Технический директор компании ESET Журай Малчо: Во всех странах, особенно больших, есть свои кибер-армии
Интервью
Технический директор международного разработчика антивирусного программного обеспечения - словацкой компании ESET Журай Малчо рассказал УНИАН о целях, которые преследуют киберпреступники, эволюции вредоносного программного обеспечения и новых угрозах, с которыми приходится сталкиваться специалистам в данной сфере.
Компания ESET разработала программу NOD 32, которая впоследствии легла в основу антивирусных продуктов. По вашему мнению, в чем заключался секрет ее успеха и, как следствие, успеха ESET?
Я бы сказал, что секрет того, что мы делаем, заключается в глубинном понимании проблемы. По сути, мы всегда фокусировались на исследовании вредоносных программ и хотели точно знать, как они работают, глубоко погружались в их изучение - и это главный рецепт нашего успеха.
Важно понимать, что происходит в мире киберугроз. Мы должны постоянно наблюдать за тем, что делают плохие парни. Хочется донести до всех, что киберугрозы не статичны, и речь идет не о каком-то волшебном коде, или вирусе, или программе, или не важно, какое он еще может иметь название. На самом деле все намного сложнее.
За процессом создания этих вредоносных программ стоят люди, которые постоянно их развивают, чтобы повысить эффективность. К примеру, они хотят украсть деньги или пароли, заняться вымогательством или шпионажем, также можно упомянуть злонамеренную деятельность, спонсируемую государствами, хотя это уже другая история.
Проще говоря, у всего этого есть цель, и мы должны понимать, какая она - к примеру, обойти систему безопасности или максимизировать прибыль.
Таким образом, в течение многих лет мы всегда фокусировались на том, чтобы найти наиболее распространенный тип атаки, понять, какие вредоносные инструменты становятся все более популярными, и какие риски возможны при определенных атаках на большое количество пользователей. И уже основываясь на этой информации мы разрабатывали наши решения.
Очень часто нас обвиняют в том, что мы создаем продукты просто, например, для резонанса в медиа пространстве. Вспоминается случай, когда мы разработали решение для защиты платформ Android. Многие не понимали, зачем этот продукт нужен - мол, для Android не существует угроз, зачем стараться над разработкой инструментов защиты. Но мы понимали, что количество пользователей данной платформы достигает довольно большого количества и, значит, они являются лакомой финансовой наживой для киберпреступников.
Более того, что касается технической части. В отличие от большинства компаний, мы всегда стремились к тому, чтобы наши разработчики были хорошо высококвалифицированными и подготовленными, расширяли свой круг знаний и могли самостоятельно принимать решения. Это особенно важный и ответственный момент, если мы говорим об обнаружении угроз. Ведь каждая ошибка может принести значительный ущерб.
Какие новые угрозы вам удалось обнаружить за последний год?
Я не думаю, что на самом деле есть что-то принципиально новое. Мы сталкивались с кампаниями по вымогательству, различным вредоносным программным обеспечением, которое использовалось как средство заражения. Мы наблюдали ряд кампаний, которые, скорее всего, финансировались другими государствами - хоть мы всегда очень аккуратно подходим к установлению того, кто стоит за определенной атакой, но можем видеть сходство методов и тактики определенных групп атакующих. Сегодня стало уже обычным явлением, что во всех странах, особенно больших, есть свои кибер-армии. Не будем называть конкретные, но они есть.
Когда речь идет об интересе отдельных государств, нас часто спрашивают: «Почему вы это освещаете? Почему именно вы обнаружили эту атаку? Вы наблюдали за конкретной страной?». Но это не совсем так. Мы не исследуем определенные страны наугад. Крайне редко случается, когда мы смотрим целенаправленно, что происходит, например, в Украине или другой стране по какой-то причине. Как правило, наши исследователи глубоко изучают новые и уникальные образцы угроз или вредоносные инструменты, которые ранее нам не встречались, ведь именно поэтому они для нас и интересны.
