SpyShelter FW przeciwko ransomware - test na MT
#1
Test jest sprzed kilku dni i dotyczy wykrywania szkodników typu ransomware przez SpyShelter Firewall. Początek filmiku pokazuje, że aplikacja była na ustawieniach domyślnych czyli m.in. na poziomie ochrony "automatycznie zezwól - wysoki poziom". SS przepuszcza jednego szkodnika i to bez żadnego alertu, co dość mnie zastanawia, bo to oznacza wg mnie, że prawdopodobnie mimo kolejnych decyzji na alert "zakończ" utworzyła się reguła zezwalająca dla procesu Explorer.exe na uruchamianie pliku z pulpitu. Autor testu jednak nie pokazuje w trakcie, czy jakieś reguły się utworzyły zwłaszcza w zakładce "Kontrola startu aplikacji".
Jeśli macie jakieś swoje teorie...komentujcie.



Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Wiem o tym zajściu pytałem o próbkę wirusa abym mógł to sprawdzić u siebie na kompie, ale bez odzewu.
i nie sprzed kilku dni tylko tygodnia rozmowa toczyła sie od ponad tygodnia a tydz temu został dodany filmik obrazujący sytuacje. Smile
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Juan raczej nie odpisuje. Subuje na YT gościa od dawna - ma fajne regularne testy. Co do faila SSFW, to pewnie wystarczyło dodać folder, który chce się uchronić przed ransomem (Ustawienia --> Ochrona --> Zdefiniowana przez użytkownika lista plików chronionych). Oraz dodać folder, z którego uruchamia ransomy do ograniczonych aplikacji (Ograniczone Aplikacje --> Lista ograniczonych aplikacji --> Dodaj folder). Takie combo zabezpieczy przed ransomami skutecznie. Podejrzewam, że starczyło by skorzystanie nawet z jednej z podanych opcji.
Odpowiedz
#4
Oczywiście, że można włączyć ochronę plików/folderów, a na dodatek nadać ograniczenia dla ryzykownych lokalizacji, ale tu powodem...pewnie nieświadomym...może być metodologia. Na tym poziomie ochrony SS tworzy automatyczną regułę zezwalającą na uruchamianie dowolnego pliku dla mi.in. Explorer.exe (odpowiada on za m.in. uruchamianie obiektów z pulpitu) - to ta reguła w zakładce "kontrola startu aplikacji", gdzie zamiast ścieżki mamy symbol gwiazdki (pisałem o tym w swoim artykule)...to niebezpieczna reguła wg mnie i należy jej unikać.
Nie znam specyfiki tego szkodnika i być może wykorzystał opisane możliwości, a autor reguł nie sprawdzał...i nam też nie pokazał.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości