CЕР­ГЕЙ КУЗ­НЕ­ЦОВ: АН­ТИ­ВИ­РУС­НАЯ ЗА­ЩИ­ТА ДОЛЖ­НА БЫТЬ КОМ­ПЛЕКС­НОЙ

ICTNEWS - - Содержание Апрель - ХУМОЮН МУКИМОВ

Ру­ко­во­ди­тель от­де­ла тех­ни­че­ско­го со­про­вож­де­ния про­дук­тов и сер­ви­сов ESET Russia Сер­гей Куз­не­цов в ин­тер­вью ICTNEWS рас­ска­зал о со­вре­мен­ных вре­до­нос­ных ата­ках, сла­бом звене в си­сте­ме ИБ и о том, ка­кое со­вре­мен­ное ан­ти­ви­рус­ное ПО необ­хо­ди­мо ис­поль­зо­вать для то­го, что­бы обес­пе­чить ком­плекс­ную ан­ти­ви­рус­ную за­щи­ту. ? Каж­дый день по­яв­ля­ют­ся все но­вые ата­ки, по­это­му ан­ти­ви­ру­сы долж­ны по­сто­ян­но со­вер­шен­ство­вать­ся и раз­ви­вать­ся. На что вы пла­ни­ру­е­те ак­цен­ти­ро­вать вни­ма­ние в пер­спек­ти­ве, что­бы но­вые про­дук­ты ESET ста­ли мак­си­маль­но эф­фек­тив­ны­ми?

– В по­след­ние го­ды мы от­ме­ча­ем неуклон­ный рост об­ще­го чис­ла ки­бе­ру­гроз. Но этот рост обес­пе­чи­ва­ют мо­ди­фи­ка­ции уже из­вест­ных вре­до­нос­ных про­грамм, а ко­ли­че­ство прин­ци­пи­аль­но но­вых об­раз­цов со­кра­ща­ет­ся.

Со сво­ей сто­ро­ны мы де­ла­ем упор на раз­ви­тие про­ак­тив­ных тех­но­ло­гий: об­лач­ной си­сте­мы Livegrid, Днк-сиг­на­тур, ма­шин­но­го обу­че­ния для де­тек­ти­ро­ва­ния слож­ных, за­шиф­ро­ван­ных или бес­фай­ло­вых угроз.

Си­сте­ма Livegrid с раз­ре­ше­ния поль­зо­ва­те­ля от­сле­жи­ва­ет по­тен­ци­аль­ные, ра­нее неиз­вест­ные угро­зы и пе­ре­да­ет их в об­ла­ко ESET че­рез соб­ствен­ную си­сте­му об­рат­ной свя­зи. Со­бран­ные об­раз­цы под­вер­га­ют­ся ав­то­ма­ти­че­ской эму­ля­ции в «пе­соч­ни­це» и ана­ли­зу по­ве­де­ния. Ес­ли зло­на­ме­рен­ные ха­рак­те­ри­сти­ки под­твер­жде­ны, бу­дет со­зда­на ав­то­ма­ти­зи­ро­ван­ная сиг­на­ту­ра. Поль­зо­ва­те­ли ESET по­лу­ча­ют от­вет о ре­пу­та­ции об­раз­ца еще до об­нов­ле­ния сиг­на­тур­ных баз.

Днк-сиг­на­ту­ры пред­став­ля­ют со­бой со­во­куп­ность дан­ных о по­ве­де­нии и ха­рак­те­ри­сти­ках вре­до­нос­но­го объ­ек­та. Ес­ли код угро­зы мож­но из­ме­нить или за­пу­тать (об­фус­ци­ро­вать), то ее по­ве­де­ние мо­ди­фи­ци­ро­вать не так про­сто. По­это­му Днк-сиг­на­ту­ры ESET мо­гут об­на­ру­жи­вать ста­рые и но­вые об­раз­цы из­вест­ных семейств вре­до­нос­но­го ПО, а так­же аб­со­лют­но но­вые вре­до­нос­ные про­грам­мы, ко­то­рые со­дер­жат ге­ны, ука­зы­ва­ю­щие на вре­до­нос­ное по­ве­де­ние.

