Исключения в HIPS

[Dmitriy Fox]

С самого появления в Авасте такого модуля как HIPS, у меня возник вопрос - Почему для этого модуля не предусмотрена функция "Исключения"? То есть, если HIPS посчитала какое-то действие безобидной программы подозрительным, то она будет постоянно об этом сигнализировать, в том случае, если этой программе нужно постоянно выполнять данное действие, а не разово. И что делать? Отключать HIPS? Нет возможности вручную внести программу в исключения для HIPS. По-моему, это недоработка разрабов, которую надо поправить. 

[REDACTED]

Привет, Dmitriy Fox. Я видел твою темку в англоязычной ветке форума, тебе там больше помогут, чем сдесь. Там вроде как специалистов из компании аваст много, не так ли?

[vlad98]

Виды HIPS
Классические HIPS
Классические HIPS-продукты предоставляют пользователю информацию об активности того или иного приложения, однако решение о разрешении/запрещении той или иной операции должен принимать пользователь, т.о. классические HIPS-продукты позволяют пользователю тонко настроить те или иные правила контроля, но создание правил требует высокой квалификации пользователя.
Экспертные HIPS
В отличие от классических HIPS-продуктов, экспертные HIPS могут самостоятельно принимать решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком продукта. Для использования экспертных HIPS-продуктов пользователю не обязательно обладать определенной квалификацией, однако экспертные HIPS-продукты в ряде случаев могут блокировать легитимную активность пользовательского программного обеспечения, или могут не признать данную активность программы за вредоносную.
Аваст, судя по всему, использует второй вариант, рассчитанный на массовость. Средний пользователь использующий стандартный набор софта естессно предпочтёт тоже (как и Аваст) второй вариант без разных "тонких настроек".
В настоящее время с существующими сегодня угрозами средний пользователь скорее смириться с незапуском какой-либо относительно редкой программы, чем с угрозой ВСЕЙ своей информации.
Не думаю, что Авасту нужно делать какие-либо "тонкие настройки" в реализации HIPS, "самоделкины" при любом раскладе останутся недовольны - для одних слишком часто будут блокирования, для других слишком редко.

[REDACTED]

Аваст, судя по всему, использует второй вариант, рассчитанный на массовость. Средний пользователь использующий стандартный набор софта естессно предпочтёт тоже (как и Аваст) второй вариант без разных "тонких настроек".
В настоящее время с существующими сегодня угрозами средний пользователь скорее смириться с незапуском какой-либо относительно редкой программы, чем с угрозой ВСЕЙ своей информации.
Не думаю, что Авасту нужно делать какие-либо "тонкие настройки" в реализации HIPS, "самоделкины" при любом раскладе останутся недовольны - для одних слишком часто будут блокирования, для других слишком редко.

Да ладно не возможно сделать HIPS который удовлетворил бы всех. Конкуренты умеют сочетать оба варианта в одном продукте. Сравните хотя бы с контролем активности п.о. в KIS это яркий пример сочетаний обоих вариантов HIPS в одном продукте. Там есть вариант настройки для профессионалов, когда все правила пользователь будет задавать в ручную. Есть автоматический режим, когда на основе встроенного интеллектуального алгоритма и информации из облака (Правила предопределены для известного п.о. уже разработчиками защиты), контроль активности принимает решения автоматически. Есть и третий вариант, полуавтоматический режим. Если малоизвестное п.о. не имеющее уже предопределённых правил от разработчиков продукта попало в группу, которая ограничивает его функционал, но пользователь считает, что данному п.о. можно доверять, он может сам перенести его в группу доверенного и пользоваться свободно. Именно к такой системе должен и аваст стремиться, разрабатывая режимы работы, которые устроят все категории пользователей.

