成分愈来愈重，本地的分析引擎和数据量达不到要求，个人电脑的处理能力也不行。同时为了降低安全防护带来的资源损耗，有的工作只能上云。

行为分析是个复杂的活，之前看到有人说多步分析什么的。。。其实一般深度都有限，过于详细的分析对系统资源是相当的负担。那么上传到云分析的确可以解决一部分问题，也会带来某些隐私方面的担忧。这个度不好把握，对于新发现的文件，防太紧容易误杀，太松又会漏。沙盘于是成为了一种暂时的缓解措施。其实现在软件也有沙盘化的做法，浏览器内嵌沙盘，进程隔离。如果普通的沙盘能做到主程序和数据分开存储，像Docker那样倒也不错。包括IOS（强制）和UWP（可选）都有类似这种机制，只是推广起来难。windows上的特权程序太多了，win32兼容性成问题。目前这方面也是在摸索吧。


PS.

误报的文件地址

VT报告

HEMM

*排除大法呢？
HIPS落寞的原因是侧重问题，在快节奏的生活中，用户没时间耗在学这个上面，他们要腾出更多的时间干别的，并不能妨碍到自己运行任何程序，还得全自动处理，安全性相对的没有易用性来的重要。虽然自定义规则弄得好，最后根本没什么可调试的地方，可以在不妨碍运行的情况下最大限度的提高安全性，很多人在学的中途就放弃了，不否认学的过程比较......难.......
沙盒........嗯......哈......沙盒规则设置的再严格又如何？
排除倒不是问题，COMODO的易用性改善了不少了，沙盒排除也相当的容易，只是排除后记得打开建立的规则，把那个不将所选动作运用于子程序勾选，以防万一。

黑暗的背叛者

HEMM 发表于 2018-2-26 18:24
*排除大法呢？
HIPS落寞的原因是侧重问题，在快节奏的生活中，用户没时间耗在学这个上面，他们要腾 ...

temp目录要是全部排除平时会带来安全隐患，监控关了也问题不大，当时环境是可信的。
HIPS有的程序去分析每一个动作那效率太低，黄花菜都凉了，还是安全模式省心。
如果真的对安全性有高要求，我是比较喜欢tripwire和selinux这种类型的，一次配置得当基本就不用动了。

HEMM

黑暗的背叛者 发表于 2018-2-26 19:33
temp目录要是全部排除平时会带来安全隐患，监控关了也问题不大，当时环境是可信的。
HIPS有的程序去分析 ...

昂？*\Temp\* 我一个*全允了.....所以我的规则只能抵挡一部分威胁，我为了用起来舒服有的地方门户大开，主要是我还有WD，剩下的让它顶= =