Соб­ствен­ный ме­ха­низм ма­шин­но­го обу­че­ния ESET Augur ис­поль­зу­ет возможности ней­рон­ных се­тей и груп­пы из ше­сти ал­го­рит­мов клас­си­фи­ка­ции. Это по­мо­га­ет мар­ки­ро­вать по­сту­па­ю­щие об­раз­цы ПО как чистые, по­тен­ци­аль­но неже­ла­тель­ные или вре­до­нос­ные. Дви­жок ESET Augur вза­и­мо­дей­ству­ет с дру­ги­ми за­щит­ны­ми тех­но­ло­ги­я­ми, вклю­чая Днк-сиг­на­ту­ры, «пе­соч­ни­цу», ана­лиз па­мя­ти и др.

? Неко­то­рые спе­ци­а­ли­сты по­те­ря­ли ве­ру в эф­фек­тив­ность ан­ти­ви­рус­ных про­грамм, т. к. со­вре­мен­ные вре­до­нос­ные ата­ки ста­ли бо­лее це­ле­на­прав­лен­ны­ми. Как это вли­я­ет на раз­ви­тие рын­ка ан­ти­ви­ру­сов?

– Со­вре­мен­ные ком­плекс­ные ан­ти­ви­рус­ные ре­ше­ния по-преж­не­му на­деж­но за­щи­ща­ют от вре­до­нос­но­го ПО. Но их эф­фек­тив­ность во мно­гом за­ви­сит от пра­виль­ной на­строй­ки. В этой свя­зи мы по­мо­га­ем с на­строй­ка­ми ан­ти­ви­ру­са на­шим до­маш­ним поль­зо­ва­те­лям и раз­ра­ба­ты­ва­ем бес­плат­ные учеб­ные кур­сы по ком­пью­тер­ной гра­мот­но­сти в Ака­де­мии ESET.

Для кор­по­ра­тив­ных за­каз­чи­ков преду­смот­ре­ны дру­гие услу­ги и сер­ви­сы. На­при­мер, мы про­во­дим аудит ан­ти­ви­рус­ной за­щи­ты и пред­ла­га­ем по­дроб­ные ре­ко­мен­да­ции по на­строй­ке. Кро­ме то­го, с 2017 го­да в Рос­сии и странах СНГ до­сту­пен те­ле­мет­ри­че­ский сер­вис ESET Threat Intelligence, поз­во­ля­ю­щий ком­па­ни­ям

зна­чи­тель­но по­вы­сить уро­вень ин­фор­ма­ци­он­ной без­опас­но­сти.

Сер­вис поз­во­ля­ет опре­де­лить, пла­ни­ру­ет­ся ли це­ле­вая ата­ка на ком­па­нию или нет. Це­ле­вые ата­ки, Арт-угро­зы и ак­тив­ность бот­не­тов слож­но рас­по­знать, ко­гда в ва­шем рас­по­ря­же­нии толь­ко дан­ные ло­каль­ной се­ти. Спе­ци­а­ли­стам по без­опас­но­сти необ­хо­ди­мы полная кар­ти­на и глу­бо­кий ана­лиз ки­бер­ланд­шаф­та, что и обес­пе­чи­ва­ет ESET Threat Intelligence.

? На­сколь­ко эф­фек­тив­ны со­вре­мен­ные сиг­на­ту­ры ви­ру­сов по срав­не­нию с та­ки­ми ме­то­да­ми об­на­ру­же­ния, как по­ве­ден­че­ский и эв­ри­сти­че­ский ана­ли­зы, бе­лые спис­ки и изо­ли­ро­ван­ная сре­да?

– Стан­дарт­ный сиг­на­тур­ный ана­лиз уже неак­туа­лен. В на­сто­я­щее вре­мя из­вест­но боль­ше 700 млн об­раз­цов вре­до­нос­но­го ПО, при этом каж­дый день вы­пус­ка­ет­ся до 300 ты­сяч но­вых.

Клас­си­че­ский сиг­на­тур­ный под­ход пред­по­ла­га­ет до­бав­ле­ние в ба­зу дан­ных сиг­на­тур каж­до­го об­раз­ца. Это дол­го и слож­но – на­до про­смот­реть 700 млн за­пи­сей, что от­ни­ма­ет вре­мя и ре­сур­сы. При этом но­вые 300 ты­сяч угроз так и оста­ют­ся неопо­знан­ны­ми.

Мы дав­но от­ка­за­лись от это­го под­хо­да и ак­тив­но ис­поль­зу­ем Днк-сиг­на­ту­ры.

Это поз­во­ля­ет убить двух зай­цев од­ним вы­стре­лом: из­ба­вить­ся от чрез­мер­но раз­ду­той ба­зы дан­ных сиг­на­тур и успеш­но де­тек­ти­ро­вать но­вые, ра­нее неиз­вест­ные угро­зы.