Вспомним, к примеру, историю с M.E.Doc, когда вполне нормальное программное обеспечение в итоге оказалось скомпрометированным. Такие вещи всегда бросаются в глаза. Они становятся интересными для исследователей, которые, в свою очередь, не могут пройти мимо и начинают глубоко изучать проблему. Ведь, на первый взгляд, вполне легальное приложение может таить в себе такую угрозу как, например, бэкдор (угроза предоставляет злоумышленникам возможность несанкционированно и дистанционно управлять зараженным устройством жертвы - УНИАН).
Вы упомянули кибер-армии. Есть ли у вас ощущение, что эти государства, владеющие кибер-армиями, охотятся на специалистов из таких компаний, как ваша?
Я так не думаю. Не знаю ни о каких подобных шагах в отрасли. Я думаю, что, если кто-то в нашей компании решит, что хочет пойти в армию, это будет его собственное решение. Понятия не имею. Никто не спрашивал меня, и я не слышал ни о чем подобном.
Это связано с моральными и этическими принципами людей, которые устраиваются на работу в компанию по кибербезопасности? Или это просто другой тип людей?
Я не буду говорить обо всем кибер-секторе, потому что он очень динамичный и постоянно меняется.
Когда я присоединился к компании ESET в 2004 году, сектор кибер-безопасности уже не был похож на новую, только возникшую сферу, но на самом деле очень отличался от своего нынешнего вида.
Первоначальная идея, которая была заложена в основу ESET, состояла в том, чтобы помогать нуждающимся в киберзащите людям. По сути, это был моральный компас, так сказать. И это действительно то, чему мы все отчасти следовали, чему мы научились у владельцев и основателей компании (Питера Пашко и Мирослава Трнки - УНИАН). Эта идея развивалась, распространялась и, если вы спросите у Мирослава Трнки, деньги никогда не стояли для ESET на первом месте.
Сегодня же при значительном росте рынка кибербезопасности появилось много инвесторов, рассматривающих его как способ зарабатывания денег. В этом и заключается разница между компаниями.
Для нас очень важны моральные качества наших сотрудников: как они себя ведут, что ищут, - и мы проговариваем это еще на этапе собеседования. Потому, я думаю, очень маловероятно, что наши люди захотят пойти работать на плохих парней. Это может случиться, но мы пытаемся найти людей, которые действительно находятся на светлой стороне.
Но когда идет наступательная операция, возникает вопрос: вы только создаете оружие или еще и используете его? И вы никогда не знаете. С точки зрения кибербезопасности, очень легко злоупотребить той силой, которая есть в твоих руках, потому что поведение киберпреступников легко копировать.
Помимо этого, я бы предположил, что плохие хакеры обучают молодых талантливых ребят. Это, наверное, очень похоже на то, что происходит с обычными призывниками в армию. У людей всегда разные мотивы.
Расскажите о последних наработках в области антивирусного программного обеспечения и, в целом, кибербезопасности?
Как я уже говорил, программное обеспечение постоянно развивается и сегодня мы имеем дело уже с более продвинутыми атаками. По сути, это уже сложные операции, а не просто вредоносная программа, рассылаемая в виде спама.
Сегодня мы уже имеем дело с инструментами из категории так называемого EDR (Endpoint Detection and Response: обнаружение и реагирование - с англ.), которые значительно отличаются от традиционных инструментов для обеспечения киберзащиты конечных точек (компьютеров, смартфонов и других устройств). Я сейчас говорю о безопасности корпоративных сетей.
Если у вас есть решение для обеспечения безопасности конечных точек, то это, простыми словами, антивирус, который мы устанавливаем и, грубо говоря, забываем о нем, и это решение каким-то волшебным образом работает (или не работает). Когда же мы говорим о решении EDR, то имеем в виду реальный мониторинг того, что происходит во всей сети. При этом, не обязательно вредоносный или подозрительный файл будет заблокирован. Тогда как обычный антивирус автоматически блокирует что-либо «плохое», действия EDR-решения исходят непосредственно из его названия - в первую очередь, оно обнаруживает что-то подозрительное, а затем уже реагирует, исходя из настроек - может автоматически блокировать или же ожидает вмешательства человека.
