Тест Internet Security-решений для Windows Vista на cnews - Страница 2 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Иван

Тест Internet Security-решений для Windows Vista на cnews

Автор Иван, в Тесты и сравнения

Recommended Posts

Виталий Я.    859

Виталий Я.
Опубликовано
Тратить время на повторные прогоны для съемки роликов мы не будем. Ролик ничем недоказательней скрина, можно сделать любую нарезку. Давайте немного подождем до реакции Cnews. А затем продолжим наше обсуждение.

Олег, мы тоже потратили время тестеров на воспроизведение удручивших Вас результатов KIS и подтверждение результатов OSS. Пока Вы ничем не доказали обратного - что KIS 7 проходит Atelier FW test, только представили сомнительного происхождения скриншот.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Олег Гудилин    95

Олег Гудилин
Опубликовано

Виталий, еще раз - подождите немного и я расскажу Вам и всем остальным о "сомнительного происхождения скриншоте" и обо всем остальном. Если Вам не терпится, можете выкатить Ваши результаты когда пожелаете. Я буду их комментировать и приводить свои только услышав решение Cnews.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Stuart    5

Stuart
Опубликовано

Internet Security? То есть, полагаю, должен быть а антивирусный модуль. Но в плане доверия к антивирусной составляющей Agnitum, простите, нет никакого. К тому же ставил как-то чисто фаейрвол на Vista: получил жутчайшие тормоза системы (рейтинг производительности 5,5) и через пару загрузок - ваша копия Windows не является подлинной (при том, что имеется лицензия Buisness Edition).

Так что "ф топку" таких победителей. Кроме KIS, пожалуй, более лучшего решения не найти. Личный опыт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Олег Гудилин    95

Олег Гудилин
Опубликовано
К тому же ставил как-то чисто фаейрвол на Vista: получил жутчайшие тормоза системы (рейтинг производительности 5,5) и через пару загрузок - ваша копия Windows не является подлинной (при том, что имеется лицензия Buisness Edition).

Это какая-то частная проблема. Outpost Firewall решение весьма достойное.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Stuart    5

Stuart
Опубликовано

Для XP, и как firewall это достойное решение. Но не комплексное. Как судить о качестве детектирования продукта, который освоил эту деятельность года 2 назад?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Олег Гудилин    95

Олег Гудилин
Опубликовано

Вернулся наконец в офис, как и обещал комментарии по тесту. Я считаю это уместным, поскольку Михаил Демидов опубликовал результаты теста в блоге и продолжает утверждать, что тест абсолютно нормальный. Его активно поддерживает в этом Виталий Янко.

1. Тест фаервола, а именно та часть теста, где использовалась утилита AFWT.

Мы согласны с результатами тестирования утилитой AFWT.

Я прошу прощения у Михаила Демилова и у сообщества в целом за непредумышленное введение в заблуждение (как я и говорил Вам Михаил у меня проблем с принесением извинений нет).

Я приводил выше скриншот, который получен при соединении через наш корпоративный proxy на vista32SP1. При дальнейшем разбирательстве выяснилось, что к нашему удивлению результат зависит от типа соединения.

Для ясности приведу результаты перепроверок, проведённых нашими инженерами:

Результаты тестов, используя различные методы подключению к интернет и различные версии ОС Vista (32, 64. 32SP1):

Через proxy (vista32SP1): 10:0 (результат на моём скриншоте)

Через непроксированный Ethernet (vista32SP1): 4:6 (результат полученный Михаилом Демидовым и подтвержденный у нас)

Через dial-up (vista64): 9:1

Через непроксированный Ethernet (vista64): 8:2

Чем вызвана подобная нестабильность - нашим продуктом или AFWT времени в данный момент изучать нет. Поэтому мы согласны с результатами.

2.Антивирусная часть теста

Мы категорически не согласны с методикой проведения теста.

a. Объем коллекции

не позволяет рассматривать их как объективный источник информации о качестве антивирусов. Размер коллекций чудовищно мал, всего несколько тысяч образцов. На такой коллекции можно получить абсолютно ЛЮБЫЕ результаты, не имеющие ничего общего с реальной ситуацией, коллекции таких объемов просто нерепрезентативны. Я не говорю даже о том, что такую коллекцию легко подогнать под любого вендора, я говорю о случайном перекосе вызванным малым количеством образцов.

Есть некоторые тесты, которые можно и нужно проводить на небольших коллекциях специальным образом отобранных образцов, это тесты на лечение активного заражения и тесты антируткит-технологий. Но это никак не тесты на общий уровень обнаружения.

Собственно такая же ситуация с количестовм образцов в коллекции VB100%, но у VB100% есть одно важное преимущестово, которого нет в данном случае, а именно пункт б.

б.Качество коллекции

В присланной нам коллекции содержалось 2172 файла, включая содержащиеся в архиве Generals_DualCDKeyFixer_Final.rar

Мы проверили данную коллекцию KIS 7.0.1.325 с максимальными настройками и базами сигнатур от 2008.05.15 22-33.

Оказалось:

- 1977 файлов обнаруживаются KIS;

- 29 файлов действительно реальных зловредов, которые мы пропустили – будут добавлены в наши базы;

- 42 спорных файла, которые требуют дополнительного изучения каждого конкретного экземпляра. Дело в том, что это так называемые программы рекламного характера (Adware). Они не несут никакого вредоносного или шпионского (spyware) функционала и решение о добавление их в базы принимается нами каждый раз индивидуально в зависимости от: их распространенности, конкретного функционала, запросов от пользователей на их детект и т.д.;

- 108 чистых файлов, детектирование которых каким-либо антивирусом является ложным срабатыванием;

- 16 битых неработоспособных файлов вредоносных программ. Мы, как и большинство других антивирусных компаний считаем, что подобный мусор мы детектировать не должны, поскольку вреда пользователям принести такие файлы не могут, а добавление их в базы только увеличивает их размер и время проверки на вирусы. Соответственно, специально заносить сигнатуру для их обнаружения в базу никто не будет. Эти файлы могут детектироваться рядом антивирусов, но это не специальный ”точный” детект на этот битый файл. Дело в том, что сигнатура, детектирующая работоспособный вредонос, может быть так написана, что она ловит и битый файл этого зловреда. Или эвристики ловят не только работоспособный файл, но и битый. Включать такие битые файлы в коллекции для тестирования нельзя и все известные исследовательские организации (AV-Comparatives, AV-Test) стараются очень тщательно отслеживать их и исключать из своих коллекций.

Итого, 124 файла из коллекции мы не детектируем совершенно справедливо и специально добавлять в базы не будем (возможно только случайное детектирование ряда экземпляров эвристиком или расширенной сигнатурой). При этом надежность нашей системы от этого не пострадает – эти файлы не представляют никакой опасности.

Надо отметить, что кроме откровенно нормальных и битых файлов, в число этих 124 входят кейгены, патчи, uninstaller'ы и другие подобные программы, обнаружение которых никакого отношения к защите компьютера не имеет. Мы боремся с вредоносными программами, а не с пиратством. В функции наших продуктов не входит удаление и блокирование кейгенов или uninstaller'ов, позволяющих использовать нелицензионное ПО.

Нас очень удивило, что эти файлы были отдельно добавлены к уже сформированной ранее вирусной коллекции: имя каждого файла, входящего в основную часть коллекции, это его контрольная сумма. Эти же дополнительные файлы имеют совершенно другие произвольные названия.

Возникают вопросы:

Зачем эти файлы добавлены в коллекцию?

На чем основано предположение, что антивирус должен их считать вредоносными или опасными?

В итоге файлов, которых нужно детектировать (даже если отнести туда спорные, что, по сути, неверно) в коллекции 2048 (без спорных 2006). Обнаруживали мы из них на момент проведения теста 1977. Уровень обнаружения - 96,53% (без спорных 98,55%). Но мы еще раз хотим подчеркнуть, что даже этот результат на уже вычищенной коллекции не может служить критерием качества антивируса, поскольку коллекция слишком для этого мала.

в. Критерий выбора 100 образцов из общего набора для тестирования on-access (монитора) нам непонятен в принципе. Почему 100, а не все (хотя и 2000 тоже мало для объективного анализа)? Как их отбирали?

Все это делает на наш взгляд антивирусную часть теста некорректной. Утверждения Михаила в форумах, что тесты Cnews делаются для домохозяек мне так же непонятны. В тестах для домохозяек можно позволить себе некорректную методологию?

Решение о дальнейшей судьбе теста целиком и полностью в руках издания, наше дело изложить факты, которые мы считаем нужным изложить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано
Вернулся наконец в офис, как и обещал комментарии по тесту. Я считаю это уместным, поскольку Михаил Демидов опубликовал результаты теста в блоге и продолжает утверждать, что тест абсолютно нормальный. Его активно поддерживает в этом Виталий Янко.

Михаил утверждает, что в рамках его компетенции он проводит "тесты для домохозяек" - те тесты, которые можно повторить в домашних условиях, как мне понятно. Смысловая нагрузка несколько иная.

1. Тест фаервола, а именно та часть теста, где использовалась утилита AFWT.

Мы согласны с результатами тестирования утилитой AFWT.

...

