Фишинговые фильтры. Раздумья

В своих статьях я часто обращаюсь к теме фишинговых фильтров. И снова встал вопрос. Если в тестах NSS Labs все так хорошо и безоблачно, почему у меня так плохо? На мой взгляд, причина полученных данных в том, что:

  1. Предпочтительным рынком для браузеров сегодня является рынок США, на котором и ведутся основные войны
  2. Фишинговые фильтры в браузерах работают на основе данных поисковых машин, в первую очередь, Bing и Google (вспомним, что только в Opera используются данные Yandex).
  3. Как следствие:

3.1. В первую очередь, обрабатываются англоязычные страницы

3.2. В первую очередь, обрабатываются страницы с высоким поисковым рейтингом

3.3. А так как среднее время жизни фишинговых ссылок, как указывалось, не превышает 12 часов,то эффективность таких фильтров все же остается низкой. Особенно в русскоязычном сегменте интернета.

  1. Низкая эффективность бесплатных плагинов (в первую очередь, WOT, G Data) обусловлена тем, что решение о том, вредоносная ссылка или нет, принимается на основании мнения пользователей. В свою очередь пользователи в массе своей ленивы, а следовательно, ввиду короткой жизни вредоносных ссылок, такие плагины просто не успевают их корректно отрабатывать. Хотя покажут среднюю эффективность в случае, если ссылка живет долго.
  2. Наиболее эффективными все же являются фишинговые ссылки в браузерах, особенно при условии использования облачных сервисов репутации (стоит добавить, что при этом репутация должна собираться не только при помощи мнения пользователей, как это делается у некоторых вендоров).

Почему так? Причина найдена и до безобразия очевидна.

Как страницы помечаются как вредоносные? Рассмотрим на примере работы Kaspersky Security Network:

1.1. Если в Kaspersky Security Network хотя бы на одном из ПК происходит заражение, автоматически в KSN высылается информация о том, откуда был загружен файл. Данной странице и всему сайту снижается репутация.

1.2. Если идет попытка несанкционированного действия с помощью апплета с сайта - репутация также снижается. Т.е. достаточно на одном ПК хотя бы одного из этих действий – репутация снижается для него автоматически.

1.3. Если страница похожа на вредносную по каким-то признакам – все, что с нее пытаются загрузить, автоматически получает снижение репутации.

  1. Таким образом, поисковая машина тут ни при чем, ее роль играют ПК пользователей. Как следствие, вредоносные ссылки отрабатываются значительно быстрее. А так как среднее время жизни вредоносных сайтов 12 часов, выводы очевидны
  2. Похожим образом работает не только KSN, но и Trend Micro.
  3. Но так как на русскоязычном рынке продукты «Лаборатории Касперского» значительно более распространены, чем продукты того же Trend Micro, то и результаты в обработке вредоносных ссылок у «Лаборатории Касперского» будут значительно выше.

Как вывод, можно отметить, что на сегодня использование антивирусных облачных технологий является заведомо лучшим способом себя защитить.

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя Al

Почему с яблочными??? Гугловскими конечно. Я на 6.х и не собираюсь пока переходить. Ну кроме 5-го огрызка. И не забудьте - гугловские уже есть в апсторе, бесплатно.

Насчёт нужности большого экрана - удобно ехать и смотреть на большой экран. Причём достаточно точно. Иногда правда на "тротуар" показывает, особенно на поворотах и на скорости, но ведёт вполне себе ничего.

 

Аватар пользователя Al

5-6 дюймов как телефон - это лапоть. Смотрится просто смешно и нелепо. Развод маркетологов. Категорически не приемлю.

Аватар пользователя VladB

У меня Lumia 900. У нас 920 еще не продается :).

А вам не кажется что обсуждения скажем мягко несколько свернули в сторону?

Страницы