База белых списков «Лаборатории Касперского» превысила 500 млн файлов

[mike 1 1 043]

«Лаборатория Касперского» объявляет о том, что объем её базы белых списков, содержащих сведения о легитимных программах, превысил 500 миллионов уникальных файлов. База активно используется в продуктах «Лаборатории Касперского» для корпоративных и домашних пользователей и динамически пополняется данными о новых приложениях, помогая обеспечить высокий уровень безопасности и способствуя эффективной работе клиентов компании. Идентификация и классификация легитимного ПО позволяет свести к минимуму риск ложных срабатываний и предоставляет компаниям простой и эффективный способ применения политик безопасности за счет использования таких функциональных возможностей, как Контроль программ и сценарий «Запрет по умолчанию». Объем базы белых списков продолжает расти в среднем на 1 миллион новых файлов в сутки.

 

Превосходство технологии белых списков «Лаборатории Касперского» уже получило подтверждение в ходе первых отраслевых тестов, проведённых авторитетной независимой лабораторией West Coast Labs в декабре 2011 года. Исследование показало, что база белых списков «Лаборатории Касперского» содержит информацию о 93% всех используемых приложений для домашних пользователей и 94% приложений для корпоративных пользователей. Последующее тестирование Контроля программ и сценария «Запрет по умолчанию» также подтвердило лидирующие позиции «Лаборатории Касперского» в данной области. Каждое приложение, поступающее в базу, автоматически распределяется в одну из 96 различных категорий (таких как игры, браузеры, мультимедиа и т.д.), что позволяет компаниям устанавливать гибкие политики безопасности для своих сотрудников.

 

В рамках программы Whitelist «Лаборатория Касперского» имеет партнерские технологические соглашения с более чем 200 производителями и дистрибуторами ПО, такими как Cisco, Citrix, Intel и т.д. Сотрудничество такого масштаба, наряду с использованием облачной системы мониторинга угроз Kaspersky Security Network, способствует оперативному обновлению базы белых списков и позволяет свести к минимуму риск того, что легитимное ПО будет ошибочно распознано как опасное. Поль-Андре Фонтэн (Paul-Andre Fountain), менеджер партнерских программ в HP, отметил: «Нам регулярно приходится иметь дело с жалобами пользователей на то, что наши программные продукты ошибочно распознаются некоторыми защитными решениями как вредоносные. Такие ошибки негативно влияют на нашу репутацию — вот почему для нас так важно сотрудничество с производителями защитных продуктов. Взаимодействие с Kaspersky Whitelist помогает нам исключить возможность возникновения подобных инцидентов. Мы уже два года являемся партнерами «Лаборатории Касперского», и за это время у нас ни разу не было проблем с защитными решениями данного производителя».

 

«Мы убеждены, что технология Whitelist — это будущее IT-безопасности. Она лежит в основе нового эффективного сценария «Запрет по умолчанию», не позволяющего использовать никакие программы кроме заведомо легитимных. Благодаря передовым защитным технологиям, флагманское защитное решение «Лаборатории Касперского» для корпоративных пользователей Kaspersky Endpoint Security 8 для Windows обеспечивает непревзойдённый уровень безопасности корпоративных данных», — подчеркнул Андрей Ефремов, руководитель лаборатории классификации ПО и развития облачных технологий защиты «Лаборатории Касперского».

 

Более подробную информацию о технологии Whitelist «Лаборатории Касперского» можно получить на сайте http://whitelist.kaspersky.ru/.

 

Источник: http://www.kaspersky.ru/news?id=207733849

[gecsagen 262]

Цифра впечатляет!Очень рад за ЛК.Кстати хороший подход,когда антивирусная компания сотрудничает с другими крупными компаниями разработчиками.Все-таки я негативно отношусь ко всяким базам,считаю что будущие компьютерной безопасности будет основываться(или должно основываться по моему мнению) на проактивной защите(нажмите кто не знает).

