Об эволюции компьютерных угроз, «облачных» антивирусах и методиках диагностики вредоносного кода мы говорили с Сергеем Новиковым, руководителем российского исследовательского центра «Лаборатории Касперского».
PC Week/UE: Как эволюционировали угрозы за последние несколько лет?
Данный факт заметно повлиял на развитие технологий ИБ. Если несколько лет назад модуль веб-антивируса не считался обязательным компонентом в составе антивирусного пакета, то сегодня ни одна уважающая себя компания не выпустит без него продукт на рынок.
PC Week/UE: Какой веб-браузер, по вашему мнению, является сегодня наиболее защищенным? Что вы можете сказать о новой версии Internet Explorer?
С. Н.: Основной проблемой является не уязвимость браузера, а уязвимость приложений и модулей, которые работают в связке с ним. К таковым относятся Flash-плеер, модуль просмотра PDF-файлов и т. д. Поэтому нет особой разницы по уровню безопасности между, скажем, Internet Explorer или Firefox. Если вы используете уязвимый Flash-плеер, то рано или поздно в систему попадет вредоносный код – и не важно, через какой браузер. Хотя надо заметить, что, в первую очередь, вирусописатели нацелены на самые популярные браузеры.
PC Week/UE: С вашей точки зрения, как будут далее развиваться события в антивирусной индустрии после сделки Intel с McAfee? Возможно ли встроить антивирус в компьютер в качестве firmware?
С. Н.: Почему нет? Мы, к примеру, лицензируем наш антивирусный движок различным нашим OEM-партнерам, и они встраивают его в свои продукты – так делают Cisco, Juniper и т.д.
PC Week/UE: Каковы перспективы развития облачных вычислений?
С. Н.: Сегодня все движутся в сторону «облаков». И, скорее всего, в самом ближайшем будущем облака станут обязательной частью обработки данных в корпорациях. Если использование облачных технологий в корпорациях в Японии - это уже стандарт де факто, а в Соединенных Штатах все еще только начинается и пока не приняло столь массовый характер, то через пару лет «облака» будут уже везде и у всех.
Надо заметить, что уже сегодня нельзя обеспечить достойную защиту, не имея облачной инфраструктуры, ведь основное преимущество «облаков» – в скорости реакции. Так в состав персональных продуктов компании входит функционал in-the-cloud-безопасности в форме Kaspersky Security Network – с помощью этой технологии наши эксперты могут заблокировать доступ к вредоносному файлу или сайту, содержащему вредонос, буквально через 40 секунд после получения информации об угрозе.
PC Week/UE: Каким образом может быть обеспечена такая моментальная реакция?
С. Н.: Обновления антивирусных баз «Лаборатории Касперского» традиционно выходят раз в час. Тогда как при работе с облачной защитой сигнатурные обновления появляются моментально, и в случае опасности, запуск файла или открытие сайта мгновенно блокируется.
Давайте рассмотрим работу Kaspersky Security Network на простом примере. После посещения какого-то сайта компьютер пользователя начинает себя странно вести. При этом установленный антивирус пока не может распознать, откуда идет вредоносная активность. Поэтому антивирус отправляет в наше «облако» информацию о текущей ситуации. А теперь представьте, что такую же информацию мы получим в течение часа от 100 пользователей – «облако» автоматически «поймет», что этот сайт является вредоносным и автоматически отправит его в «подозрительный список», а те файлы, которые загружались, опять же автоматически станут недоверенными и их запуск заблокируется.
PC Week/UE: Но если я открываю потенциально опасный файл с flash-накопителя и у меня нет доступа в интернет?
С. Н.: В этом случае cloud-технологии не работают, но сигнатурные и, главное, эвристические методы защиты по-прежнему будут актуальны. Вирусы с flash-накопителей распространяются через запуск autorun-файла и последующее копирование в память ПК. Такое подозрительное поведение, конечно, сразу будет пресечено проактивной антивирусной защитой.
PC Week/UE: Около 10 лет назад были распространены, в основном, только сигнатурные методы, потом начали появляться проактивные и эвристические методики. Какое соотношение долей отраженных атак у сигнатурных и проактивных инструментов?
С. Н.: Проактивным и эвристическим методами сегодня отражается не меньше 70-80% угроз: для детектирования полиморфных вирусов сигнатурная методика практически не применима.
PC Week/UE: Но все таки сигнатурные инструменты в ближайшее время никуда не денутся?
С. Н.: Абсолютно верно, традиционные сигнатурные технологии по-прежнему актуальны – они работают, хотя и с некоторой задержкой. На мой взгляд, они и дальше будут помогать детектировать зловреды.
PC Week/UE: Откуда проистекает основная угроза для корпоративного сектора? Интернет, флеш-диски, почта? Недисциплинированность пользователя, низкая компетентность системного администратора?
С. Н.: Я бы сказал — совокупность всех вышеназванных факторов. Конечно, главную опасность как для персональных, так и для корпоративных пользователей несет как работа в интернет, так и работа с USB-носителями. И справиться с этой угрозой поможет качественный антивирусный продукт.
Другой вопрос — когда информацию нужно защищать от внутренних угроз. Утечки данных случаются, и для их предотвращения также нужны программные DLP-решения (Data Leak/Loss Prevention).
PC Week/UE: Во время эпидемии червя Conficker пострадало множество компании, при этом их ИТ-службы жаловались, что антивирусы не способны детектировать этот вредонос...
С. Н.: Я бы сказал, что эта эпидемия до сих пор актуальна в некоторых регионах (например, в Казахстане), хотя прошло уже больше года после ее пика. Первое время, действительно, ни одна антивирусная компания не могла в полной мере справиться с этим червем, но затем ситуация выправилась. Так, «Лаборатория Касперского» выпустила небольшую утилиту KidoKiller, которую можно бесплатно скачать на нашем сайте и «вылечить» компьютер.
PC Week/UE: Какие бы вы дали советы пользователям в целях более надежной защиты от вирусов?
С. Н.: Помимо использования комплексных антивирусных продуктов и регулярного обновления используемого ПО, есть очень важный момент — не попадаться на уловки киберпреступников, использующих так называемую социальную инженерию.
С помощью различных хитростей возможно вынудить пользователя запустить вредоносное ПО или ввести конфиденциальные данные на взломанном сайте. И тут надо помнить о том, что даже самое лучшее антивирусное решение может обеспечить не больше, чем 99,99% защиты: для полной безопасности нужно приложить лишь одну сотую процента, которая включает в себя бдительность и понимание того, что происходит в Интернете. Например, ваш приятель по ICQ присылает ссылку на какой-либо сайт. И тут надо задуматься: кто на самом деле написал это сообщение? Может быть, аккаунт вашего друга был взломан и с него теперь приходит ссылка на вредоносный сайт? Условно говоря, при работе в интернете нужны элементарная бдительность и здравый смысл, поскольку от приемов социальной инженерии не защитит ни эвристика, ни проактивные технологии.
