Poczekaj na studia, kiedy bęziesz musiał przedstawić dane i wnioski, do których nie masz źródeł.
Ale OK wyjaśnię CI.
Przy dużej grupie komputerów szansa ataku, statystycznie wynosi Y.
Mając grupę komputerów Z, dzielimy je na równie liczne grupy A i B.
W Internecie istnieje liczba zagrożeń L.
Przy równej liczebności A i B, i uwzględniając nieznany nam wskaźnik Y, sumaryczna liczba ataków w okresie Q wyniesie X, które stanowi R procent z L.
Reasumując:
Nie ma znaczenie jaką liczbą jest Y, R,L, Z czy X. Ważne jest, która z dwu grup A czy B wykryje więcej ataków, gdyż będzie to zawsze większy procent, nieznanej nam liczby zagrożeń.
Świetny żart. Aksjomatyke Peana też dorzucisz.
Nie piszę o tym jak coś działa i co do tego wykorzystuje ale z jaką skutecznością robi to do czego jest przeznaczony i jak ową skuteczność zmierzyć by ocenić czy to coś to robi lepiej niż inne nie kierując się subiektywnymi opiniami.
Skuteczność całego rozwiązania jest podważalna dla najprostszych scenariuszy i jest to problem niemożliwy do rozwiązania. Gradacja skuteczności miałaby sens gdyby była ona wysoka acz niepełna, a nie gdy ochrona przed nowymi zagrożeniami niemal nie istnieje.
Dlatego wystarczający jest podstawowy skaner + ustawienia zabezpieczeń. Linki do poradnika konfirugacji Defendera wrzucano wyżej.
Liczba L ma wartość NIE WIEM. I tu nie chodzi ile zagrożeń zostanie wykrytych bo ta ilość jest znana. Microsoftowi. Nie można obliczyć skuteczności AV ponieważ liczba niewykrytych nie jest znana.
A w testach? W testach L ma określona wartość.
P.S. Wynikiem będzie tylko ilość wykrytych ataków co da ci jedynie informację która grupa była skuteczniejsza w stosunku do drugiej a nie skuteczność wykrywania ataków w stosunku do ilości przeprowadzonych ataków.
Ta wiedzę można zdobyć tylko w testach ustalając sporą ale skończona liczbę ataków.
User Name: ZARZĄDZANIE NT\SYSTEM
Computer: DESKTOP-8V84JGU
Description:
Funkcja Microsoft Defender Exploit Guard zablokowała operację, na którą nie zezwala administrator IT.
Aby uzyskać więcej informacji, skontaktuj się ze swoim administratorem IT.
Identyfikator: c1db55ab-c21a-4637-bb3f-a12568109d35 ConfigureDefender option: Use advanced protection against ransomware
Godzina wykrycia: 2021-08-11T17:38:20.131Z
Użytkownik: DESKTOP-8V84JGU\Użytkownik
Ścieżka: C:\Users\Użytkownik\Documents\PLIKI POBRANE\Iceweasel-v91.0.en_US_win32_clang_pgo\Iceweasel_x86\App\Iceweasel.exe
Nazwa procesu: C:\Windows\explorer.exe
Wersja analizy zabezpieczeń: 1.345.325.0
Wersja aparatu: 1.1.18400.4
Wersja produktu: 4.18.2107.4
Narzekałeś na linuksowych tzw. bojowników o wolność i demokrację … a tymczasem co niektórzy wyznawcy Niebieskiego Cielca gotowi cię zaraz zaciukać nośnikami intalacyjnymi z systemem Windows 10 Home ™ …
No dociera. W realu nie da się określić rzeczywistej skuteczności AV. Brak danych.
Jest to możliwe tylko w testach ale te nie odzwierciedlają w pełni realnego świata.
Podałem link do testu robionego z założeniem ze użytkownik to idiota który wpuści wszystko.
Taki typowy „Intel inside, idiot outside”.
Ten post był do Administratora, Co też nie wolno? Ośmieszaj sie dalej.
Ciekawe dlaczego ukrywasz się za tzw. „społecznością” zamiast zrobić to oficjalnie i zgodnie z przepisami.
Jest to nieprawda. W stosunku do gołego systemu istnieje i jest weryfikowalna bez problemu.
