Norton 21.0 Beta Einstellungen

[Alister]

Ich bin mir auch noch nicht sicher, wie das insgesamt zu bewerten ist - ich verwende die Norton-Produkte schon seit der 2005er Version, mal mehr, mal weniger überzeugt. 2009 war natürlich damals überragend, seit der 2013er Version mache ich mir wirklich Sorge um die Erkennungsrate. Man erinnere sich nur an den FileDetectionTest vom März 2013 von av-comparatives.org.

@ Schattenfang: Einstellungen habe ich natürlich verändert, eigentlich alle auf "aggressiv", außer den Startschutz, den nur auf "normal" (was ja auch nicht die default-Einstellung ist). Siehe Bilder

Angehängte Datei(en)

 Einstellungen_2.PNG ( 45.4KB ) Anzahl der Downloads: 15
 Einstellungen_1.PNG ( 47.05KB ) Anzahl der Downloads: 9

 

[Schattenfang]

Siehe Bilder

Oki, danke. Im aggressiven Sonar-Modus hätte ich schon vermutet, dass das Rootkit (zumindest partiell) erkannt wird.

Ja, Symantec hat beim OD sehr mäßig abgeschnitten und beruft sich darauf, dass viele Samples aus dem Testset entweder sehr alt und/oder nur ganz wenig verbreitet sind. Microsoft tut dies im Übrigen auch.
Ich muss gestehen, dass ich mittlerweile irgendwie beide Seiten verstehen kann. Beide haben gute Argumente für die jeweilige Vorgehensweise. Es ist schwer einzuschätzen, wie "intelligent" die Signaturen denn nun wirklich sind. Auf der anderen Seite sind solche Technologien wie SONAR wesentlich wichtiger, als die Signaturen. Da Symantec in diesem Jahr auch bei den dynamischen Tests nicht vertreten ist, lässt sich derzeit nicht wirklich ein gutes Bild über die Schutzleistung abzeichnen. In meinen Augen war das ein ziemlich großer Fehler, weil er für alle zu Verunsicherungen führen kann - sowohl bei den Kunden, als auch bei der internen Qualitätssicherung. Ich kann und konnte den Schritt jedenfalls in keinster Weise nachvollziehen.

Auf der anderen Seite kann ich mir aber schwer vorstellen, dass ein Weltkonzern mit so vielen Kunden und einer gigantischen Infrastruktur (auch in Form von Cloud-Datenbanken und Daten im allgemeinen) mal eben so aus Jux und Tollerei das eigene Programm schwächt und Millionen von Signaturen wegnimmt, wohl wissentlich, dass das ein Risiko darstellt. Auch SONAR und Co werden ja fortlaufend weiterentwickelt.

Ich habe Norton lange nicht mehr getestet, weil ich das Programm nicht mag und auch noch nie mochte. Aber mich würde interessieren woe es momentan so steht - muss ich zugeben.

[Alister]

Oki, danke. Im aggressiven Sonar-Modus hätte ich schon vermutet, dass das Rootkit (zumindest partiell) erkannt wird.

SONAR halte ich für einen relativ zahnlosen Tiger - man hört und sieht es ja kaum (was ja auch gut sein könnte); Symantec macht viel zu wenig transparent, was die Software eigentliche überwacht und was nicht. Schon immer fordern ja fortgeschrittene User mehr Einsicht.

Ja, Symantec hat beim OD sehr mäßig abgeschnitten und beruft sich darauf, dass viele Samples aus dem Testset entweder sehr alt und/oder nur ganz wenig verbreitet sind. Microsoft tut dies im Übrigen auch.

Ob MS jetzt wirklich so ein tolles Vorbild ist, an dem man sich ein Beispiel nehmen sollte?
Zu jenem Test von av-comparatives geisterte auch die Mär durchs Netz, die Cloud-Verbindung hätte nicht bestanden, wenn man sich aber die Webseite durchließt, ist ganz eindeutig, dass die Verbindung zu den vollständigen Datenbanken ins Netz bestand.

Ich muss gestehen, dass ich mittlerweile irgendwie beide Seiten verstehen kann. Beide haben gute Argumente für die jeweilige Vorgehensweise. Es ist schwer einzuschätzen, wie "intelligent" die Signaturen denn nun wirklich sind. Auf der anderen Seite sind solche Technologien wie SONAR wesentlich wichtiger, als die Signaturen. Da Symantec in diesem Jahr auch bei den dynamischen Tests nicht vertreten ist, lässt sich derzeit nicht wirklich ein gutes Bild über die Schutzleistung abzeichnen. In meinen Augen war das ein ziemlich großer Fehler, weil er für alle zu Verunsicherungen führen kann - sowohl bei den Kunden, als auch bei der internen Qualitätssicherung. Ich kann und konnte den Schritt jedenfalls in keinster Weise nachvollziehen.

Da stimme ich dir vollkommen zu, ABER ich habe den Eindruck, dass neue Signaturen kaum mehr erstellt werden/hier keine Produktpflege mehr betrieben wird; sprich nicht die "alten", nicht mehr lokal gespeicherten Signaturen (die ja über die Cloud noch immer erreichbar sein müssten) sind das Problem, sondern eher dass für spezielle, "seltenere", neue Bedrohungen, wie das Rootkit, nichts mehr geupdatet wird. Soll die Reputation machen; oder SONAR.

Auf jeden Fall verhält sich Symantec sehr intransparent; auch in den offiziellen Foren erhält man nur durch Zufall mal eine offizielle Antwort eines Symantec-Mitarbeiters...

Ich habe Norton lange nicht mehr getestet, weil ich das Programm nicht mag und auch noch nie mochte. Aber mich würde interessieren woe es momentan so steht - muss ich zugeben.

DAS würde mich auch sehr interessieren
Für mein Empfinden läuft die Software dennoch (vom Konzept her) viel performanter als Kaspersky/G-Data, weitgehend bugfrei sowie mit exzellentem Phishingschutz.

[Schattenfang]

Symantec macht viel zu wenig transparent, was die Software eigentliche überwacht und was nicht.

Es ist keine In-Depth-Analyse, aber hier findest Du alle Technologien von Symantec mit Beschreibung und Erklärung:
http://www.symantec.com/page.jsp?id=star

Ich denke nicht, dass SONAR ein zahnloser Tiger ist. Wir hatten hier früher mal einige Norton-User, die das fortlaufend demonstriert haben. Leider ist diese Fraktion hier so gut wie nicht mehr vertreten.

[Alister]

Vielen Dank für den Link - hätte ich bei der (leider ja eher weniger) übersichtlichen Webseite von Symantec wohl kaum gefunden

Ansonsten kann ich nur sagen, dass die Virenprobe (von oben) nochmals zweimal über das Webformular eingesendet wurde, bislang aber noch immer nichts erkannt wird.
Diese Nicht-Reaktion stört mich schon - und der neueste VT-Scan somit auch.

Der Beitrag wurde von Alister bearbeitet: 11.09.2013, 22:40

[Schattenfang]

Diese Nicht-Reaktion stört mich schon - und der neueste VT-Scan somit auch.

Kann ich absolut nachvollziehen.

Endlich habe ich auch noch gefunden, warum ich gehofft hatte, dass SONAR zumindest teilweise das Sample entdecken könnte:
http://www.symantec.com/security_response/...-112916-0427-99

Ich kann mich erinnern, dass die das mal richtig angegangen sind und viele Aktualisierungen nachgeschoben haben. Das letzte Update ist aber eine Weile her - vielleicht braucht SONAR 4 diese "Signaturen" aber auch nicht mehr.

[Alister]

Ah, schade, dass dann diese - sagen wir mal Verhaltens-Schablone - nicht gegriffen hat :S
Die gibt's in der Tat noch immer, werden allerdings eher seltener geupdatet.

Und zu meinen Zeroaccess-Rootkit: Ich habe gerade eben nochmals darüber gescannt - und wird jetzt (nach fast einer Woche) endlich erkannt (und zwar als Trojan.Gen.2).

Damit gehört Symantec allerdings wirklich zu den Herstellern mit der langsamsten Reaktionszeit - diese Kritik wurde auch schon vor einiger Zeit zu den 2013/V20-Nortonprodukten geäußerst, wo das Rootkit allerdings schon durch SONAR erkannt wurde. Es wurde wohl erst nach mehreren Wochen eine Signatur eingeführt. Ich meine daher immer noch, dass hier die Abteilung für die Signaturen ein ordentliches Problem hat.

[Ghost]

Da hier die Frage nach aktuellen Testergebnissen aufkam:

AV-Test
Nach drei aufwendigen Tests und sechs Monaten Arbeit von Januar bis Juni 2013 haben es die Laborexperten von AV-TEST geschafft: Der erste Teil des Dauertests ist abgeschlossen und viele Testkandidaten zeigten eine sehr gute Leistung – aber nicht alle.

Im Dauertest mit ca. 60.000 Samples belegte die Norton Internet Security den dritten Platz hinter Bitdefender und Kaspersky. Für den Test waren 45 PCs dauerhaft online.
Link: http://www.av-test.org/news/news-single-vi...aten-dauertest/

[Gast_florian5248_*]

Alles schön und gut.

Kann mit dem Mamuttest nichts anfangen.

Welche Versionen wurden getestet, hauptsächlich 2013, warum, weil neuere zu dem Zeitpunkt noch nicht erschienen.

Trotzdem danke für deinen Hinweis.

[Ghost]

Kann mit dem Mamuttest nichts anfangen.

Der Test ist das Äquivalent zum WPDT von AV-Comparatives. Daher können nur die Versionen getestet werden, die zum Zeitpunkt auf dem Markt aktuell sind. Die Testmethodologie sollte sich auf einem annähernd guten Level befinden.
Der Dauertest wird bis zum Ende des Jahres fortgesetzt.

[IBK]

Ich meine daher immer noch, dass hier die Abteilung für die Signaturen ein ordentliches Problem hat.

Die "Abteilung" von Symantec welche Signaturen erstellt und Malware analysiert besteht seit etwa zwei Jahren nur noch aus 2 Menschen (vermutlich für Einsendungen von Unternehmenskunden) und der Rest aus Automatisierung. Der Augenmerk wird auf Sammeln von Metadaten gesetzt und Reputationsanalyse.

[flexibel44]

Und wie schätzt du das ein? Ist es der richtige Weg Signaturen zu vernachlässigen?

[IBK]

für einen Rundum-Schutz sollten alle angebotenen Features möglichst eine Topleistung bringen. Wenn man als Hersteller ein Feature wirklich für unwichtig hält dann sollte es aus den Produkt entfernt werden. Aber selbst Symantec wirbt auf derern Internetseite für die Wichtigkeit der Scanleistung je nach Anwendung und rät dabei zu On-demand scans "Scan all files with an Internet Security solution before transferring them to your system" (http://us.norton.com/security_response/malware.jsp).

[flexibel44]

Danke für deine Antwort. Ich war ein paar Jahre sehr von Symantec überzeugt, aber inzwischen nicht mehr so, bzw. fühle ich mich bei anderen Herstellern sicherer.

[DerHexer]

wie sicher ist denn jetzt norton weil ich es benutze zb unsicher in der errkenung oder was meinst ihr

[Ghost]

wie sicher ist denn jetzt norton weil ich es benutze zb unsicher in der errkenung oder was meinst ihr

Mehr als aktuelle Testergebnisse kann ich nicht posten. Es gibt genügend Qualitätsüberprüfungen für das laufende Jahr, die jeder von uns betrachten und bewerten kann.

Symantec hat weder die Signaturenpflege eingestellt, noch ist ein automatisiertes System zur Erstellung in der Branche unüblich. Hier werden diesbezüglich falsche Ängste geschürt.

[Alister]

Die "Abteilung" von Symantec welche Signaturen erstellt und Malware analysiert besteht seit etwa zwei Jahren nur noch aus 2 Menschen [...]

Darf man fragen, was dafür deine Quelle ist?
Ich weißt ja nicht, ob zwei Mitarbeiter dafür üblich sind, aber nach viel klingt das nicht bei insgesamt fast 20.000 Mitarbeitern im Unternehmen.... ^^

Symantec hat weder die Signaturenpflege eingestellt, noch ist ein automatisiertes System zur Erstellung in der Branche unüblich.

Man darf aber auch nicht verschweigen, dass andere Hersteller (Kaspersky) früher schon schneller in der Signaturerstellung waren und noch sind - und sich offenbar die Problematik mit der langsamen Reaktionszeit im Vergleich zu früher durchaus verschlechtert zu haben scheint.
Mich überzeugt der Schutz aber durchaus noch im Vergleich zum Brachenrest, allerdings viel Vorsprung ist nicht mehr

Wenn man als Hersteller ein Feature wirklich für unwichtig hält dann sollte es aus den Produkt entfernt werden

Da kann ich nur zustimmen - ich nehme auch an, dass man darauf schlussendlich abzählt.
Für den Schritt sind mir dann die Signaturen mit ca. 114MB Download-Signaturen (auch in der abgespeckten Variante) zu viel.

Der Beitrag wurde von Alister bearbeitet: 16.09.2013, 22:37

[Ghost]

Da kann ich nur zustimmen - ich nehme auch an, dass man darauf schlussendlich abzählt.
Für den Schritt sind mir dann die Signaturen mit ca. 114MB Download-Signaturen (auch in der abgespeckten Variante) zu viel.

