【ELG云玩家】ESET LiveGuard云玩家臆测

PanzerVIIIMaus

我发布本帖，旨在跟大家多说说(shuǐ)话(tiě)，
让我在试用ESSP和ELG之前心里有个底
不要三头两天我就挂掉了（QAQ





名词表：
【云玩家】
此处指以间接方式了解某个事物，实际上尚未体验过该事物的人，可用于描述或批判别人对某事物的主观臆像。

用法：
“求求你下个杀软试一下吧，你可别做 ~ 了”
“ ~ ？建议这种人不要再发帖了”





最近ESET为ESET Smart Security Premium用户提供ESET LiveGuard（ELG），
该功能的工作机制类似于ESET Dynamic Threat Defense(EDTD)，EDTD旨在先前技术的基础上（ESET LiveGird和ESET Threat Intelligence）提供缓解新威胁提供另一层防护

在文件被决定提交至ELG后，流程可以简单组合成几个步骤：
云端多个机学模型进行扫描（涉及静态检测时机学） —— 自动云沙盒进行行为分析（涉及动态检测时机学） —— ESET侦测引擎进行静态拆解扫描 —— 结合这些东西，结果从云端反馈回来以决定拦截与否

在龙大（@驭龙）介绍企业级的EDTD时我还是比较兴奋的，但当到了ELG我虽然兴奋，但也没那么兴奋了

我在想象的问题是，厂商将类似功能下放的时候，会如何在效率、安全和准确性问题上作出抉择？
对于绝大多数个人用户来说，能接受的结果是二极管化的：被放行、被侦测。

那实际上ELG会遭遇什么问题？
我也不知道
不如我们来管中窥豹——看看ESET所展示的对EDTD用户展示的示例报告：


从上面的图片可以感觉到，侦测步骤是多因素的，不是只要某个因素认为有问题就能够判定为病毒的，
根据说明书的描述，
我认为EDTD用户可以查看已提交对象的最终报告，并在一定程度上根据不确定的对象，重新决策被拦截的阈值。

但对于ELG，决策只能是一个，而且像我上面所说的那样二极管化。

ESET在各种权衡的结果就是，ELG实战敏感度必然会比EDTD低，主要原因是决定被侦测的阈值肯定相当高。

PanzerVIIIMaus

关于
[原创]实测EDTD与ELG的区别
一贴的声明

ESET在各种权衡的结果就是，ELG实战敏感度必然会比EDTD低，主要原因是决定被侦测的阈值肯定相当高。

我在本帖正文这句话的依据是
官方在说明书指出，EDTD的“决定被侦测的阈值”可调
而非指“EDTD和ELG的侦测流程或从云端反馈的结果不一致”

我欲在文中表示的是这个观点，但没想到描述不完整产生了歧义，是我在这方面考虑不周





在该贴具体的讨论和结果可访问：

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1076184

桑德尔

我只是好奇，你们ESSP的ELG相关提示汉化没？

00006666

云沙箱类的行为分析也存在一定的可能性被恶意软件探测到分析环境从而不显示真实行为。

(ATT&CK框架  ID:T1497  Virtualization/Sandbox Evasion  沙箱逃逸)

(类似al-khaser等虚拟化检测手段也挺常见的)

有很多恶意软件亦存在需特定的软件/硬件环境才展现有效行为。

PanzerVIIIMaus

【搬运，与正文内容无关联】

卡巴斯基在线帮助所展示的企业级产品


挑一个卡巴斯基沙盒来讲
卡巴斯基沙盒的工作原理跟EDTD类似，但这是私有的，用户需要架设服务器或多服务器阵列
引用内容参考说明书和必硬翻译，个别句子会改一下，好理解