Dobrej klasy antywirusy reagują w ciągu kilku godzin od powstania zagrożenia.Co więcej, kod wielu ransomware jest powiązany i dobry program antywirusowy wykryje nawet nowe zagrożenie oparte o podobne rozwiązania. Dobry antywirus, to też dobra ochrona proaktywna. I tutaj jest olbrzymie pole do popisu. Jestem bez problemu w stanie udowodnić, że goła 10 z firmowym antywirusem ulegnie atakowi po wejściu na spreparowaną stronę, a wyposażona w dobrego AV nie.
Zanim zaczniesz udowadniać proponuję byś przeczytał opis oraz wyniki rozszerzonego testu, wykonanego na zgłoszonych dobrowolnie przez producentów programach AV.
Do testu zgłoszono siedem AV. W teście wykorzystano 15 technik kierunkowego ataku w tym parę powiązanych z plikami na stronach. Jedynym który to wyłapał był Kaspersky (strony).
Test był w grudniu więc prawdopodobnie firmy udoskonaliły swoje produkty ale życie nie stoi w miejscu więc jak to jest teraz trzeba poczekać do następnego testu.
A ja się zgadzam, że układając testy pod tezę udowodnicie wszystko.
Pytanie: co udowadnia ten test?
Chyba tylko to, że 9 na 15 zagrożen, na moje oko, związanych jest z uruchomieniem zainfekowanego usb lub pobraniem zainfekowanych danych z sieci.
No i problem metodologiczny, w teście nie ma defendera, a przecież platforma z W10. Czyżby niezależna instytucja testująca produkty miała interes by nie pokazywać porównania (płatnych?) aplikacji z tym, co jest gratis w OS.
This threat is introduced via Trusted Relationship. MSHTA launches an HTML application, which executes a staged Empire PowerShell payload.
This threat is introduced via Trusted Relationship. A PowerShell script containing an AMSI bypass and a PowerShell Empire stager was executed.
This threat is introduced via Trusted Relationship. Windows Scripting Host was used to download a PowerShell payload via a integrated Empire PowerShell Stager, combined with an AMSI bypass.
This threat is introduced through Valid Accounts. The trusted Windows utility Microsoft Build Engine was used to proxy the execution of an Empire macro payload, which opens a command and control channel.
This threat is introduced through Valid Accounts. A VBScript which spawns a PowerShell process and executes an Empire payload has been used.
This threat is introduced through Valid Accounts. A batch file was used to execute an obfuscated PowerShell stager, download an obfuscated PoshC2
This threat is introduced via Removable Media (USB). A JavaScript executes an obfuscated PowerShell stager, which downloads and executes a PoshC2 PowerShell payload.
This threat is introduced via Removable Media (USB). MSHTA.exe executes a PowerShell stager which launches a base64-encoded PoshC2 staged PowerShell payload.
This threat is introduced via Removable Media (USB). A malicious Microsoft Office macro executes a PoshC2 PowerShell payload.
This threat is introduced via Spearphishing Attachment. VBScript downloads and executes an XSL PoshC2
This threat is introduced via Spearphishing Attachment. A HTML application downloads and executes an obfuscated PowerShell payload. This test case was created with Metasploit Meterpreter.
This threat is introduced via Spearphishing Attachment. VBScript downloads and executes an XSL payload. This test case was created with Metasploit Meterpreter.
This threat is introduced via Spearphishing Link. MSHTA.exe downloads and executes an obfuscated XSL payload. This test case was created with Metasploit Meterpreter.
This threat is introduced via Spearphishing Link. A JavaScript downloads and executes an obfuscated PowerShell payload. This test case was created with Metasploit Meterpreter.
This threat is introduced via Spearphishing Link. exe downloads and executes a PowerShell stager which downloads and executes an encrypted PowerShell Empire staged PowerShell payload, combined with an AMSI bypass.
Usb to trzy ataki. W dzisiejszych czasach to internet jest główną przyczyną problemów z bezpieczeństwem a ten test nie ma za zadanie udowadniać skąd pochodzą ataki ale jak programy AV sobie z nimi radzą.
Dlaczego nie ma Defendera? A czytać dokładnie.
„The following vendors participated in the Advanced Threat Protection Test. These are the vendors who were confident enough in the protection capabilities of their products against targeted attacks to take part in this public test. All other vendors in the Consumer Main-Test Series opted out of the test.”
No i co to znaczy? Jeżeli testuje się produkt, to robi się to niezależnie, testowanie tego co i kiedy chce producent nie jest obiektywne i zwykle odbywa się za kasę. Na jakich warunkach te zostały dopuszczone nie wiemy, jednak firma ta nie robi tych testów pro publico bono, bo za Bóg zapłać czynszu nie opłacisz…