[vlad98]

Аваст, судя по всему, использует второй вариант, рассчитанный на массовость. Средний пользователь использующий стандартный набор софта естессно предпочтёт тоже (как и Аваст) второй вариант без разных "тонких настроек".
В настоящее время с существующими сегодня угрозами средний пользователь скорее смириться с незапуском какой-либо относительно редкой программы, чем с угрозой ВСЕЙ своей информации.
Не думаю, что Авасту нужно делать какие-либо "тонкие настройки" в реализации HIPS, "самоделкины" при любом раскладе останутся недовольны - для одних слишком часто будут блокирования, для других слишком редко.

Да ладно не возможно сделать HIPS который удовлетворил бы всех. Конкуренты умеют сочетать оба варианта в одном продукте. Сравните хотя бы с контролем активности п.о. в KIS это яркий пример сочетаний обоих вариантов HIPS в одном продукте. Там есть вариант настройки для профессионалов, когда все правила пользователь будет задавать в ручную. Есть автоматический режим, когда на основе встроенного интеллектуального алгоритма и информации из облака (Правила предопределены для известного п.о. уже разработчиками защиты), контроль активности принимает решения автоматически. Есть и третий вариант, полуавтоматический режим. Если малоизвестное п.о. не имеющее уже предопределённых правил от разработчиков продукта попало в группу, которая ограничивает его функционал, но пользователь считает, что данному п.о. можно доверять, он может сам перенести его в группу доверенного и пользоваться свободно. Именно к такой системе должен и аваст стремиться, разрабатывая режимы работы, которые устроят все категории пользователей.

Всё кроме "полностью автоматического режима" HIPS нужно и интересно только 5% пользователей Аваст. И что, для них надрываться и потом еще получать от них регулярно тут топики навроде "а у касперского лучше работает"?
Я если бы и позволил что-то пользователю в HIPS от аваста регулировать, так только сделал бы кнопку с разрешением продолжения работы на компе ЛЮБЫХ алгоритмов шифрования (не связанных с сетью), как симметричных, так и ассиметричных. Чтобы они в случае обнаружения начала их работы могли её продолжать только после однозначного разрешения пользователя. Для чего я это предлагаю сделать, думаю объяснять не надо.

[j.bonzo]

...Аваст, судя по всему, использует второй вариант, рассчитанный на массовость...

Судя по чему?
Вы можете привести примеры, когда хипс Аваст "...самостоятельно принимал решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком..."?
Вы можете предоставить скриншоты алертов хипс, в которых в поле "Целевой объект" есть что-нибудь отличное от ключей реестра?

Всё кроме "полностью автоматического режима" HIPS нужно и интересно только 5% пользователей Аваст.

Откуда взялись 5%? Вы провели исследование?
Где скрывается "полностью автоматический режим" в настройках хипс в Авасте?

[vlad98]

...Аваст, судя по всему, использует второй вариант, рассчитанный на массовость...

Судя по чему?
Вы можете привести примеры, когда хипс Аваст "...самостоятельно принимал решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком..."?
Вы можете предоставить скриншоты алертов хипс, в которых в поле "Целевой объект" есть что-нибудь отличное от ключей реестра?

Всё кроме "полностью автоматического режима" HIPS нужно и интересно только 5% пользователей Аваст.

Откуда взялись 5%? Вы провели исследование?
Где скрывается "полностью автоматический режим" в настройках хипс в Авасте?

Тонкая настройка HIPS в авасте есть? Нет? Это ответ на первый вопрос.
По второму вам в ответ "алаверды" - предъявите разработчикам и нам тут заинтересованность в тонких настройках HIPS аваста более чем у 5% пользователей. Если и эти 5% наберёте.

[j.bonzo]

Тонкая настройка HIPS в авасте есть? Нет? Это ответ на первый вопрос.

Т.е. из-за отсутствия тонких настроек в HIPS  Аваста его можно причислить к экспертным? Бред, бред и еще раз бред! Как и то, что в Авасте вообще есть HIPS.
Или примитивную защиту нескольких ключей реестра, по вашему,  можно причислить к HIPS?

По второму вам в ответ "алаверды"...

Т.е. 5% плод Ваша воображения...