解决方案的架构

卡巴斯基沙盒解决方案包括：

卡巴斯基沙盒应用程序 - 解决方案的服务器部分。卡巴斯基沙盒安装在公司局域网中的一台或多台服务器上。服务器可以合并成集群。在卡巴斯基沙盒服务器上，部署了微软 Windows 操作系统的虚拟图像，用于运行需要扫描的对象。卡巴斯基沙盒分析对象的行为，以检测企业 IT 基础设施中的恶意活动和高级威胁。
卡巴斯基安全中心与卡巴斯基安全中心网络控制台的应用程序。卡巴斯基安全中心应用程序允许以集中的方式管理解决方案，并使用统一的 Web 界面进行配置。
卡巴斯基 Windows 工作站保护应用程序的端点安全（端点保护平台，以下简称"EPP"）。卡巴斯基 Windows 端点安全安装在公司局域网上的工作站上，可全面保护工作站免受各种威胁、网络和欺诈攻击，并执行卡巴斯基安全中心策略中配置的自动威胁响应操作。
解决方案的操作原则

卡巴斯基沙盒解决方案的操作原则如下：

1、当对象在工作站上被访问（可执行文件已运行，或文档（例如DOCX 或 PDF）打开）时，卡巴斯基端点安全决定是否需要使用卡巴斯基沙盒对对象进行额外的扫描。
2、如果卡巴斯基端点安全决定使用卡巴斯基沙盒对对象进行额外的扫描，则检查该对象最近是否在卡巴斯基沙盒中扫描。卡巴斯基端点安全阻止访问对象，直到它收到扫描结果。
    ·如果对象最近被扫描，卡巴斯基端点安全将扫描结果发送到卡巴斯基沙盒。如果对象构成威胁，卡巴斯基端点安全执行卡巴斯基安全中心策略中配置的威胁响应操作。
    ·如果对象很久以前没有扫描或扫描，卡巴斯基端点安全将对象发送到卡巴斯基沙盒进行扫描。卡巴斯基端点安全允许访问对象。
默认设置下不会考虑对象什么时候被扫描过，这是卡巴斯基反病毒专家的经验。

3、卡巴斯基沙盒扫描对象并将对象扫描结果发送到卡巴斯基端点安全。如果对象构成威胁，卡巴斯基端点安全执行卡巴斯基安全中心策略中配置的威胁响应操作。
有关检测到的威胁的信息存储在卡巴斯基沙盒中，直到应用程序数据库更新。

卡巴斯基沙盒性能示例（内容根据说明书）

物理服务器配置：

CPU： 4核心8线程，2.1 GHz【不支持AMD处理器】

RAM：32 GB

硬盘：RAID 1阵列，配置2个10000转600GB机械硬盘（阵列可用600GB空间）

网卡：2个千兆网卡

在具有指定配置的服务器上，卡巴斯基沙盒可以：
·从卡巴斯基终端安全工作站接收处理对象。
工作站的最大数量：250个

·通过 API 从外部系统接收处理对象。
每小时最大对象： 75

【世上有神焰五重：水晶焰、混元焰、风落焰、天星焰和西斯焰

后面四种，我都有，就差一个了】

我在这里发帖，就是为了水经验

PanzerVIIIMaus

00006666 发表于 2021-11-12 15:06
云沙箱类的行为分析也存在一定的可能性被恶意软件探测到分析环境从而不显示真实行为。

(ATT&CK框架  ID: ...

嗯，沙盒逃逸是很常见的，但我想这不是ELG推给用户之后需要考虑的首要问题
因为已经推出了

yinghua41

剛開始的工具能有多好，只能慢慢改善產品。

樓主要不要多試幾個同類產品(殺軟)比較看看，好讓大家有選擇的方向。

躺平上网

yinghua41 发表于 2021-11-12 15:42
剛開始的工具能有多好，只能慢慢改善產品。

现在看来咖啡的RP真不戳

yinghua41

躺平上网 发表于 2021-11-12 16:01
现在看来咖啡的RP真不戳

要測試多試幾家產品合適自已用，那家產品好用那家。

躺平上网

yinghua41 发表于 2021-11-12 16:10
要測試多試幾家產品合適自已用，那家產品好用那家。

咖啡以前可以刷key

anthonyqian

ESET官方可是说过他们家的云沙箱是能100%检测威胁的魔盒哦

https://forum.eset.com/topic/283 ... ents#comment-133481