Через непроксированный Ethernet (vista32SP1): 4:6 (результат полученный Михаилом Демидовым и подтвержденный у нас)

Итак, все-таки журналист CNews обладает достаточной компетентностью для проведения ликтеста, и наши данные также не врут. Это радует.

2.Антивирусная часть теста

...

В присланной нам коллекции содержалось 2172 файла, включая содержащиеся в архиве Generals_DualCDKeyFixer_Final.rar

Мы проверили данную коллекцию KIS 7.0.1.325 с максимальными настройками и базами сигнатур от 2008.05.15 22-33.

Мы получили информацию от Cnews, что тест проводился 7-8 мая, и мы проверяли результаты на коллекциях от 6 мая.

Когда тест сняли и получили подборку, в ЛК решили проверить ее на базах, выпущенных через неделю после теста?

Вообще на моей памяти за последний год это первый случай, когда журналисты-тестировщики антивирусных решений передают свои коллекции в лаборатории, и они заново их исследуют. По тесту 3DNews, надеюсь, опровержение от ЛК тоже выйдет? У вас наверняка с ними хорошие связи.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Олег Гудилин    95

Олег Гудилин
Опубликовано
Мы получили информацию от Cnews, что тест проводился 7-8 мая, и мы проверяли результаты на коллекциях от 6 мая. Когда тест сняли и получили подборку, в ЛК решили проверить ее на базах, выпущенных через неделю после теста?

Виталий, нам было сказано, что тест проводился в середине мая. Видимо Вы получаете более точную информацию. Но смею Вас уверить, что эта неделя по сути ничего не изменит в сказанном мной выше: количественные и качественные характеристики коллекции неудовлетворительны.

Нас очень мало интересует наши точные до сотых результаты на вычищенной коллекции, наш основной посыл - так тестировать нельзя.

Вообще на моей памяти за последний год это первый случай, когда журналисты-тестировщики антивирусных решений передают свои коллекции в лаборатории, и они заново их исследуют.

Если производитель чего-либо категорически не согласен с результатами теста и с его методологией - запрашивать данные для воспроизведения теста нормальная общепринятая практика - иначе доказать свою правоту производитель не сможет.

А на тему того, что мы лишили тестера коллекции, могу повторить еще раз:

1.качественные и количественные характеристики коллекции не позволяют считать ее адекватной

2.если автор по прежнему считает, что для теста на общий детект достаточно несколько тысяч вирусов и непонятно как отобранных 100 вирусов для тестирования монитора - чтож это его право заблуждаться. В текущей ситуации с количеством вновь появляющихся каждый день зловредов заново подобрать подобную коллекцию не составляет никакого труда.

3.для тестов нельзя использовать все время одну и ту же коллекцию, тесты нужно проводить на вирье распространенном в некий не сильно удаленный от теста период времени. Так что если автор хочет заблуждаться дальше - пусть хотя бы соберет более свежую коллекцию.

По тесту 3DNews, надеюсь, опровержение от ЛК тоже выйдет? У вас наверняка с ними хорошие связи.

Виталий, я уже по-моему ясно и четко сказал здесь и в теме про тест 3DNews: все тесты на неясно как собранных коллекциях минимального объема не могут считаться объективными. Мы приняли решение провести дополнительные изыскания по тесту Cnews по 2 причинам:

1. Результаты теста ставили нас фактически на последнее или предпоследнее место по детекту зловредов среди тестируемых. Если бы при этом тест проводился по адекватной методологии - мы бы занялись исправлением ошибок, но это не тот случай. Именно поэтому необходимо было расставить все точки над i.

2. Вы, Виталий, лично продвигали и продолжаете продвигать в массы мысль, что тесты, проведенные по подобной методологии, полностью адекватны. Что нам показалось как минимум странным. И это был еще один важный повод начать подробное изучение вопроса.

Этих 2 пунктов мы не видим в случае теста 3DNews, поэтому тратить время на его исследование мы не будем.

А раз Вам совершенно неожиданно порочная методология тестирования на минимальных непонятно как собранных коллекциях вдруг резко перестала нравиться, как только продукт Вашей компании в тесте занял не первое место - так и разбирайтесь сами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано

Олег, не передергивайте. Я в данном случае упирал на то, что тест фаерволов, который в итоге оказался верным, как составляющая теста решений класса _Internet-Security_ - адекватен. Этот компонент теста вы в итоге признали реальным.

В то же время тест на детект вредоносин - уже дело второе, для нас решенное еще в апрельском тесте 4-х антивирусных продуктов (его мы детальному анализу не подвергали) - тест наверняка наследовал вот этому http://soft.cnews.ru/articles/safe/120/

Да, и предыдущий, и текущий тест антивирусных компонентов для нас тоже был под вопросом, пока не перетестировали подборку сами, обнаружив в ней пару ликтестов и с сотню кряков и кейгенов (подробные логи приводить не буду, данные близки к данным ЛК, но мы считаем кейгены потенциально опасными и алертим, как и Симантек с Нодом). Но пока вы не настояли на том, чтобы снять этот тест с публикации (по крайней мере, не повлияли на это прямо или косвенно), мы тоже не занимались этим вопросом вплотную.

Повторюсь, нам не нравятся многие тестирования антивирусных решений, включая Outpost, по "рюшечкам" в интерфейсе и "опыте в выпуске антивирусов", которые дают какие-то сумбурные и субъективные оценки продуктам, технологии защиты в которых работают в непривычном аспекте. Именно поэтому мы ухватились за тест CNews и за тест 3Dnews. Разница между ними все-таки имеется - при одинаков недостаточных выборках есть беда не столько с составом коллекции, сколько с логикой, в рамках которой разница в 1% детекта на сверхмалой подборке представляется провалом, в то время как на другой коллекции победителя так и не выявляют. Поэтому нас волнует отсутствие в печати 1го текста и наличие 2го, хотя в целом он не так плох как ревью.

Да, изначально порочна практика, сбора данных для тестирования невесть где и верификации невесть как и кем. С одной стороны, это показатель профессиональной подготовки авторов одного конкретно взятого издания, с другой стороны - показатель неумения/нежелания или невозможности донести до представителей СМИ, как тестировать те или иные продукты. Четкие указания в виде "Complete Idiot's Guide" по тестированию АВ-продуктов очень нравятся прессе, не забудьте.

Кстати, когда даже на Anti-Malware.ru не находится человека, готового тестировать АВ-решения на быстродействие на Vista... Это говорит как минимум о трудоемкости теста. И о том, что за свои гонорары авторы вряд ли готовы свернуть горы, в отличие от AV-test и AV-comparatives.

Так что, Олег, давайте будем воистину проактивными в подготовке тестирований наших продуктов, чтобы не было грубых ляпов и не пришлось реагировать на них как на грубое искажение реальности.

И вот только со сбором коллекций вопрос, полагаю, так и останется открытым еще надолго - от кого и на каких условиях авторы будут получать malware и как его верифицировать?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Олег Гудилин    95

Олег Гудилин
Опубликовано

Виталий, я не передергиваю. Это ведь цитата касается антивирусной части теста?

Что касается подборки для теста, мне тоже все ясно - ваша 7-ка с Vista SP1 не "сдружилась", а наша 6-ка смогла, и при детекте по требованию с 1-процентным перевесом в вашу пользу сейчас ваша 7-ка безбожно сглючила "на лету". Хотя на этом форуме иного мнения, кроме мнения в поддержку ЛК, не приемлют.
Так что, Олег, давайте будем воистину проактивными в подготовке тестирований наших продуктов, чтобы не было грубых ляпов и не пришлось реагировать на них как на грубое искажение реальности.

И вот только со сбором коллекций вопрос, полагаю, так и останется открытым еще надолго - от кого и на каких условиях авторы будут получать malware и как его верифицировать?

Я, Виталий, предлагаю при встрече (надеюсь она будет скорой) за кружечкой чего-нибудь вкусного обсудить эту проблему, попытаться сформулировать пути решения.

На мой взгляд существуют пути решения проблемы хотя бы сбора самплов (сети провайдеров и крупных компаний). В любом случае при больших объемах коллекций влияние "брака" должно уменьшится. А с верификацией могут и вендоры помочь, можно просто базы морозить перед верификацией, чтобы никто повлиять не смог.

Нужно начинать простраивать систему российского тестирования, но тесты аналогичные данному не очень хорошее начало.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано
Виталий, я не передергиваю. Это ведь цитата касается антивирусной части теста?

Цитата - не более чем мое эмоциональное отношение к результатам всего теста (ликтесты в ней маячат между строк, ибо 4-6), в детали я не вдавался на тот момент. После детального анализа очевидно, что в ней могло быть и поменьше эмоций. Так что извините, ввел в заблуждение.

И тем не менее соглашусь, что формировать коллекции для весомых тестов нужно более взвешенно и при активном наблюдении со стороны вендоров. Но тут характер общения с прессой таков, что с изданиями либо ругаются постфактум, либо просто машут рукой "что с них взять, они непрофессионалы", а еще втихую можно пригрозить рекламу снять (известны прецеденты, ну да не о них мы). А вот такую бизнес-этику нужно менять, ведь когда журналисты боятся описывать или тестировать - это не свобода слова, это черт знает что.

Непрофессионалов - учить, наталкивать "на путь истины", "натаскивать" :)

Особо невменяемых - отстреливать (но это крайний случай).