? Сей­час ак­тив­но по­яв­ля­ют­ся ви­ру­сы для мо­биль­ных устройств (план­ше­тов и смарт­фо­нов). На­сколь­ко опас­ны дан­ные угро­зы?

– До 99% мо­биль­ных угроз при­хо­дит­ся на платформу Android.

Са­мым по­пу­ляр­ным ин­стру­мен­том зло­умыш­лен­ни­ков, ата­ку­ю­щих эту ОС, оста­ют­ся так на­зы­ва­е­мые «по­ли­цей­ские» вы­мо­га­те­ли. Эта си­сте­ма бло­ки­ру­ет экран устрой­ства, а тре­бо­ва­ние вы­ку­па по­хо­же на офи­ци­аль­ное со­об­ще­ние пра­во­охра­ни­тель­ных ор­га­нов. Боль­шин­ство про­грамм-вы­мо­га­те­лей, ис­поль­зу­ю­щих эту улов­ку, при­над­ле­жит се­мей­ству Android/locker.

Со­глас­но те­ле­мет­рии ESET, в 2017 го­ду до­ля про­грамм-вы­мо­га­те­лей для Android сни­жа­лась, не­смот­ря на рост об­ще­го чис­ла угроз для этой плат­фор­мы. Тем не ме­нее в 2018 го­ду воз­мож­ны но­вые всплес­ки активности вы­мо­га­те­лей.

Так­же рас­про­стра­не­ны бан­ков­ские тро­я­ны, пред­на­зна­чен­ные для кра­жи средств поль­зо­ва­те­лей мо­биль­ных при­ло­же­ний бан­ков, а так­же все­воз­мож­ные угро­зы, свя­зан­ные с крип­то­ва­лю­та­ми. В ос­но­ве «крип­то­атак» – скры­тый май­нинг и кра­жа

дан­ных ко­шель­ков и по­пу­ляр­ных об­мен­ных сер­ви­сов.

? Учи­ты­вая по­сто­ян­ный рост ко­ли­че­ства поль­зо­ва­те­лей мо­биль­ных га­д­же­тов, не бу­дет ли эф­фек­тив­ней внед­рить ре­ше­ние для их за­щи­ты на се­те­вом уровне, неже­ли уста­нав­ли­вать са­мо­сто­я­тель­ные при­ло­же­ния на каж­дое от­дель­ное устрой­ство?

– Са­мое сла­бое зве­но в си­сте­ме ин­фор­ма­ци­он­ной без­опас­но­сти – че­ло­век. На­при­мер, ес­ли го­во­рить об угро­зах кор­по­ра­тив­но­го сек­то­ра, 63% ин­ци­ден­тов свя­за­ны с быв­ши­ми или дей­ству­ю­щи­ми со­труд­ни­ка­ми. По­это­му за­щи­та на уровне се­ти – это важ­ный, но да­ле­ко не един­ствен­ный уро­вень без­опас­но­сти. Ан­ти­ви­рус­ная за­щи­та долж­на быть ком­плекс­ной.

? Ата­ки шиф­ро­валь­щи­ков по-преж­не­му раз­ви­ва­ют­ся. Ка­кие вы­во­ды мы мо­жем сде­лать из атак Wannacry и Petya? Как вы счи­та­е­те, как ско­ро и ка­ко­го ти­па ата­ки нас ожи­да­ют?

– У шиф­ра­то­ров Wannacry и Petya не так мно­го об­ще­го. Что­бы со­по­ста­вить эти кей­сы и сде­лать вы­во­ды, сто­ит учи­ты­вать сле­ду­ю­щие мо­мен­ты.

Сам по се­бе Wannacry не был осо­бо слож­ным или опас­ным. Мас­штаб про­блем обу­слов­лен его связ­кой с экс­плой­том Eternalblue для се­те­вой уяз­ви­мо­сти Microsoft Windows. Даль­ше сле­ди­те за хро­но­ло­ги­ей. 14 мар­та 2017 го­да Microsoft вы­пус­ка­ет об­нов­ле­ние без­опас­но­сти MS17-010, за­кры­ва­ю­щее дан­ную уяз­ви­мость. 14 ап­ре­ля Eternalblue и неко­то­рые дру­гие экс­плой­ты пуб­ли­ку­ют­ся в от­кры­том до­сту­пе. 12 мая на­чи­на­ет­ся эпи­де­мия Wannacry. И что мы ви­дим? Патч двух­ме­сяч­ной дав­но­сти уста­нов­лен да­ле­ко не на всех ра­бо­чих стан­ци­ях.

Даль­ше – Petya. Источником эпи­де­мии ста­ла ком­про­ме­та­ция про­грамм­но­го обес­пе­че­ния для от­чет­но­сти и до­ку­мен­то­обо­ро­та M.E.DOC, рас­про­стра­нен­но­го в укра­ин­ских ком­па­ни­ях. Поль­зо­ва­те­ли уста­нав­ли­ва­ли тро­я­ни­зи­ро­ван­ные об­нов­ле­ния, и да­лее шиф­ра­тор рас­про­стра­нял­ся внут­ри се­тей с по­мо­щью то­го же Eternalblue и Psexec. С эпи­де­мии Wannacry про­шло пол­то­ра ме­ся­ца – до­ста­точ­но вре­ме­ни, что­бы уста­но­вить об­нов­ле­ние без­опас­но­сти, и все рав­но Petya за­дел боль­шое чис­ло ра­бо­чих стан­ций.

? Как вы ду­ма­е­те, ка­кую роль ан­ти­ви­рус­ные ком­па­нии бу­дут иг­рать в по­тен­ци­аль­ной ки­бер­войне?

– Про­из­во­ди­те­ли ан­ти­ви­ру­сов – это ком­мер­че­ские ком­па­нии, по­это­му они долж­ны быть аб­со­лют­но апо­ли­тич­ны. Неваж­но, кто яв­ля­ет­ся со­зда­те­лем, за­каз­чи­ком или опе­ра­то­ром вре­до­нос­но­го или шпи­он­ско­го ПО, ка­кие це­ли они пре­сле­ду­ют. За­да­ча ан­ти­ви­рус­но­го про­дук­та – вы­явить вре­до­нос­ную ак­тив­ность и пре­сечь ее.

? Ка­кой са­мый важ­ный со­вет по ин­фор­ма­ци­он­ной без­опас­но­сти вы бы да­ли пред­при­я­ти­ям?

– Ис­поль­зуй­те со­вре­мен­ное ком­плекс­ное ан­ти­ви­рус­ное ПО и дру­гие сред­ства обес­пе­че­ния без­опас­но­сти: за­щи­та до­сту­па, DLP, ре­зерв­ное ко­пи­ро­ва­ние.

Ес­ли поз­во­ля­ет бюд­жет, под­пи­сы­вай­тесь на те­ле­мет­ри­че­ские сер­ви­сы клас­са Threat Intelligence и под­клю­чай­те сто­рон­них под­ряд­чи­ков для ауди­та ин­фор­ма­ци­он­ной без­опас­но­сти.

И са­мое глав­ное – обу­чай­те сво­их со­труд­ни­ков ос­но­вам ин­фор­ма­ци­он­ной без­опас­но­сти. Это важ­но де­лать на ре­гу­ляр­ной ос­но­ве, посколь­ку зна­ни­ям свой­ствен­но со вре­ме­нем «вы­вет­ри­вать­ся».

? Ка­кие про­бле­мы на мест­ном рын­ке ИБ вы мо­же­те от­ме­тить? Есть ли при­ме­ры внед­ре­ния про­дук­тов ESET в ком­па­ни­ях Уз­бе­ки­ста­на?

– Ры­нок ИБ Уз­бе­ки­ста­на стре­ми­тель­но раз­ви­ва­ет­ся. При этом крайне важ­но, что ак­тив­ную роль в этом во­про­се иг­ра­ет имен­но го­су­дар­ство. Как и во всем СНГ, ос­нов­ная про­бле­ма – это ис­поль­зо­ва­ние пи­рат­ско­го про­грамм­но­го обес­пе­че­ния.

Про­дук­ты ESET ис­поль­зу­ют мно­гие ком­па­нии Уз­бе­ки­ста­на в раз­лич­ных от­рас­лях. Я го­тов вы­де­лить та­кие про­ек­ты, как «Уз­бек­те­ле­ком», АГМК, На­ци­о­наль­ный банк внеш­не­эко­но­ми­че­ской де­я­тель­но­сти, Ми­ни­стер­ство фи­нан­сов, Гос­ком­зем­гео­де­з­ка­дастр.

Newspapers in Russian

Newspapers from Uzbekistan

© PressReader. All rights reserved.