Руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов в интервью ICTNEWS рассказал о современных вредоносных атаках, слабом звене в системе ИБ и о том, какое современное антивирусное ПО необходимо использовать для того, чтобы обеспечить комплексную антивирусную защиту.
Каждый день появляются все новые атаки, поэтому антивирусы должны постоянно совершенствоваться и развиваться. На что вы планируете акцентировать внимание в перспективе, чтобы новые продукты ESET стали максимально эффективными?
– В последние годы мы отмечаем неуклонный рост общего числа киберугроз. Но этот рост обеспечивают модификации уже известных вредоносных программ, а количество принципиально новых образцов сокращается.
Со своей стороны мы делаем упор на развитие проактивных технологий: облачной системы LiveGrid, ДНК-сигнатур, машинного обучения для детектирования сложных, зашифрованных или бесфайловых угроз.
Система LiveGrid с разрешения пользователя отслеживает потенциальные, ранее неизвестные угрозы и передает их в облако ESET через собственную систему обратной связи. Собранные образцы подвергаются автоматической эмуляции в «песочнице» и анализу поведения. Если злонамеренные характеристики подтверждены, будет создана автоматизированная сигнатура. Пользователи ESET получают ответ о репутации образца еще до обновления сигнатурных баз.
ДНК-сигнатуры представляют собой совокупность данных о поведении и характеристиках вредоносного объекта. Если код угрозы можно изменить или запутать (обфусцировать), то ее поведение модифицировать не так просто. Поэтому ДНК-сигнатуры ESET могут обнаруживать старые и новые образцы известных семейств вредоносного ПО, а также абсолютно новые вредоносные программы, которые содержат гены, указывающие на вредоносное поведение.
Собственный механизм машинного обучения ESET Augur использует возможности нейронных сетей и группы из шести алгоритмов классификации. Это помогает маркировать поступающие образцы ПО как чистые, потенциально нежелательные или вредоносные. Движок ESET Augur взаимодействует с другими защитными технологиями, включая ДНК-сигнатуры, «песочницу», анализ памяти и др.
Некоторые специалисты потеряли веру в эффективность антивирусных программ, т. к. современные вредоносные атаки стали более целенаправленными. Как это влияет на развитие рынка антивирусов?
– Современные комплексные антивирусные решения по-прежнему надежно защищают от вредоносного ПО. Но их эффективность во многом зависит от правильной настройки. В этой связи мы помогаем с настройками антивируса нашим домашним пользователям и разрабатываем бесплатные учебные курсы по компьютерной грамотности в Академии ESET.
Для корпоративных заказчиков предусмотрены другие услуги и сервисы. Например, мы проводим аудит антивирусной защиты и предлагаем подробные рекомендации по настройке. Кроме того, с 2017 года в России и странах СНГ доступен телеметрический сервис ESET Threat Intelligence, позволяющий компаниям значительно повысить уровень информационной безопасности.
Сервис позволяет определить, планируется ли целевая атака на компанию или нет. Целевые атаки, АРТ-угрозы и активность ботнетов сложно распознать, когда в вашем распоряжении только данные локальной сети. Специалистам по безопасности необходимы полная картина и глубокий анализ киберландшафта, что и обеспечивает ESET Threat Intelligence.
Насколько эффективны современные сигнатуры вирусов по сравнению с такими методами обнаружения, как поведенческий и эвристический анализы, белые списки и изолированная среда?
– Стандартный сигнатурный анализ уже неактуален. В настоящее время известно больше 700 млн образцов вредоносного ПО, при этом каждый день выпускается до 300 тысяч новых.
Классический сигнатурный подход предполагает добавление в базу данных сигнатур каждого образца. Это долго и сложно – надо просмотреть 700 млн записей, что отнимает время и ресурсы. При этом новые 300 тысяч угроз так и остаются неопознанными.
Мы давно отказались от этого подхода и активно используем ДНК-сигнатуры. Это позволяет убить двух зайцев одним выстрелом: избавиться от чрезмерно раздутой базы данных сигнатур и успешно детектировать новые, ранее неизвестные угрозы.
Сейчас активно появляются вирусы для мобильных устройств (планшетов и смартфонов). Насколько опасны данные угрозы?
