Алексей Оськин: "Вирусописатели стали умнее"
На вопросы редакции IT News мы попросили ответить Алексея Оськина, руководителя отдела технического и маркетингового сопровождения продуктов компании Eset в России и странах СНГ.
Какие ошибки в области ИБ чаще всего допускают корпоративные пользователи?
Разделять пользователя на домашнего и корпоративного неправильно. Это один и тот же человек. Дома он домашний пользователь, а на работе – корпоративный. Соответственно и ошибки допускаются одни и те же. Разница в том, что корпоративному пользователю сложнее выполнить действие, которое может привести к вирусному заражению и другим негативным последствиям для сети компании. При правильно настроенной политике безопасности права рядового пользователя должны быть ограничены. Он не является администратором компьютера, поэтому у него нет возможности устанавливать ПО, открывать почтовые вложения, являющиеся исполняемыми файлами, и т. д. Так что имеет смысл говорить об общих ошибках пользователей, например, запуске подозрительных файлов из почтовых сообщений, использовании нелицензионного ПО, которое может оказаться вредоносным, и др. Но, опять же, это касается только тех случаев, когда системные администраторы не ограничивают пользователей.
Сегодня все чаще говорят о консьюмеризации рынка киберпреступности. Чтобы выполнить вредоносные действия, злоумышленникам уже не нужно быть хакерами и уметь программировать – достаточно просто купить вредоносную программу. Но если говорить именно об инновационной составляющей рынка вредоносного ПО – как часто появляются сегодня радикально новые виды угроз?
Со всеми стандартными угрозами антивирусные компании давно научились работать. Чтобы обойти антивирус, нужно что-то принципиально новое. И эти новые виды угроз появляются достаточно часто. Идет постоянная борьба между злоумышленниками и разработчиками ПО, которые вынуждены максимально оперативно выпускать обновления для блокировки новых угроз. Чаще всего речь идет об эксплойтах, которые ищут уязвимости в самых распространенных программных продуктах: Windows, Microsoft Office, Adobe Flash, Java и других. Как правило, разработчики не тестируют это ПО на предмет уязвимостей. В свою очередь, злоумышленники начинают эксплуатировать найденные уязвимости, а разработчики антивирусов им противодействуют. Рядом с эксплойтами стоят такие угрозы, как ботнеты, с помощью которых формируются сети для распространения вредоносного ПО. Здесь все зачастую также начинается с эксплойта, благодаря которому на компьютер загружается вредоносная программа, делающая его частью ботнет-сети. При этом антивирус может не посчитать такую программу вредоносной, поскольку до момента активации она ничего плохого не делает.
Помимо вредоносного ПО, есть и «потенциально нежелательное». Что конкретно к нему относится?
Это могут быть программы, которые в браузере показывают дополнительную рекламу, открывают окна. Они не выводят из строя компьютер, но мешают работать. Есть также категория «потенциально опасного» ПО. К ней можно отнести полезные программы, которые в случае некорректного использования могут навредить, например, удалить какие-то данные. Если пользователь не является продвинутым, то такое ПО лучше не устанавливать.
Повлияла ли консьюмеризация на частоту появления новых угроз?
Возможно, объемы немного снизились. Тем не менее, каждый день мы фиксируем огромное число вирусных угроз, которые попадают в нашу исследовательскую лабораторию. Могу сказать, что пользователей здесь намного больше, чем разработчиков. Угрозы усложняются, и, чтобы работать на этом рынке, надо обладать знаниями и огромным объемом информации. Обычному студенту, изучившему ассемблер и С++, это не по силам, здесь нужно быть профессионалом.
Отличается ли российский пользователь от западного? Есть ли у вашей компании специальные разработки или технологии для России?
С российским пользователем работать сложнее, поскольку общий уровень знаний в области ИТ в России ниже, чем в Европе и США. Специальных продуктов мы для России не выпускаем, поскольку угрозы во всем мире одни и те же, и для их блокировки применяются одни и те же инструменты. Так, в бизнес-сегменте мы предлагаем продукты, сертифицированные ФСТЭК и другими регуляторами, а также активно взаимодействуем с российскими IT-компаниями, которые включают в свои продукты наш антивирусный движок.
В новостях часто говорят про кибервойны и кибервойска. В некоторых государствах формируются целые подразделения «боевых хакеров». Готовы ли к этому антивирусные вендоры и современные технологии антивирусной защиты?
Антивирусные компании не работают в этом направлении, потому что органы государственной безопасности не пускают их в свои закрытые системы. В России ФСБ и ФСО самостоятельно поддерживают эти системы и осуществляют разработку. Вряд ли кто-то сможет взломать систему, о которой ничего толком не известно. Чтобы что-то взломать, надо знать, как это работает. Если говорить о «кибервойне», то здесь на первое место выходит шпионаж с целью выяснить принципы работы той или иной системы. Потом уже подключаются программисты, которые ищут пути взлома. Но сами антивирусные компании здесь никак не участвуют.