[790]

В настройках HIPS есть три уровня чувствительности. У меня стоит на 1. Если поставить на 2 и более, то начинают вылезать сообщения, что Аваст заблокировал ту или иную безобидную программу, RTSS например ... или вот Assassin`s Creed Syndicate вылетает во время загрузок больших "глав" (возможно, там что-то пытается залезть в интернет), а когда поставишь чувствительность на 1, то не вылетает.

[vlad98]

Тонкая настройка HIPS в авасте есть? Нет? Это ответ на первый вопрос.

Т.е. из-за отсутствия тонких настроек в HIPS  Аваста его можно причислить к экспертным? Бред, бред и еще раз бред! Как и то, что в Авасте вообще есть HIPS.
Или примитивную защиту нескольких ключей реестра, по вашему,  можно причислить к HIPS?

По второму вам в ответ "алаверды"...

Т.е. 5% плод Ваша воображения...

Очень информативно. И что, вы таки собрались нам тут заявить, что никакого HIPS от аваста нет, а какой он должОн быть, знает только один умник и это естессно ВЫ?
По второму вопросу мне вспоминается присказка про "Божью росу"

[j.bonzo]

В настройках HIPS есть три уровня чувствительности. У меня стоит на 1. Если поставить на 2 и более, то начинают вылезать сообщения, что Аваст заблокировал ту или иную безобидную программу...

В данный момент, на версии Аваст 11.1.2245, сообщения у меня появляются только на максимальном уровне чувствительности.

...возможно, там что-то пытается залезть в интернет...

Переведите чувствительность на максимум и посмотрите поле "Целевой объект" всплывающего сообщения.

Очень информативно. И что, вы таки собрались нам тут заявить, что никакого HIPS от аваста нет, а какой он должОн быть, знает только один умник и это естессно ВЫ?

Пока что, в этом топике, в роли "умника" выступает автор поста №3, который без ссылки и кавычек цитирует Википедию, выдавая за свои мысли. 
Желаете информативности? Плиз.

Из скриншота следует, что "Ненадежная программа", несмотря на выбор "Запретить" в алерте HIPS, выполнила поставленную перед ней конечную задачу.
Это стало возможным потому, что "Ненадежная программа" обратилась к системному процессу "Диспетчер сеанса Windows (smss.exe - Session Manager Subsystem Service) - получила значение переменных - создала исполняемый файл во временной директории - запустила в системе посторонний процесс. Это позволяет сделать вывод об отсутствии анализа поведения программ и анализа, основанного на мониторинге системных событий.
Для сравнения привожу скриншот всплывающего сообщения экспертного HIPS в интерактивном режиме при попытке приложения создать в системе посторонний процесс.


ИМХО...
https://safety-gate.me/threads/klassifikacija-hips-host-based-intrusion-prevention-system.77/
"...Основу любой HIPS составляет таблица правил..."
За этим, на мой взгляд, и стоит ответ на вопрос топикстартера.
Нет правил - нет исключений.

[vlad98]

В настройках HIPS есть три уровня чувствительности. У меня стоит на 1. Если поставить на 2 и более, то начинают вылезать сообщения, что Аваст заблокировал ту или иную безобидную программу...

В данный момент, на версии Аваст 11.1.2245, сообщения у меня появляются только на максимальном уровне чувствительности.

...возможно, там что-то пытается залезть в интернет...

Переведите чувствительность на максимум и посмотрите поле "Целевой объект" всплывающего сообщения.

Очень информативно. И что, вы таки собрались нам тут заявить, что никакого HIPS от аваста нет, а какой он должОн быть, знает только один умник и это естессно ВЫ?

Пока что, в этом топике, в роли "умника" выступает автор поста №3, который без ссылки и кавычек цитирует Википедию, выдавая за свои мысли. 
Желаете информативности? Плиз.