Ибо в дальней перспективе Avast! Home Edition, AVG Free, Avira Antivir Personal и пока еще далекий от совершенства Comodo Anti-Malware могут в определенный момент "убить" рынок коммерческих антивирусных продуктов для дома (мы уже почувствовали на себе давление со стороны Comodo Firewall).

Так что обсуждать за кружечкой есть смысл многое - но не только нам, но и нашим аналитикам и техническим директорам. Попробуем это провернуть летом - я так полагаю, Вы предложите в Москве, хотя "уж лучше вы к нам". В крайнем случае - отложим до осеннего ISDEF.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Тесты и сравнения

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки https://www.comss.ru/page.php?id=18618
    • AM_Bot
      Обзор CrossTech Container Security 3.0: решение для защиты контейнерной инфраструктуры

      От AM_Bot · Опубликовано

      Вендор Crosstech Solutions Group выпустил решение для защиты контейнерной инфраструктуры Crosstech Container Security (CTCS). Оно обеспечивает безопасность контейнерных сред: от сканирования образов до контроля запуска рабочих нагрузок и реагирования на инциденты в средах выполнения.      ВведениеФункциональные возможности Crosstech Container Security2.1. Анализ и контроль безопасности образов2.2. Контроль запуска контейнеров2.3. Безопасность в средах выполнения (Runtime Security)2.4. Безопасность окружения2.5. Внешние интеграцииАрхитектура Crosstech Container Security3.1. Основные компоненты Crosstech Container SecurityСистемные требования и лицензирование Crosstech Container Security4.1. Лицензирование4.2. Требования к аппаратной части4.3. Требования к программной части4.4. Процесс установкиСценарии использования5.1. Сценарий №1. Сканирование образов5.2. Сценарий №2. Политики безопасности образов контейнеров5.3. Сценарий №3. Контроль запуска контейнеров5.4. Сценарий №4. Мониторинг безопасности сред выполненияВыводыВведениеРоссийский рынок контейнерных разработок постоянно растёт. В 2024 году затраты на ПО для контейнеризации достигли 3 млрд рублей — это на 66 % больше, чем в 2023. Контейнерные технологии ускоряют процессы разработки, экономят ресурсы компаний, поэтому их всё чаще внедряют в свою работу ИТ-департаменты.Вместе с ростом масштабов контейнеризации увеличивается и поверхность атак: уязвимости в образах, ошибки конфигураций, несанкционированные действия внутри контейнеров. Crosstech Container Security помогает компаниям выстраивать комплексную систему защиты контейнерной инфраструктуры.Функциональные возможности Crosstech Container SecurityCrosstech Container Security объединяет функции анализа, мониторинга и управления безопасностью контейнерных сред. Решение охватывает весь жизненный цикл контейнера — от момента его создания до удаления. Продукт помогает DevSecOps-командам выявлять уязвимости, проверять конфигурации, контролировать сетевую активность и реагировать на инциденты в режиме реального времени.Анализ и контроль безопасности образовCrosstech Container Security интегрируется с реестрами хранения образов и позволяет проводить их сканирование как в ручном режиме, так и по расписанию. В результате анализа система обнаруживает дефекты в образах: уязвимости, неправильные конфигурации, секреты, а также фиксирует используемые в образах OSS-лицензии для пакетов и библиотек. По каждому найденному дефекту предоставляется детальная информация.CTCS поддерживает экспорт SBOM в форматах SPDX и CycloneDx, что упрощает аудит и обмен данными с другими решениями. Интерфейс продукта предоставляет визуализацию образов с маппингом (сопоставлением данных) на дефекты безопасности. CTCS также осуществляет дискаверинг (обнаружение) образов, располагающихся в защищаемых кластерах и на standalone-хостах.Для автоматизации контроля доступны настраиваемые политики безопасности образов, разделяемые по критериям:наличие уязвимостей в образах контейнеров выше заданной оценки критичности;наличие уязвимостей в образах контейнеров согласно заданным идентификаторам;обнаружение root в Dockerfile;возможность указания перечня образов, на которые будет распространяться созданная политика безопасности образов.При нарушении хотя бы одного из критериев политики администратор получает уведомление в интерфейсе CTCS и может оперативно принять меры: заблокировать образ, исключить его из деплоя или добавить в список исключений с указанием причины. Такой подход обеспечивает прозрачность процессов и повышает уровень доверия к среде разработки и эксплуатации.Контроль запуска контейнеровРешение обеспечивает контроль запуска контейнеров как в средах Kubernetes, так и на отдельных standalone-хостах в соответствии с заданными политиками безопасности. Это позволяет предотвращать запуск рабочих нагрузок, не соответствующих требованиям безопасности компании, ещё на этапе их инициализации.