Cергей Кузнецов: антивирусная защита должна быть комплексной

Руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов в интервью ICTNEWS рассказал о современ­ных вредоносных атаках, слабом звене в системе ИБ и о том, какое совре­менное антивирусное ПО необходимо использовать для того, чтобы обе­спечить комплексную антивирусную защиту.

Каждый день появляются все новые атаки, поэтому антивирусы должны постоянно совершенствоваться и развиваться. На что вы планируете акцентировать внимание в перспекти­ве, чтобы новые продукты ESET стали максимально эффективными?

– В последние годы мы отмечаем не­уклонный рост общего числа киберугроз. Но этот рост обеспечивают модификации уже известных вредоносных программ, а количество принципиально новых образ­цов сокращается.

Со своей стороны мы делаем упор на развитие проактивных технологий: облачной системы LiveGrid, ДНК-сигнатур, машинного обучения для детектирования сложных, зашифрованных или бесфайло­вых угроз.

Система LiveGrid с разрешения поль­зователя отслеживает потенциальные, ранее неизвестные угрозы и передает их в облако ESET через собственную систе­му обратной связи. Собранные образцы подвергаются автоматической эмуляции в «песочнице» и анализу поведения. Если злонамеренные характеристики под­тверждены, будет создана автоматизи­рованная сигнатура. Пользователи ESET получают ответ о репутации образца еще до обновления сигнатурных баз.

ДНК-сигнатуры представляют собой совокупность данных о поведении и характеристиках вредоносного объекта. Если код угрозы можно изменить или запутать (об­фусцировать), то ее поведение модифициро­вать не так просто. Поэтому ДНК-сигнатуры ESET могут обнаруживать старые и новые образцы известных семейств вредоносного ПО, а также абсолютно новые вредоносные программы, которые содержат гены, указы­вающие на вредоносное поведение.

Собственный механизм машинного обучения ESET Augur использует возмож­ности нейронных сетей и группы из шести алгоритмов классификации. Это помогает маркировать поступающие образцы ПО как чистые, потенциально нежелательные или вредоносные. Движок ESET Augur взаимодействует с другими защитными технологиями, включая ДНК-сигнатуры, «песочницу», анализ памяти и др.

Некоторые специалисты потеряли веру в эффективность антивирусных программ, т. к. современные вредонос­ные атаки стали более целенаправ­ленными. Как это влияет на развитие рынка антивирусов?

– Современные комплексные антиви­русные решения по-прежнему надежно защищают от вредоносного ПО. Но их эффективность во многом зависит от пра­вильной настройки. В этой связи мы по­могаем с настройками антивируса нашим домашним пользователям и разрабатыва­ем бесплатные учебные курсы по компью­терной грамотности в Академии ESET.

Для корпоративных заказчиков предусмотрены другие услуги и сервисы. Например, мы проводим аудит антиви­русной защиты и предлагаем подробные рекомендации по настройке. Кроме того, с 2017 года в России и странах СНГ досту­пен телеметрический сервис ESET Threat Intelligence, позволяющий компаниям значительно повысить уровень информа­ционной безопасности.

Сервис позволяет определить, плани­руется ли целевая атака на компанию или нет. Целевые атаки, АРТ-угрозы и актив­ность ботнетов сложно распознать, когда в вашем распоряжении только данные локальной сети. Специалистам по безо­пасности необходимы полная картина и глубокий анализ киберландшафта, что и обеспечивает ESET Threat Intelligence.

Насколько эффективны современ­ные сигнатуры вирусов по сравнению с такими методами обнаружения, как по­веденческий и эвристический анализы, белые списки и изолированная среда?

– Стандартный сигнатурный анализ уже неактуален. В настоящее время известно больше 700 млн образцов вредоносного ПО, при этом каждый день выпускается до 300 тысяч новых.

Классический сигнатурный подход предполагает добавление в базу данных сигнатур каждого образца. Это долго и сложно – надо просмотреть 700 млн за­писей, что отнимает время и ресурсы. При этом новые 300 тысяч угроз так и остаются неопознанными.

Мы давно отказались от этого подхода и активно используем ДНК-сигнатуры. Это позволяет убить двух зайцев одним выстрелом: избавиться от чрезмерно раздутой базы данных сигнатур и успешно детектировать новые, ранее неизвестные угрозы.

Сейчас активно появляются вирусы для мобильных устройств (планшетов и смартфонов). Насколько опасны дан­ные угрозы?

