Проактивная реактивность

Проактивная реактивность
С одной стороны, мы дома сидим,
С другой стороны, мы едем!
Александр Аронов "Полный вперед!"

Мы не раз говорили о том, что TH - проактивный подход, поскольку не полагается на заблаговременно подготовленные сигнатуры . Слово "проактивность" имеет смысл некоторого упреждения, а поскольку мы говорим об обнаружении атак, может сложится ощущение "упреждения обнаружения", т.е. "предотвращения". Это не так.

Все, что можно упрежденно обнаружить и предотвратить - обрабатывается автоматическими  превентивными средствами защиты . ТН - не автоматизируется полностью, а следовательно, не годится в качестве превентивного средства защиты. ТН - направлен на обнаружение атак, обошедших используемые превентивные средства защиты, т.е. это - следующий эшелон защиты. Как правило, такие атаки "очень похожи" на легитимное поведение и не используют вредоносных образцов, которые можно было бы автоматически полечить, а, следовательно, чем более похожа атака на "не атаку", тем больше факторов надо собрать для принятия решения, и тем позже будет сделан вердикт . В зрелом ТН сбор и анализ факторов максимально автоматизирован, однако решение все равно принимает аналитик (если бы аналитик был не нужен - был бы просто детект продукта ) и уже после взлома .


Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Сергей Солдатов

REPLY-TO-ALL is a double language blog (English/Russian) run by three information security practitioners. Want to discuss information security problems? This is the place.