В зависимости от настроек администратор может выбрать режим реагирования: блокирование или оповещение о нарушении политики безопасности. Информация обо всех срабатываниях отображается в интерфейсе системы, обеспечивая прозрачность и возможность оперативного реагирования.Политики безопасности включают следующие критерии:попытка запуска контейнеров на базе образов, не соответствующих политикам безопасности;попытка запуска контейнеров из-под пользователя root;попытка запуска контейнеров с повышенными привилегиями ядра Linux;контроль запуска контейнеров на базе образов, не прошедших сканирование CTCS.Дополнительно решение поддерживает интеграцию с OPA Gatekeeper и имеет возможность создания и импорта политик через интерфейс CTCS.Безопасность в средах выполнения (Runtime Security)CTCS использует возможности инструмента Tetragon для создания и применения кастомных политик безопасности, позволяющих контролировать сетевые взаимодействия внутри контейнеров. Администраторы могут выбрать набор кластеров для распространения политик, что обеспечивает гибкость при внедрении требований безопасности.Вся информация о срабатываниях политик фиксируется в интерфейсе CTCS, предоставляя специалистам по информационной безопасности прозрачную картину активности в средах выполнения и возможность оперативного реагирования на инциденты.Безопасность окруженияРешение выполняет сканирование кластеров на соответствие стандартам конфигурирования CIS Kubernetes Benchmarks. Аналогично система проводит проверку standalone-хостов на соответствие CIS Docker Benchmarks. Дополнительно CTCS поддерживает сканирование конфигурационных файлов, расположенных в директориях нод кластеров, выполняя роль сканера на основе IaC (Infrastructure as Code, управление инфраструктурой через использование кода).Внешние интеграцииРешение поддерживает интеграцию с реестрами хранения образов, что обеспечивает доступ к актуальным данным для анализа и контроля безопасности контейнеров. Также CTCS поддерживает передачу журналов событий в системы сбора по протоколу Syslog для их централизованного хранения и обработки.Доступна интеграция с системой идентификации, управления доступом Keycloak с поддержкой OAuth и доменными службами каталогов. Это позволяет пользователям авторизовываться в интерфейсе системы через доменные учётные записи. Рисунок 1. Планы по развитию Crosstech Container Security Архитектура Crosstech Container SecurityАрхитектура CTCS реализована в формате однонаправленных соединений со стороны ядра системы в сторону агентов защиты (протокол TCP/IP), располагающихся в защищаемых кластерах. Такой подход позволяет использовать инстанс ядра в единственном экземпляре для инфраструктур, сегментированных по уровням доверия. Рисунок 2. Логическая архитектура Crosstech Container Security Основные компоненты Crosstech Container SecurityCTCS состоит из 3 основных компонентов:CTCS Core — группа микросервисов, отвечающая за управление системой: хранение данных, настроек, создание политик безопасности, бизнес-логика продукта, а также взаимодействие со смежными системами.CTCS Agent-Manager: модуль агент-менеджера реализован в формате оператора Kubernetes с целью контроля за установкой и изменениями кастомных ресурсов (custom resource definition, CRD), а также управления и передачи информации агент-воркерам, устанавливаемым на каждую защищаемую ноду в формате DaemonSet.CTCS Scanner — модуль, сканирующий образы контейнеров на уязвимости, неправильные конфигурации, конфиденциальные данные, информацию по OSS-лицензиям для пакетов и библиотек из состава образа, а также сканирующий кластеры на соответствие стандартам конфигурирования.Системные требования и лицензирование Crosstech Container SecurityПеред выбором модели лицензирования заказчикам рекомендуется оценить масштаб защищаемой инфраструктуры и нагрузку на кластеры. Crosstech Container Security предусматривает гибкий подход: ядро и агенты могут разворачиваться в разных сегментах сети, включая тестовые и продуктивные среды. Такой принцип позволяет оптимально распределять ресурсы и лицензии, избегая избыточных затрат.ЛицензированиеCTCS лицензируется по количеству защищаемых нод, на которые распространяются агенты защиты.В продукте реализовано гибкое лицензирование, которое позволяет заказчикам самостоятельно выбирать перечень защищаемых объектов. При достижении лимита по количеству лицензий, предусмотренных договором, администратор может отключить часть текущих объектов защиты и переназначить лицензии на новые кластеры и ноды. Рисунок 3. Включение/выключение агентов защиты Рисунок 4. Лицензии CTCS На странице лицензирования доступна подробная информация о параметрах действующей лицензии. Пользователь видит:количество оставшихся дней действия лицензии;количество нод, предусмотренных лицензией;актуальные данные о числе используемых нод в рамках лицензии;сведения о типе лицензии;информация о поставщике;информация о владельце лицензии.