[Денис-НН 1 101]

500 миллионов - не слабая цифра. Вот это облако!

gecsagen, Попробуйте при помощи проактивной защиты отличить программу меняющую, к примеру, размер или формат фотографии от программы, которая эту фотографию шифрует.

Изменено 25 сентября, 2012 пользователем Денис-НН

[CatalystX 22]

Вайтлисты надежней проактивки. Проактивку при умении легко обойти(как пример: семейство руткитов TDL), а в вайтлистах написано каким прогам доверять, а каким нет.

[Maratka 61]

И как же семейство руткитов TDL обохит проактивку KIS 2012 (старенького такого)?

Ну или NIS 2012, если это вам ближе.

[mike 1 1 043]

И как же семейство руткитов TDL обохит проактивку KIS 2012 (старенького такого)?

Ну или NIS 2012, если это вам ближе.

Наверное при отключенном UAC обходит проактивную защиту этот руткит.

[gecsagen 262]

Кто говорит что базы нужно полностью исключить?Представьте пример:"богатый человек(пользователь),хочет нанять охранника(антивирус).Итак охранник найден и он приступил к работе.Охранник постоянно ходит с библиотекой фотографий(в библиотеке фотороботы всех доверенных лиц т.е не бандитов)

Он смотрит на каждого прохожего и сверяет его с каждой фотографией,если он найдет фотографию,то к прохожему охранник хорошо относится,а если не находит то-это бандит.Представьте себе такого охранника .А теперь представьте что охранник благодаря поведению преступника сможет определить его.Ему не нужно будет тоскать миллионы фотоальбомов.Зачем белый список?Ведь вирусов гораздо меньше чем полезных программ?Черный список будет гораздо меньше.

Изменено 26 сентября, 2012 пользователем gecsagen

[CSerg 31]

Кто говорит что базы нужно полностью исключить?Представьте пример:"богатый человек(пользователь),хочет нанять охранника(антивирус).Итак охранник найден и он приступил к работе.Охранник постоянно ходит с библиотекой фотографий(в библиотеке фотороботы всех доверенных лиц т.е не бандитов)

Он смотрит на каждого прохожего и сверяет его с каждой фотографией,если он найдет фотографию,то к прохожему охранник хорошо относится,а если не находит то-это бандит.Представьте себе такого охранника .А теперь представьте что охранник благодаря поведению преступника сможет определить его.Ему не нужно будет тоскать миллионы фотоальбомов.Зачем белый список?Ведь вирусов гораздо меньше чем полезных программ?Черный список будет гораздо меньше.

А если бандит хорошо и главное умело (!) маскируется под порядочного человека?

[Денис-НН 1 101]

gecsagen, Не очень удачный пример.

Если уж брать охранника - то охранник контролирует вход в дом, на предприятие. Если у человека есть пропуск (белый лист) то его пропускают. Нет - разворачивают обратно.

Касательно антивирусов - пока используются обе технологии, и проактивная защита, и детект по базам. И отказаться от одной из этих технологий пока невозможно.

Изменено 26 сентября, 2012 пользователем Денис-НН

[Maratka 61]

Предприятие "РыбХозЛовБурМурТырМыр" выловило 114 тонн рыбы за май 2012 года.

Колхоз "40 лет Октябрю" накопал 917 тонн картофеля летом 2009 года.

Артель "МЁд-От_пчЁл_Полезен_для_Здровья" добыла 186,7 центнера мЁда за сезон.

 

Вопрос: много это или мало?

[CatalystX 22]

И как же семейство руткитов TDL обохит проактивку KIS 2012 (старенького такого)?

Ну или NIS 2012, если это вам ближе.

У меня NIS 13, а на виртуалке KIS 12.

TDL4 год был мертвым, и только сейчас обновился и уже имеет на счету 250 000 зараженных компьютеров компаний входящих в список Fortune 500. Дроппер новой версии пока не нашли, так что 4:1 в пользу TDL.

А теперь представьте что охранник благодаря поведению преступника сможет определить его.