– До 99% мобильных угроз приходится на платформу Android.

Самым популярным инструментом злоу­мышленников, атакующих эту ОС, остаются так называемые «полицейские» вымогатели. Эта система блокирует экран устройства, а требование выкупа похоже на официальное сообщение правоохранительных орга­нов. Большинство программ-вымогателей, использующих эту уловку, принадлежит семейству Android/Locker.

Согласно телеметрии ESET, в 2017 году доля программ-вымогателей для Android снижалась, несмотря на рост общего числа угроз для этой платформы. Тем не менее в 2018 году возможны новые всплески активности вымогателей.

Также распространены банковские тро­яны, предназначенные для кражи средств пользователей мобильных приложений банков, а также всевозможные угрозы, связанные с криптовалютами. В основе «криптоатак» – скрытый майнинг и кража данных кошельков и популярных обмен­ных сервисов.

Учитывая постоянный рост количества пользователей мобильных гаджетов, не будет ли эффективней внедрить решение для их защиты на сетевом уровне, нежели устанавли­вать самостоятельные приложения на каждое отдельное устройство?

– Самое слабое звено в системе информационной безопасности – чело­век. Например, если говорить об угрозах корпоративного сектора, 63% инцидентов связаны с бывшими или действующими сотрудниками. Поэтому защита на уровне сети – это важный, но далеко не един­ственный уровень безопасности. Антиви­русная защита должна быть комплексной.

Атаки шифровальщиков по-прежне­му развиваются. Какие выводы мы мо­жем сделать из атак WannaCry и Petya? Как вы считаете, как скоро и какого типа атаки нас ожидают?

– У шифраторов WannaCry и Petya не так много общего. Чтобы сопоставить эти кейсы и сделать выводы, стоит учитывать следующие моменты.

Сам по себе WannaCry не был особо сложным или опасным. Масштаб про­блем обусловлен его связкой с эксплой­том EternalBlue для сетевой уязвимости Microsoft Windows. Дальше следите за хронологией. 14 марта 2017 года Microsoft выпускает обновление безопасности MS17-010, закрывающее данную уязви­мость. 14 апреля EternalBlue и некоторые другие эксплойты публикуются в откры­том доступе. 12 мая начинается эпидемия WannaCry. И что мы видим? Патч двухме­сячной давности установлен далеко не на всех рабочих станциях.

Дальше – Petya. Источником эпиде­мии стала компрометация программного обеспечения для отчетности и докумен­тооборота M.E.Doc, распространенного в украинских компаниях. Пользователи уста­навливали троянизированные обновления, и далее шифратор распространялся вну­три сетей с помощью того же EternalBlue и PsExec. С эпидемии WannaCry прошло полтора месяца – достаточно времени, чтобы установить обновление безопас­ности, и все равно Petya задел большое число рабочих станций.

Как вы думаете, какую роль анти­вирусные компании будут играть в потенциальной кибервойне?

– Производители антивирусов – это коммерческие компании, поэтому они должны быть абсолютно аполитичны. Неважно, кто является создателем, заказ­чиком или оператором вредоносного или шпионского ПО, какие цели они преследу­ют. Задача антивирусного продукта – выя­вить вредоносную активность и пресечь ее.

Какой самый важный совет поинформационной безопасности вы бы дали предприятиям?

– Используйте современное комплекс­ное антивирусное ПО и другие средства обеспечения безопасности: защита досту­па, DLP, резервное копирование.

Если позволяет бюджет, подписывай­тесь на телеметрические сервисы класса Threat Intelligence и подключайте сторон­них подрядчиков для аудита информаци­онной безопасности.

И самое главное – обучайте своих сотрудников основам информационной безопасности. Это важно делать на регу­лярной основе, поскольку знаниям свойственно со временем «выветриваться».

Какие проблемы на местном рынке ИБ вы можете отметить? Есть ли примеры внедрения продуктов ESET в компаниях Узбекистана?

– Рынок ИБ Узбекистана стремитель­но развивается. При этом крайне важно, что активную роль в этом вопросе играет именно государство. Как и во всем СНГ, основная проблема – это использование пиратского программного обеспечения.

Продукты ESET используют многие ком­пании Узбекистана в различных отраслях. Я готов выделить такие проекты, как «Узбекте­леком», АГМК, Национальный банк внешне­экономической деятельности, Министерство финансов, Госкомземгеодезкадастр.