Итоги 6 месяцев работы технологии SmartDecision

Эффективность превентивной блокировки новых угроз при малом числе ложных срабатываний.

Уважаемые пользователи продуктов Outpost Pro версии 7.5 (7.5.1) – Performance Edition!

Вы совершенно не зря перешли на новую версию. Об этом нам говорит статистика системы ImproveNet по новым угрозам, заблокированным модулем «Проактивная защита» с помощью технологии SmartDecision с вердиктом «Вредоносное ПО» и красным цветом окна уведомления.

Напомним, что файлы новых угроз и данные вызванных ими оповещений Outpost  анонимно (и с вашего согласия при отсылке – и спасибо вам за участие) отсылаются на сервера Agnitum, где обрабатываются в системе ImproveNet. Большая часть этих файлов начнет определяться позднее модулем «Антивирус + Антишпион» в итоге работы вирусных аналитиков. Но сейчас мы поговорим только о тех файлах, что были неизвестны антивирусным модулям Outpost на момент их блокировки продуктом.

Статистика неумолима – из присланных нам файлов с наихудшим рейтингом SmartDecision:

  • 28% – вредоносны безусловно, и они сразу же добавляются в базу антивируса,
  • 12% – являются новыми программами или новыми версиями, причем большая часть их создана в результате взлома или неофициальной «прошивки» («патча»), а только 3% – ранее неизвестные нам продукты (или их версии).
  • 60% – подозрительны и исследуются вирусными аналитиками дополнительно ТОЛЬКО после накопления статистики по данным файлам, причем порядка трети из них оказываются действительно вредоносными, для оставшихся 40% от общей выборки информация в нашей базе никогда более не появляется, т.к. таких файлов более ни у кого не обнаруживается (уникальные процессы и файлы).

Таким образом, технология SmartDecision дает всего лишь 3% ложных срабатываний, при этом наполняя базу антивируса за счет 45-50% присланных автоматически файлов с вердиктом «Вредоносное ПО».

А как вам лично помогла технология SmartDecision?

 

Tags: , , , ,

«
»
 

Комментарии (9) »

  1. комментарий by Николай
    Декабрь 24, 2011 @ 7:56 пп

    Очень удивило, что нет предустановок для Skype.

  2. комментарий by Dmitriy K
    Декабрь 26, 2011 @ 1:10 пп

    Предустановки есть и для загрузчика Skype, и для самого клиента. Возможно, вы отключили автосоздание правил для доверенных приложений в разделе ImproveNet.

  3. комментарий by Виталий Янко
    Декабрь 26, 2011 @ 1:25 пп

    Собственно, Николай – Дмитрий верно все отметил.

  4. комментарий by Виталий
    Декабрь 27, 2011 @ 5:02 пп

    Вижу такую табличку каждый раз когда обновляю программу 2ГИС

  5. комментарий by Ivanich
    Декабрь 28, 2011 @ 12:13 пп

    Дак правильно, 2GIS обновляет компоненты, значит изменяется, значит вызывает подозрение у Outpost, о чём он честно и информирует.

  6. комментарий by Андрей
    Декабрь 28, 2011 @ 3:32 пп

    Здравствуйте Виталий! У меня назрели следующие вопросы:
    1. В случае отключение пользователем технологии ImproveNet осуществляется ли передача, каких либо данных в компанию Agnitum?
    Это вопрос не из праздного любопытства, просто меня очень сильно смущает пункт 10 Лицензионного соглашения (http://www.agnitum.ru/support/kb/article.php?id=1000216&lang=ru). Сразу сделаю оговорку: Я являюсь легальным пользователем.
    2. В случае отключения ImproveNet информация о новых правилах для приложений поступает (доступна) пользователю или нет?
    Для примера: При отключении пользователем технологии Kaspersky® Security Network (http://www.kaspersky.ru/downloads/pdf/kaspersky_security_network.pdf) информация из сети KSN доступна пользователю, но данные в сеть KSN не передаются.
    3. При изучении лицензированного у компании Agnitum ПО «Код Безопасности» – Security Studio Endpoint Protection (SSEP) заметил интересную особенность: скорость обновления программы с Российского сервера ООО «Код Безопасности» гораздо выше, чем с серверов Agnitum, расположенных в США. Отсюда возник вопрос: Может, компании Agnitum, стоит разместить часть серверов по территориальному признаку?
    Также, я очень надеюсь, что документация на продукты серии Outpost будет приведена к более наглядному виду. Сравните Руководство пользователя SSEP и Outpost – это “небо и земля”.

  7. комментарий by Виталий Янко
    Декабрь 29, 2011 @ 10:59 дп

    Ivanich, спасибо за комментарий – скоро обновим правила для 2Gis.

    Андрей, касательно пункта 10 – если не участвуете в ImproveNet, данные не передаются. Получение правил оттуда – это НЕ следствие участия в программе. В настройках однозначно видно, что автоприменение правил из ImproveNet – раздельно с отправкой файлов и сбором данных.
    Касательно скорости обновления – присылайте данные в поддержку, разберемся, помогут ли Вам российские сервера.
    Касательно документации – какие именно разделы считаете неполными?

  8. комментарий by Андрей
    Январь 6, 2012 @ 1:59 пп

    «Касательно скорости обновления – присылайте данные в поддержку, разберемся, помогут ли Вам российские сервера.»
    По поводу серверов обновлений – довольно неразумно хранить все «яйца в одной корзине». Не зря же многие AV-компании размещают зеркала обновлений по территориальному признаку.
    «Касательно документации – какие именно разделы считаете неполными?»
    У «Кода Безопасности» оформление документации в целом лучше воспринимается визуально(содержание аналогичное вашему :) ).

  9. комментарий by Виталий Янко
    Январь 11, 2012 @ 3:00 пп

    Андрей, спасибо за пожелания, но данные нам нужны, чтобы проанализировать, как идет Ваш трафик – чтобы он попал напрямую российские сервера. Из личного примера – недавно оказалось, что у 2 ISP в СПб к Яндексу пускают «в обход России» – 1 через Румынию, второй – через Германию… И что прикажете с этим делать?

    И, собственно, со вчерашнего вечера бета-тестерам доступна версия 7.5.2 BETA.

    Как известно, стать бета-тестером можно, записавшись тут: http://www.agnitum.ru/support/contact.php

Оставить комментарий

Security Code: