goldshady сказал(а):
Cisco Secure использует множество движков обнаружения, TETRA, MAP, Exploit Prevention, Script Control, Behavioral Protection и так далее.
Продолжать, или вы поймете, что статья не грамотно написана?
Ок, когда контраргументы основываются на не ясных для простых смертных картинках и попытках доказать исключительность продуктов какого-то конкретного вендора - "как действующему Cisco CCNA и CCNP тренеру" скажу я тебе такие вещи:
Во первых в начале статьи есть примечания для "представителей вендоров или людей с отдельным устройством души и тела"
Во вторых, не нужно навязывать свой взгляд на безопасность, удобство и в целом КПД продукта основываясь на "своей вере в продукт", если есть желание пояснить массам об исключительности продукта и его невероятном превосходстве на рынке - напиши статью, приведи аргументы и пусть грамотные люди оценят.
В третьих, не люблю спорить с людьми работающими с "циска-продуктами", люблю показывать картинки и вот еще один пример, и пожалуйста оцени подход вендора и аргументируй такое поведение:
Постоянная нагрузка на ЦПУ, которую специалисты с сертификатами CCNA, CCNP и с представителями циски не в состоянии решить уже больше 4 лет, почти каждый день открывая новые и новые тикеты, общаясь по телефону, делая регулярные митапы с 1-2 линиями поддержки
Вот еще один пример "превосходства" продукта перед другими:
Обновили в начале года циско-специалисты АМП с 7.4.5.20701 до версии 7.5.1.20813, после обновления ампа, путь до исполняемого файла в свойствах службы указывал на путь до старой версии, которая автоматически удаляется при удалении...
Соответственно если служба смотрит туда где ничего нет, то и запуститься не может и это признали только пару месяцев спустят как баг апдейта и таких случаев настолько много, что считать это системой защиты и предовращения попросту нельзя:
В том числе данный продукт достаточно легко байпасится и даже легко отключается и удаляется если перезагрузить хост в безопасном режиме, при условии если есть права админа на хосте.
Вот пример как я это делал легко и не принужденно на момент написания статьи:
Положим всем известный nc.exe в папку, предположим
C:\Bombyao\- Открываемpowershell
- Переходим в нашу папку
Код:
- Пишем слудеющее
Код:
Код:
add-content '.\nc.exe' `0
Запоминаем такое значение `0 Жмякаем на ентер
Все! Cisco AMP не предотвратит и даже не залогирует это.
`0 -- Null
`a -- Alert
`b -- Backspace
`n -- New line
`r -- Carriage return
`t -- Horizontal tab
`' -- Single quote
`" -- Double quote
Вот DLL Hijacking
Давайте остановим этот не понятный и мне лично не нужный спор пожалуйста и каждый продолжит заниматься своим любимым делом.