查看: 9075|回复: 19
收起左侧

[讨论] FSCS变成WSEA后

[复制链接]
GalaxyS24Ultra
发表于 2023-6-12 22:00:45 | 显示全部楼层 |阅读模式
本帖最后由 GalaxyS24Ultra 于 2023-8-23 19:47 编辑

这十载,还是一切什么都没变,卸载界面还是那句依依不舍的话。没有在唯思安全官网看到怎么申请免费试用,不好意思和老外交流,因为没有杀软综合征,没打算去台湾经销商官网买正版,用不了,防御效果和用户体验估计和FSP FSS一致,纯换皮,不清楚这家芬兰安全公司到底有没有技术实力。
这东西是用企业部门WS还没脱离FS时,在芬氏安全官网申请免费体验的,安装包MSI还留着。需要给系统时间跳到MSI签名的那一天才能装,否则会报错

2023.8.23 更新心得
科摩多都出到2024大焕颜了,ESET也正式出到不支持Win7 Win8没有机器人的17.0版本,卡巴斯基beta通道高速迭代小版本,BDTS 2023有生之年恢复了繁中;就这芬兰人那么佛系,客户端从家用到企业版还是老三样

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Miostartos
发表于 2023-6-12 22:07:17 | 显示全部楼层
本来就没区别
拆分并非基于产品和技术考虑,而是为了股东利益

alalei
发表于 2023-6-27 16:18:21 | 显示全部楼层
我火星了 居然什么时候改名了吗默默无闻的就
alakee
发表于 2023-6-29 15:56:28 | 显示全部楼层
啥时候分手的?
神龟Turmi
发表于 2023-7-9 06:17:41 | 显示全部楼层
本帖最后由 神龟Turmi 于 2023-7-9 06:27 编辑

某种意义上来说,什么都没变(对于FSCS/WS白嫖非受管用户)
某种意义上来说,什么都变了(对于正版用户)
EDR的加入让WithSecure的保护能力和家用版的F-Secure已经不是一个档次了

上图为EDR告警,如图所示此处一开始DeepGuard拦截了前一种入侵方法,此时和个人版无差别
但是后一种入侵方法,DeepGuard并没有检测到,此时就需要EDR闪亮登场
EDR记录下来了CertUtil尝试解密一些数据,可能是payload,这还没有到关键步骤所以置信度为中等
结合前面一次失败的攻击尝试,如果你们公司有一个专业的SecOPS,看到这里应该会知道发生了什么,应该立即做出响应

在EDR的KillChain中,你可以检查最终产生恶意行为的程序(或者滥用系统命令的脚本)是如何到终端上的
如图所示,先用CertUtil解密得到下载地址,通过CMD拉起了BitsAdmin下载恶意代码,然后交给了Powershell执行最终Payload
还是同上,你们公司有一个专业的SecOPS,此时已经知道如何响应这个威胁

这是一个演示,使用EDR的Response功能做出响应,比如这个事件,攻击者的Payload最终在Powershell中执行
所以第一步你应该结束掉Powershell以确保终端是干净的
我就不过多演示了,现在对于EDR的使用应该是SecOPS的基本功了,只是展示一下它能做到

除此之外,现在WithSecure还提供了基于DeepGuard衍生的DataGuard,它类似Norton的DP,对重要数据的目录提供一层额外的保护

综上,我只是想说,以现在无文件满地跑,CobaltStrike往小学生群体渗透,真正的APT组织随时蠢蠢欲动的环境
安全软件早就不是一个单独的软件就可以解决的了,需要是一整套的从威胁检测到响应到分析到溯源的平台
现在是,以后更是,个人产品和企业产品的功能差距会越拉越大
这可能也就是为什么WithSecure/Symantec/Trellix明知道他们的单独EPP可以通过非受管方式白嫖而一直不作处理
因为你白嫖的使用场景根本不可能是他们最终用户需要的整个平台的场景,会买的不会这样白嫖,这样白嫖的无论如何都不会买
个人安全软件还有用吗?有用,前提是你的价值是一个普通的个人
别看我的各种测试中总有一些个人版安全软件能做到100%防御,那是因为攻击者是我,一个不咋专业的安全爱好者
如果你面对的是可能提前通过社工手段对你了如指掌的APT组织,我相信结果肯定不会是我测试的那样

为什么我会突然碎碎念这么多呢。。。因为我前几天发现在我的一个工作设备上有一个已经存在5个月的后门程序。。。
丢人归丢人,只能说在你确实有被针对性攻击的价值的时候,不要过分相信自己,也不要过分相信个人安全软件

当我发现它并且点Submit发现是处扫的时候,我的心都是哇凉的。。。
好了,不碎碎念了,这是一个丢人丢到家的龟龟突然被触发PTSD(指楼主认为FSP和WSEA没区别)的有感而发,我继续学习EDR的使用去了。。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +60 人气 +6 收起 理由
白露为霜 + 60 精彩回复
a286282313 + 3
ccddqq + 3 摸摸龟龟

查看全部评分

弗利萨
发表于 2023-7-11 10:19:12 | 显示全部楼层
本帖最后由 弗利萨 于 2023-7-11 10:23 编辑
神龟Turmi 发表于 2023-7-9 06:17
某种意义上来说,什么都没变(对于FSCS/WS白嫖非受管用户)
某种意义上来说,什么都变了(对于正版用户)
...

带EDR这些高级功能的企业版比个人版强百分之30-60差距还是挺大的,不过有一些杀毒软件没有EDR甚至企业版还不如个人版比如ESET,卡巴有EDR功能不过免费试用版用不了提示授权不支持想白嫖是不可能了,很多人说企业版个人没有使用的必要这些人真是口是心非,我想说如果企业版的价格跟个人版的价格一样,我想没几个人会买个人版了吧?大家都是人都知道无论什么产品厂家基本上会把最好的给企业因为企业有钱啊质量不行谁买啊价格还那么贵,所以企业版的品质都是要好于个人版的
pal家族
发表于 2023-7-11 10:35:28 | 显示全部楼层
神龟Turmi 发表于 2023-7-9 06:17
某种意义上来说,什么都没变(对于FSCS/WS白嫖非受管用户)
某种意义上来说,什么都变了(对于正版用户)
...

所以那个文件可以传上来康康吗!
GalaxyS24Ultra
 楼主| 发表于 2023-7-28 13:02:30 | 显示全部楼层
弗利萨 发表于 2023-7-11 10:19
带EDR这些高级功能的企业版比个人版强百分之30-60差距还是挺大的,不过有一些杀毒软件没有EDR甚至企业版 ...

不可能,单机下ESET端点安全和ESET智能安全高级版没区别
lzqdkf
发表于 2023-8-8 14:23:44 | 显示全部楼层
有像FSCS15.3那样的白嫖客户端吗?
IamAngry
发表于 2023-8-8 14:31:41 | 显示全部楼层
lzqdkf 发表于 2023-8-8 14:23
有像FSCS15.3那样的白嫖客户端吗?

应该是没了,现在最好白嫖的应该是SEP
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 17:31 , Processed in 0.133089 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表