24.10.2011, 19:58
lukasamd napisał(a):Ja mam do Was takie nietypowe pytanie: czym sugerujecie się podejmując decyzje?
Pytam, bo mam go znowu i na poziomie ochrony auto-zezwalanie (domyślny wysoki) zdarza się pytać np. o explorer.exe. Gdy chcę coś kopiować np. na pendrive sprawa jest oczywista, gorzej gdy okienko pokazuje się "nagle", np. przy kopiowaniu czegoś do schowka. Czasami okazuje się, że zarówno zablokowanie jak i zezwolenie dają taki sam rezultat, w tym przypadku po prostu dane trafiają do schowka a potem mogę je wkleić gdzie zechcę.
Cholera...pytanie jest zasadnicze, a przy tym trudne, bo zależy od użytkownika, jego wiedzy, doświadczenia, znajomości swojej maszyny i systemu, trochę wiedzy o możliwych podejrzanych akcjach...strasznie dużo tego "zależy od..." Zależy też od tego czy uruchamiamy znaną aplikację i mamy monit o czymś nowym, czy uruchamiamy coś nieznanego...jeśli wiem, co instaluję i skąd czasem daję tryb instalacji, a czasem patrzę na alerty, żeby zobaczyć co się będzie dziać i zmieniać w systemie. Moim ulubionym przykładem dokładności wykrywania akcji przez SS jest robienie zrzutu ekranu za pomocą znanego menadżera plików FreeCommander...SS od razu wyłapuje akcję i nie pamiętam by jakikolwiek HIPS samodzielny czy zamontowany w zaporze zapytał o to...nawet OA wtedy milczy. Czasem jeden proces może wywołać kolejne po sobie monity, bo wykrywane akcje są inne...warto popatrzyć na kody tych akcji. Oczywiście podczas włączonego trybu instalacyjnego niczego nie widzimy, bo dopuszczamy tryb "cichy" dla użytkownika, ale wyrobiłem sobie praktykę przy HIPSach...nie tylko w przypadku SS...że potem sprawdzam w regułach aplikacji czy mam instalator i wyrzucam go - wtedy wszystkie akcje tego programu mam "na czysto" i pod kontrolą. U mnie SS pracuje w trybie "pytaj użytkownika"...nie przeszkadza mi to, a przy tym daje wiedzę o działaniu procesów inną, niż ta którą mogą zaprezentować klasyczne HIPSy.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"