Рисунок 5. Страница «Лицензирование» Требования к аппаратной частиКластер, на котором производится установка CTCS, должен соответствовать минимальным характеристикам, приведённым ниже. Для определения значений millicpu (единицы времени процессора, эквивалентной тысячной части работы, которую может выполнить одно ядро CPU) рекомендуется воспользоваться документацией Kubernetes.Кластер, на который будет установлен helm-чарт ядра (без учёта сканера) должен иметь характеристики не ниже 8190 millicpu, 7410 MiB RAM.Для каждого экземпляра сканера: 3 CPU, 6 GB RAM, при добавлении дополнительных экземпляров значения увеличиваются пропорционально.В случае использования большего количества реплик значения пропорционально умножаются на их число. По умолчанию в чарте допускается до 6 реплик, что требует 18 CPU, 36 GB RAM.Каждый кластер для развёртывания чарт-агента должен иметь 2 CPU, 8 GB RAM.Необходимый минимум для каждой используемой СУБД PostgreSQL: 4 CPU, 8 GB RAM, 100 GB.Приведённые требования указаны для усреднённой конфигурации и могут быть изменены в зависимости от количества одновременных сканирований образов, генерируемых событий, деплоев, пространств имён (namespaces) и подов.Требования к программной частиДля корректной интеграции и работы приложение CTCS должно быть развёрнуто в кластере Kubernetes. При настройке системы в конфигурационном файле helm-чарта должны быть настроены необходимые параметры.Поддерживаемые контейнерные среды CRI (container runtime interface): containerd и docker.В момент выполнения инструкции на хосте администратора должны быть установлены следующие утилиты для выполнения установки:tar;helm;kubectl.Необходимые сервисы в инфраструктуре:PostgreSQL: рекомендуется размещать базу данных для хранения логов на отдельном инстансе от основной БД, чтобы избежать падения производительности основных операций при большом объёме логируемых событий;Keycloak (опционально, имеется возможность поставки в составе дистрибутива);Vault (опционально, имеется возможность использования стандартного объекта Kubernetes Secret).Требования к операционной системе и ядру:рекомендуется использовать ОС с версией ядра 5.4 или выше для обеспечения поддержки Tetragon;в ядре должна быть включена функция BTF;должны быть активированы модули eBPF и cgroup, а также корректным образом настроены или отключены модули безопасности Linux (LSM), контролирующие запуск eBPF-программ (в соответствии с официальной документацией Tetragon).Требования к версиям Kubernetes:центральная управляющая часть кластера – не ниже версии 1.23;дочерние кластеры – версия 1.23 или выше.Дополнительные требования:В кластере Kubernetes должен быть установлен, подключён и настроен storage class, в котором будет минимум 10 GB свободного места.В master-кластер должен быть установлен External Secrets (опционально).В дочерние кластеры должен быть установлен External Secrets (опционально).Во всех кластерах, где развёртывается ядро и агенты CTCS, должен быть установлен ingress-контроллер.Совокупность этих требований обеспечивает стабильную работу системы и корректное взаимодействие всех модулей CTCS. При соблюдении указанных параметров производительность решения остаётся предсказуемой даже при высокой интенсивности сканирований и большом количестве событий безопасности. Такой подход гарантирует надёжность, масштабируемость и устойчивость контейнерной инфраструктуры.Процесс установкиДля развёртывания CTCS вендор предоставляет архив, содержащий helm-чарты и образы системных контейнеров. При необходимости может быть предоставлена учётная запись для выгрузки дистрибутивов из репозиториев вендора напрямую.Сценарии использованияCrosstech Container Security закрывает ключевые задачи обеспечения безопасности контейнерных платформ — от анализа уязвимостей до защиты на уровне среды выполнения. Решение органично интегрируется в процессы DevSecOps и помогает компаниям повысить устойчивость инфраструктуры к современным киберугрозам без потери скорости разработки.Сценарий №1. Сканирование образовCTCS позволяет выполнять сканирование образов контейнеров, хранящихся как в интегрированных реестрах образов, так и локально в защищаемых кластерах. Рисунок 6. Подключённые реестры После интеграции с реестрами образов на вкладке «Образы» – «Реестры» отображается подключённый реестр и информация о хранящихся в нём образах. Реализовано в формате иерархии:Реестры.Название образа и количество его версий (тегов).Название образа и его версии.Карточка конкретного образа.