Die komplette Umstellung auf intelligente Signaturen war eine logische Konsequenz aus der Entwicklung in der Branche und scheint darüber hinaus alles andere als schlecht zu funktionieren:
http://www.av-test.org/no_cache/tests/test...rt_no%5D=132371

Ich sehe hier keine Abwertung.

Darüber hinaus besitzt Symantec eine Vielzahl an hervorragenden proaktiven Technologien.

[IBK]

Darf man fragen, was dafür deine Quelle ist?

Symantec

[SLE]

Oki, danke. Im aggressiven Sonar-Modus hätte ich schon vermutet, dass das Rootkit (zumindest partiell) erkannt wird.

Wieso? Aggressiv bedeutet in dem Falle nicht Mehr an überwachten Aktionen, sondern ist dasselbe wie "automatisch". Die Einstellung aggressiv bewirkt hier lediglich, dass SONAR automatisch löscht und nicht fragt.

Auf der anderen Seite kann ich mir aber schwer vorstellen, dass ein Weltkonzern mit so vielen Kunden und einer gigantischen Infrastruktur (auch in Form von Cloud-Datenbanken und Daten im allgemeinen) mal eben so aus Jux und Tollerei das eigene Programm schwächt und Millionen von Signaturen wegnimmt, wohl wissentlich, dass das ein Risiko darstellt. Auch SONAR und Co werden ja fortlaufend weiterentwickelt.

Genau das ist das der Trend, weil man mittlerweile soviele Daten hat, dass die Reputationserkennung das elementare Werkzeug ist. Quasi der Umstieg von Blacklist (Signaturen) auf Whitelist (Repuatation - was wir nicht kennen ist verdächtig und wird blockiert)

Darüber hinaus besitzt Symantec eine Vielzahl an hervorragenden proaktiven Technologien.

Welche? Auch hier wird der Großteil dem gigantischen Reputationssystem untergeordnet und reduziert. Wobei: Das System kann zwar nerven ist aber hoch effektiv.
Auch bei Alisters Test sieht man in den VT Scans (wenn man an der richtigen Stelle unter "zusätzliche Informationen" schaut ;-)), dass Symantec hier von Anfang an eine Reputationsbewertung (Suspicious.Insight) vorliegen hatte.

Den Test kann ich leider nicht völlig nachvollziehen, an welcher Stelle da was versagt hat. Ist aber auch egal, wenn Schaden eingetreten ist.
Nur lokal scannen oder schlimmer noch VT Scans dürfen aber nicht als Maßstab der Erkennung herangezogen werden.

Ich denke nicht, dass SONAR ein zahnloser Tiger ist. Wir hatten hier früher mal einige Norton-User, die das fortlaufend demonstriert haben. Leider ist diese Fraktion hier so gut wie nicht mehr vertreten.

Zur SONAR Weiterentwicklung kann ich dir nicht viel sagen, dadurch das die Reputation eher greift kann man das System nicht effektiv einzeln testen. Bei deaktivierter Onlineverbindung stehen dann auch nicht die erweiterten Regelsätze zur Verfügung.

Das verzögerte und selektive Einpflegen von neuen Sachen in Signaturen wurde aber schon vor einigen Jahren von Jens (Voyager/Bond) kritisiert.

Symantec hat weder die Signaturenpflege eingestellt, noch ist ein automatisiertes System zur Erstellung in der Branche unüblich. Hier werden diesbezüglich falsche Ängste geschürt.

Überall greifen Automatismen, die versuchen zu klassifizieren - anderes wird man der Flut an Dateien nicht Herr. Spannend ist die Frage wie man vorgeht, wenn diese Automatismen eben keine eindeutige Zuordnung bringen.
Dann gibt es mindestens drei Möglichkeiten/Praktiken:
>> Ignorieren bzw. andere Verfahren (Reputationstechnologien etc.) bis mehr bekannt ist

>> Schauen was die anderen machen (in-house Multiscanner gibt es überall) und dann ggf. eine Signatur klauen, ähm erstellen (hier kommt es oft drauf an WER es erkennt, man traut ja nicht jedem...). Diese Taktik geht bei einigen manchmal soweit, dass es virtuelle Analysten gibt die so Namen wie Itna Suriv haben (bitte rückwärts lesen...Comodo Irrsinn), nur damit man den Eindruck bekommt da arbeiten Menschen...

>> Menschen, die die Dateien analysieren. Und da ist bei einigen Großen in der Branche doch noch immer so, dass dies nicht gerade wenige Analysten sind.