Какие виды угроз сегодня можно назвать основными драйверами антивирусного рынка?
Злоумышленникам все сложнее создавать вредоносное ПО, которое установит и запустит пользователь. Поэтому на первое место выходит фактор социальной инженерии, когда данные пользователя добываются обманным путем. Приходит, например, письмо, где говорится, что электронная почта взломана и для ее восстановления надо заново ввести свои данные. В результате пользователь сам отправляет злоумышленникам пароль от электронной почты. Таким образом, задача злоумышленников – обмануть антивирусное ПО и пользователя. Стоит помнить, что вредоносное ПО – это программа, которую пользователь должен запустить.
Еще одна популярная тема – «Интернет вещей». Нам обещают, что в ближайшем будущем нас будут окружать «умные» холодильники, чайники, утюги и т. д. «Умные» телевизоры уже стали реальностью. Когда можно будет говорить о новом направлении рынка ИБ - решениях для защиты «умной» техники?
Все эти устройства работают на закрытых операционных системах, которые изначально установлены на заводе и в дальнейшем не меняются, а только обновляются с серверов производителя. Даже новый софт устанавливается только из специализированных закрытых магазинов и репозиториев. В этом случае злоумышленнику трудно заразить подобное устройство. Но в дальнейшем «умная» техника будет управляться удаленно через Интернет, со смартфонов и планшетов. Вот здесь, думаю, стоит ожидать распространения угроз, поскольку будет использоваться операционная система, которой управляет сам пользователь. Возможно, будут работать те же методы фишинга. Что мы делаем в этом направлении? Я знаю, что производители смарт-телевизоров обращаются в антивирусные компании, чтобы те устанавливали на телевизоры антивирусную защиту, а затем поддерживали ее обновления. Все-таки телевизор – не компьютер, его взаимодействие с пользователем ограничено. Поэтому защита должна устанавливаться централизованно, через производителя.
По моим наблюдениям объем спама за последние годы стал меньше. С чем это связано?
Объем спама, который используют вирусописатели для обмана пользователей, остался на прежнем уровне. Просто он скрыт для пользователя до определенного момента. Раньше спам представлял собой рекламные письма. Обработать и заблокировать рекламное письмо намного проще, чем то, которое создано специально для обмана пользователя. Рекламные спамеры рассылают письма на сотни тысяч адресов, и в лучшем случае их получит тысяча пользователей. Блокировка такого спама по ключевым словам не представляет собой проблемы. Так что противодействие как рекламному, так и вирусному спаму успешно развивается, но и вирусописатели не сидят, сложа руки.
В последнее время все мы слышали о взломе и краже данных с популярных облачных сервисов. Компрометируется сама идея облачных хранилищ как безопасного места. Что бы вы порекомендовали администрации таких сервисов?
В «облаке» те же угрозы, что и дома, но их количество даже больше. Один домашний пользователь для злоумышленника неинтересен, а вот облачный сервис, где хранятся данные ста тысяч человек, уже намного привлекательнее. С другой стороны, безопасностью облачных сервисов занимаются профессионалы, и они задействуют больше защитных механизмов, чем домашние пользователи. Если злоумышленника заинтересует конкретный человек, который хранит данные на ПК и в «облаке», получить информацию с домашнего компьютера будет проще. Изначально «облако» позиционировалось не как средство для безопасного хранения, а как инструмент для удобного доступа к данным из любой точки мира и хранения резервных копий, из которых можно восстановить любой документ. В любом случае, критически важные данные в «облаке» хранить не стоит.
Одной из серьезных опасностей остаются так называемые уязвимости нулевого дня. При этом одни антивирусные компании уже успевают выпустить «лекарство», а другие нет. Не пора ли, на ваш взгляд, наладить механизмы взаимодействия антивирусных разработчиков по обмену технологиями блокировки эксплойтов, использующих уязвимости нулевого дня?
На антивирусном рынке очень высок уровень конкуренции. Открытого обмена информацией нет, все работают на свою программу. Но мы, например, в нашей антивирусной лаборатории получаем и исследуем обновления, выпускаемые нашими конкурентами. И все антивирусные компании делают то же самое. Получается негласный обмен информацией. Если же говорить о других угрозах, то, выпуская стандартное обновление, мы выкладываем в открытый доступ описания угрозы: что она делает, как работает, как ей противодействовать. И наши конкуренты поступают таким же образом. Что касается угроз нулевого дня, то здесь каждый работает на себя.
Опубликовано 17.03.2015