Рисунок 7. Образ и список его версий Рисунок 8. Карточка образа На каждом уровне иерархии есть возможность запуска сканирования по требованию с выбором типа дефектов, которые будут учитываться в процессе сканирования. Дополнительно предоставляется общая информация об образе, данные о его соответствии установленным политикам, сведения о слоях образов с маппингом на обнаруженные дефекты. Рисунок 9. Слои образа На странице интеграций с реестрами в настройках доступно выставление расписания для проведения автоматизированного сканирования. Рисунок 10. Сканирование по расписанию Для работы с образами, обнаруженными локально в защищаемых кластерах, доступна отдельная вкладка «Образы» – «Локальные образы». Рисунок 11. Таблица локальных образов При запуске процесса сканирования доступен выбор ноды, на которой он будет проводиться. Если обнаруженный образ находится в интегрированном реестре, сканирование будет приоритетно выполняться на стороне ядра системы в рамках интеграции с реестром. Рисунок 12. Выбор нода для проведения сканирования Сценарий №2. Политики безопасности образов контейнеровВ рамках Crosstech Container Security реализовано создание политик безопасности для образов контейнеров. После их настройки система автоматически проверяет все известные образы на соответствие заданным критериям. По результатам проверки на карточке каждого образа отображается информация о соответствии или несоответствии политикам безопасности (Рисунок 7). Если образ нарушает несколько политик безопасности одновременно, в карточке отображается, какие именно политики безопасности были нарушены. Рисунок 13. Создание политики безопасности образов Сценарий №3. Контроль запуска контейнеровВ CTCS доступна интеграция с OPA Gatekeeper, обеспечивающая валидацию контейнерных деплоев и реагирование в соответствии с заданными политиками безопасности.При настройке политик безопасности доступен выбор режима реагирования — оповещение либо блокировка — а также определение перечня критериев безопасности, по которым будет осуществляться контроль. Рисунок 14. Таблица политик валидации и контроля запусков Политики безопасности могут создаваться по выделенным критериям (Рисунок 13) или импортироваться в виде кастомных политик (Рисунок 14). Рисунок 15. Создание политики валидации и контроля запусков Рисунок 16. Импорт кастомных политик безопасности Результаты срабатывания политик доступны в интерфейсе системы, что позволяет оперативно анализировать инциденты и корректировать настройки безопасности. Рисунок 17. Срабатывание политик валидации и контроля запусков Сценарий №4. Мониторинг безопасности сред выполненияВ текущей версии реализован мониторинг безопасности сред выполнения на базе Tetragon, что позволяет контролировать эксплуатацию рабочих нагрузок.В CTCS доступна форма для создания или импорта готовых политик безопасности с возможностью выбора области применения. Рисунок 18. Создание политики среды выполнения При срабатывании политик система отображает перечень событий в формате таблицы. Для каждого события можно перейти в режим детального просмотра, где отображается его идентификатор, дата и время создания, короткое описание и содержание в формате json. Рисунок 19. Событие срабатывания политики среды выполнения ВыводыАнализ решения Crosstech Container Security показал, что в версии 3.0.0 продукт предоставляет широкие функциональные возможности для защиты контейнерной инфраструктуры: от обеспечения безопасности образов контейнеров до контроля запуска и реагирования на нелегитимные процессы в средах выполнения в соответствии с политиками безопасности. CTCS также предоставляет инструменты для проведения сканирований защищаемых кластеров на соответствие стандартам конфигурирования, что повышает уровень безопасности контейнерной инфраструктуры.Достоинства:Архитектура. Благодаря однонаправленным соединениям со стороны ядра системы в сторону агентов защиты обеспечивается соответствие требованиям заказчиков, которые используют «Zero Trust»-модель на уровне сегментов инфраструктуры.Широкая площадь покрытия. CTCS обеспечивает контроль запуска контейнеров не только в рамках оркестратора Kubernetes, но и на отдельных хостах контейнеризации за счёт использования standalone-агентов.Гибкие возможности при работе с API. Весь функционал из веб-интерфейса CTCS также доступен для вызова через API, что позволяет специалистам заказчика решать нетривиальные задачи в рамках своей рабочей деятельности и интегрировать продукт в существующие процессы.Удобство при работе со сканированием образов. Иерархический подход обеспечивает гибкость при выборе области сканирования и повышает прозрачность анализа.Недостатки:Отсутствие возможности встраивания в процесс сборки (CI/CD) (планируется к реализации в первом квартале 2026 года).Отсутствие данных по ресурсам Kubernetes (Workloads, RBAC, Custom Resources, Feature Gates): планируется в 4-м квартале 2025 – 1-м квартале 2026).Отсутствие настройки гибкого разграничения прав доступа пользователей в интерфейс системы (реализация запланирована на первый квартал 2026).Отсутствие отчётности по результатам работы с системой (планируется в первом квартале 2026).Реклама, 18+. ООО «Кросстех Солюшнс Групп» ИНН 7722687219ERID: 2VfnxvVGwXfЧитать далее
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
×