– До 99% мобильных угроз приходится на платформу Android.
Самым популярным инструментом злоумышленников, атакующих эту ОС, остаются так называемые «полицейские» вымогатели. Эта система блокирует экран устройства, а требование выкупа похоже на официальное сообщение правоохранительных органов. Большинство программ-вымогателей, использующих эту уловку, принадлежит семейству Android/Locker.
Согласно телеметрии ESET, в 2017 году доля программ-вымогателей для Android снижалась, несмотря на рост общего числа угроз для этой платформы. Тем не менее в 2018 году возможны новые всплески активности вымогателей.
Также распространены банковские трояны, предназначенные для кражи средств пользователей мобильных приложений банков, а также всевозможные угрозы, связанные с криптовалютами. В основе «криптоатак» – скрытый майнинг и кража данных кошельков и популярных обменных сервисов.
Учитывая постоянный рост количества пользователей мобильных гаджетов, не будет ли эффективней внедрить решение для их защиты на сетевом уровне, нежели устанавливать самостоятельные приложения на каждое отдельное устройство?
– Самое слабое звено в системе информационной безопасности – человек. Например, если говорить об угрозах корпоративного сектора, 63% инцидентов связаны с бывшими или действующими сотрудниками. Поэтому защита на уровне сети – это важный, но далеко не единственный уровень безопасности. Антивирусная защита должна быть комплексной.
Атаки шифровальщиков по-прежнему развиваются. Какие выводы мы можем сделать из атак WannaCry и Petya? Как вы считаете, как скоро и какого типа атаки нас ожидают?
– У шифраторов WannaCry и Petya не так много общего. Чтобы сопоставить эти кейсы и сделать выводы, стоит учитывать следующие моменты.
Сам по себе WannaCry не был особо сложным или опасным. Масштаб проблем обусловлен его связкой с эксплойтом EternalBlue для сетевой уязвимости Microsoft Windows. Дальше следите за хронологией. 14 марта 2017 года Microsoft выпускает обновление безопасности MS17-010, закрывающее данную уязвимость. 14 апреля EternalBlue и некоторые другие эксплойты публикуются в открытом доступе. 12 мая начинается эпидемия WannaCry. И что мы видим? Патч двухмесячной давности установлен далеко не на всех рабочих станциях.
Дальше – Petya. Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота M.E.Doc, распространенного в украинских компаниях. Пользователи устанавливали троянизированные обновления, и далее шифратор распространялся внутри сетей с помощью того же EternalBlue и PsExec. С эпидемии WannaCry прошло полтора месяца – достаточно времени, чтобы установить обновление безопасности, и все равно Petya задел большое число рабочих станций.
Как вы думаете, какую роль антивирусные компании будут играть в потенциальной кибервойне?
– Производители антивирусов – это коммерческие компании, поэтому они должны быть абсолютно аполитичны. Неважно, кто является создателем, заказчиком или оператором вредоносного или шпионского ПО, какие цели они преследуют. Задача антивирусного продукта – выявить вредоносную активность и пресечь ее.
Какой самый важный совет поинформационной безопасности вы бы дали предприятиям?
– Используйте современное комплексное антивирусное ПО и другие средства обеспечения безопасности: защита доступа, DLP, резервное копирование.
Если позволяет бюджет, подписывайтесь на телеметрические сервисы класса Threat Intelligence и подключайте сторонних подрядчиков для аудита информационной безопасности.
И самое главное – обучайте своих сотрудников основам информационной безопасности. Это важно делать на регулярной основе, поскольку знаниям свойственно со временем «выветриваться».
Какие проблемы на местном рынке ИБ вы можете отметить? Есть ли примеры внедрения продуктов ESET в компаниях Узбекистана?
– Рынок ИБ Узбекистана стремительно развивается. При этом крайне важно, что активную роль в этом вопросе играет именно государство. Как и во всем СНГ, основная проблема – это использование пиратского программного обеспечения.
Продукты ESET используют многие компании Узбекистана в различных отраслях. Я готов выделить такие проекты, как «Узбектелеком», АГМК, Национальный банк внешнеэкономической деятельности, Министерство финансов, Госкомземгеодезкадастр.