Из скриншота следует, что "Ненадежная программа", несмотря на выбор "Запретить" в алерте HIPS, выполнила поставленную перед ней конечную задачу.
Это стало возможным потому, что "Ненадежная программа" обратилась к системному процессу "Диспетчер сеанса Windows (smss.exe - Session Manager Subsystem Service) - получила значение переменных - создала исполняемый файл во временной директории - запустила в системе посторонний процесс. Это позволяет сделать вывод об отсутствии анализа поведения программ и анализа, основанного на мониторинге системных событий.
Для сравнения привожу скриншот всплывающего сообщения экспертного HIPS в интерактивном режиме при попытке приложения создать в системе посторонний процесс.


ИМХО...
https://safety-gate.me/threads/klassifikacija-hips-host-based-intrusion-prevention-system.77/
"...Основу любой HIPS составляет таблица правил..."
За этим, на мой взгляд, и стоит ответ на вопрос топикстартера.
Нет правил - нет исключений.

Зачем было скрывать на первом скриншоте, какую программу не удалось блокировать? Так что считаем, что неубедительный довод высосанный из пальца.
Очень любопытно было увидеть скриншот работы файрволла на втором скриншоте. Мы тут про HIPS, если что, а не про "приватефайрвол", который при "обчении" "рубит" всё подряд, пока его клиент не научит.
Касательно "экспертного" варианта и вики, то вы видимо попутали тёплое с мягким, потому как именно в "экспертном" варианте тупому по умолчанию в софте юзеру НЕ ПРЕДЛАГАЮТ самостоятельно решать , что блокировать, а что нет. Есть определённый набор софта, который при том или другом уровне "ползунка" пропускается в работу или нет. У разных реализаторов этот может быть разный набор того самого софта, но видимо только один умник в этом топике знает, какой он должен быть на самом деле

[790]

Ну вот пример настройки HIPS в действии  поставил на максимум.... варианты ответа: запретить, разрешить. Поставил в "разрешить" - теперь то спрашивает, то не спрашивает... Посмотрю, что дальше будет.

[j.bonzo]

Поставил в "разрешить" - теперь то спрашивает, то не спрашивает...

У меня так же.
Запускаю и разрешаю одну "Ненадежную программу".  Выхожу из нее. После этого ее можно запускать (открывать) сколько угодно (в течении сессии) без всплывающих сообщений Аваста. Запускаю и разрешаю другую "Ненадежную программу". После этого ее тоже можно запускать (открывать) пока не надоест без какой-либо реакции этого "Hips". Возвращаюсь к первой - опять алерт! 
Т.е. на максимальной чувствительности эта поделка не юзабельна.
И во всех алертах, как и на Вашем скриншоте, в поле "Целевой объект"  только ключи реестра.

Очень любопытно было увидеть скриншот работы файрволла на втором скриншоте.

Поменяйте очки и тогда может разберете название модуля на скриншоте (Process Monitor).

Мы тут про HIPS, если что, а не про "приватефайрвол", который при "обчении" "рубит" всё подряд, пока его клиент не научит.

Персонально Вы, тут, про новые ворота, которые только что увидели, а не про HIPS. 
По умолчанию экспертный хипс в этом продукте работает полностью в автоматическом режиме. Если через некоторое время переключиться в интерактивный режим, то алерты будут появляться только при запуске новых или измененных приложений, т.к. для того, что запускалось ранее уже созданы правила, которые можно изменять, удалять и вновь создавать.

...тупому по умолчанию в софте юзеру...

...в Авасте обозвали свою поделку HIPS. И он в это верит. Соболезную.

[REDACTED]

когда хипс Аваст "...самостоятельно принимал решение о блокировке той или иной активности, исходя из правил и алгоритмов, заложенных разработчиком..."?

скриншоты алертов хипс, в которых в поле "Целевой объект" есть что-нибудь отличное от ключей реестра?

j.bonzo, расскажите подробнее, как по-вашему мнению должен работать HIPS в Авасте и какие действия должен контролировать, какие  сообщения должен выдавать (какая конкретная информация должна быть в сообщениях), и какая должна быть защита ключей реестра и каких именно ключей?