И спасет такой охранник только от новичков, профессионалы пройдут через 10 охранников, и не один из них даже в глубине души не заподозрит профессионала.

Вернемся к компам и перенесемся в 2010 год, в момент выхода TDL3.

TDL3 использовал для установки службу печати, внедряясь в нее через недокументированную WinAPI. Все проактивки и HIPS'ы шли лесом, они попросту не видели внедрения в службу печати и думали что все изменения в системе делает не TDL, а насквозь доверенная служба печати. На дефолтных настройках большинство ХИПСов и проактивок пробиваются до сих пор. Тогда единственной проактивкой которую TDL3 обойти не смог был нортоновский SONAR на самых агрессивных настройках ПЛЮС подключенный к симантековскому облаку. Без облака и сонар на самых агрессивных настройках пробивался по щелчку пальцев.

Изменено 26 сентября, 2012 пользователем CatalystX

[Maratka 61]

Ничегошеньки не понял.

 

Ну вышел новый TDL. Ежику понятно, что должен он был выйти. Не закапывать же в землю наработки за 3 года?

Ну заразил сколько-то компьютеров с NIS'ом на борту, и что? Дело в общем-то житейское.

Ну не нашли в Symantec дроппера - бывает.

 

Каким образом из этого следует счет 4:1?

Кто набрал "4"? По пунктам пожалуйста.

Кто набрал "1"? Назовите его.

[CatalystX 22]

Каким образом из этого следует счет 4:1?

Кто набрал "4"? По пунктам пожалуйста.

Кто набрал "1"? Назовите его.

1:0 - когда вышел TDL.

2:0 - когда вышел TDL2.

3:0 - когда вышел TDL3.

4:0 - когда вышел TDL4.

4:1 - после неудачного обновления дроппера и драйвера TDL4 в январе 2011.

[Maratka 61]

1:0 - когда вышел TDL.

2:0 - когда вышел TDL2.

3:0 - когда вышел TDL3.

4:0 - когда вышел TDL4.

4:1 - после неудачного обновления дроппера и драйвера TDL4 в январе 2011.

Все кроме третьего влет блокировались ХИПСом в антивирусах ЛК.

Как там обстоят дела в антивируса Symantec я не был в курсе ни тогда, ни сейчас.

[gecsagen 262]

gecsagen, Не очень удачный пример.

Если уж брать охранника - то охранник контролирует вход в дом, на предприятие. Если у человека есть пропуск (белый лист) то его пропускают. Нет - разворачивают обратно.

Касательно антивирусов - пока используются обе технологии, и проактивная защита, и детект по базам. И отказаться от одной из этих технологий пока невозможно.

Я имел ввиду телохранителя,который сопроваждает "богатого человека".

А если бандит хорошо и главное умело (!) маскируется под порядочного человека? tongue.gif

Я вас понял.Т.е реактивная защита в аналогии того что у каждого человека берется ДНК и 100% доказывается что он не бандит или бандит?

И спасет такой охранник только от новичков, профессионалы пройдут через 10 охранников, и не один из них даже в глубине души не заподозрит профессионала.

Вернемся к компам и перенесемся в 2010 год, в момент выхода TDL3.

TDL3 использовал для установки службу печати, внедряясь в нее через недокументированную WinAPI. Все проактивки и HIPS'ы шли лесом, они попросту не видели внедрения в службу печати и думали что все изменения в системе делает не TDL, а насквозь доверенная служба печати. На дефолтных настройках большинство ХИПСов и проактивок пробиваются до сих пор. Тогда единственной проактивкой которую TDL3 обойти не смог был нортоновский SONAR на самых агрессивных настройках ПЛЮС подключенный к симантековскому облаку. Без облака и сонар на самых агрессивных настройках пробивался по щелчку пальцев.

Системы проактивной защиты постоянно совершенствуются(и когда-то они будут обнаруживать 99.99% всех вирусов,при том что вероятность ошибки сведется к нулю.).

Изменено 26 сентября, 2012 пользователем gecsagen