03.09.2015, 07:43
Trochę się pogubiłem w tej dyskusji i filmu też nie widziałem, ale chyba mogę powiedzieć:
- poziom "pytaj użytkownika" nie pracuje na wbudowanych białych listach, więc teoretycznie każda akcja/modyfikacja którą SS może wykryć będzie zgłaszana do akceptacji
- SS nie jest pakietem IS ani programem AV, więc nie ma co oczekiwać, że będzie chronił jak one, choć mogą one mieć moduły proaktywne, ochronę lokalizacji czy restrykcje na aplikacje...to jeszcze nie pełnoprawny klasyczny HIPS czy zapora, ale na pewno niezwykle skuteczny antyloger z dodatkowymi funkcjami, które czynią go bardzo uniwersalnym narzędziem...nie można oczekiwać więcej, niż możemy wyciągnąć z funkcji i własnych podkręconych ustawień
- niestety SS nie posiada funkcji "lock-down" jak w ERP, które jest klasycznym anty-exe, więc automatycznie nie zablokuje wszystkiego, poza tym co ma regułę zezwól...wg mnie funkcja "blokuj podejrzane aplikacje" wykryje i zablokuje tylko te akcje/aplikacje, które są niezgodne z ustanowionymi regułami na naszej liście i są zgodne listą wykrywanych akcji...ERP zablokuje uruchomienie każdego procesu, który nie jest na WL i zrobi to po cichu, albo z powiadomieniem o blokadzie
- poszerzenie ochrony o wcześniejszą opcję restrykcji na obszary dysku (obecnie funkcja SandBox) daje możliwość nałożenia restrykcji (zmniejszenia uprawnień) na wszystkie obiekty i tym samym może zapobiegać uruchomieniu szkodników...ale nie musi
- dodanie ostatnio funkcji ochrony własnych plików/folderów daje kolejną warstwę czyli monitorowanie dostępu do nich i tym samym możliwość zapobiegania otwieraniu/modyfikacji ich zawartości.
Ochrona plików/folderów była kiedyś (tak z 10 lat temu nawet) popularną funkcją,c o widać po starych programach typu HIPS/monitor/bloker, więcej nawet powstawały specjalne programy do takiej ochrony jak np. System Protect...teraz to wraca wraz pojawieniem się cryptolokerów i znów powstają takie programy lub dodaje się podobne funkcjonalności. Dlatego kiedyś do SS dodawałem ThreatFire (RIP...), który oferował taką ochronę...
I jeszcze jedno...bardziej do testów niż do praktyki rzeczywistych zagrożeń. Testy z góry zakładają, że uruchamiamy znane sobie pliki...znane nie znaczy zaufane...i oczekujemy na reakcję testowanego programu...w życiu oczekujemy takich akcji jeśli świadomie coś uruchamiamy, ale jeśli nagle i znikąd pojawia się komunikat i to jeszcze o czymś dla nas nieznanym, to raczej powinniśmy sie temu przyjrzeć i zareagować z większą ostrożnością, więc zakładam, że sprawdzenie i blokowanie będzie raczej naturalnym wyborem.
- poziom "pytaj użytkownika" nie pracuje na wbudowanych białych listach, więc teoretycznie każda akcja/modyfikacja którą SS może wykryć będzie zgłaszana do akceptacji
- SS nie jest pakietem IS ani programem AV, więc nie ma co oczekiwać, że będzie chronił jak one, choć mogą one mieć moduły proaktywne, ochronę lokalizacji czy restrykcje na aplikacje...to jeszcze nie pełnoprawny klasyczny HIPS czy zapora, ale na pewno niezwykle skuteczny antyloger z dodatkowymi funkcjami, które czynią go bardzo uniwersalnym narzędziem...nie można oczekiwać więcej, niż możemy wyciągnąć z funkcji i własnych podkręconych ustawień
- niestety SS nie posiada funkcji "lock-down" jak w ERP, które jest klasycznym anty-exe, więc automatycznie nie zablokuje wszystkiego, poza tym co ma regułę zezwól...wg mnie funkcja "blokuj podejrzane aplikacje" wykryje i zablokuje tylko te akcje/aplikacje, które są niezgodne z ustanowionymi regułami na naszej liście i są zgodne listą wykrywanych akcji...ERP zablokuje uruchomienie każdego procesu, który nie jest na WL i zrobi to po cichu, albo z powiadomieniem o blokadzie
- poszerzenie ochrony o wcześniejszą opcję restrykcji na obszary dysku (obecnie funkcja SandBox) daje możliwość nałożenia restrykcji (zmniejszenia uprawnień) na wszystkie obiekty i tym samym może zapobiegać uruchomieniu szkodników...ale nie musi
- dodanie ostatnio funkcji ochrony własnych plików/folderów daje kolejną warstwę czyli monitorowanie dostępu do nich i tym samym możliwość zapobiegania otwieraniu/modyfikacji ich zawartości.
Ochrona plików/folderów była kiedyś (tak z 10 lat temu nawet) popularną funkcją,c o widać po starych programach typu HIPS/monitor/bloker, więcej nawet powstawały specjalne programy do takiej ochrony jak np. System Protect...teraz to wraca wraz pojawieniem się cryptolokerów i znów powstają takie programy lub dodaje się podobne funkcjonalności. Dlatego kiedyś do SS dodawałem ThreatFire (RIP...), który oferował taką ochronę...
I jeszcze jedno...bardziej do testów niż do praktyki rzeczywistych zagrożeń. Testy z góry zakładają, że uruchamiamy znane sobie pliki...znane nie znaczy zaufane...i oczekujemy na reakcję testowanego programu...w życiu oczekujemy takich akcji jeśli świadomie coś uruchamiamy, ale jeśli nagle i znikąd pojawia się komunikat i to jeszcze o czymś dla nas nieznanym, to raczej powinniśmy sie temu przyjrzeć i zareagować z większą ostrożnością, więc zakładam, że sprawdzenie i blokowanie będzie raczej naturalnym wyborem.