Можно сказать, именно EDR-решение сегодня дает пользователю определенный набор современных инструментов защиты, с помощью которых можно противостоять технологиям киберпреступников. И складывается ситуация, когда плохие парни используют свои инструменты для осуществления атаки, а пользователь способен применить в ответ свои инструменты, и, в результате, они разыгрывают некую шахматную партию. Поэтому именно EDR-решения сейчас действительно набирают популярность и становятся все более важными. Это то направление, в котором в настоящее время развиваются антивирусные программы.
Чем больше у нас компьютеров и устройств, тем больше атак. Информационные технологии - это новый мир с тысячами устройств вокруг. Как компании по кибербезопасности могут справиться с этими постоянно растущими объемами? Используют ли они машинное обучение? Возможно, в будущем компьютеры сами смогут противостоять хакерским атакам...
Хорошо, что вы упомянули это. Машинному обучению сегодня уделяется большое внимание. Есть такая известная шутка: «Если что-то написано на PowerPoint, это, вероятно, искусственный интеллект. Если код написан на Python (язык программирования - УНИАН), это, вероятно, машинное обучение.
В конечном счете, все дело в более умной автоматизации. Алгоритмы, математические расчеты - в этой сфере все уже известно, и это не то, что люди обычно создают или исследуют. Но некоторые компании занимаются этим - посмотрите на Google с большим количеством людей, вовлеченных в основные исследования искусственного интеллекта.
Но приложения довольно просты, мы занимаемся этим годами и годами. На самом деле, первые приложения для нейронных сетей в нашем случае были созданы в 1997 году. Вот почему я говорю только об интеллектуальной автоматизации.
Сегодня проблема состоит уже не в количестве атак, а в их специфичности. Сила киберпреступников сегодня заключается в осуществлении уникальных атак - атак, с которыми никто ранее не сталкивался, поэтому сразу никто, скорее всего, и не поймет, что это реальная атака.
Можете ли вы привести примеры подобных атак?
Отличный пример - руткиты (набор программных средств, обеспечивающих маскировку файлов, управление процессами в системе, сбор данных и тому подобное - УНИАН). В 2008-2009 годах это были действительно восходящие, сияющие звезды. Возможно, до 2011 года. И все компании по кибербезопасности действительно сосредоточили свое внимание на создании технологий защиты против руткитов.
И угадайте, что? Если киберпреступники создавали новое вредоносное программное обеспечение, которое являлось чем-то уникальным: новый код или что-то подобное, - но в него был включен руткит, злоумышленника было легко обнаружить только лишь по причине того, что он использовал технологии руткита, поскольку эти методы уже были известны. И потому они стали невостребованными среди хакеров.
Плохим парням действительно нравилось использовать шпионское программное обеспечение до 2011 года. А потом они поняли: «Нет, нет, нет, мы не делаем руткиты, поскольку использование этих технологий легко указывает на то, что система скомпрометирована». Поэтому мошенники стали больше фокусироваться на вредоносных программах, которые маскируются или компрометируют «чистые» приложения.
Таких случаев было множество. Тот же пример с обновлением M.Е.Doc. Или атака Stuxnet, направленная на промышленное оборудование Siemens. И так далее.
Но первое, с чем мы столкнулись - это были Notepad и WordPad (текстовые редакторы из операционной системы Windows - УНИАН). На первый взгляд, они ничем не отличались от обычных файлов, но имели при этом маленький встроенный код, который занимал несколько сотен байт, а может и меньше. И в определенный период времени, когда срабатывал определенный триггер (условие запуска определенного действия - УНИАН), начиналась загрузка другой программы.
Если вы, как пользователь, не сталкивались с подобным ранее, такие действия не вызвали бы у вас подозрений. Обнаружить подобного рода вещи очень тяжело, поскольку даже при сравнении с нескомпрометированным файлом они имеют 99,99% сходства. Это может выглядеть как, к примеру, испаноязычная версия. Конечно же, сравнение покажет зашифрованную ссылку, при открытии которой вы обнаружите наличие «черного хода».
Это, собственно, то, что начинает быть популярным среди хакеров. Это всегда развивающаяся и постоянно меняющаяся игра.
Вы могли бы рассказать о продуктах, которые предлагает ваша компания, и о последних разработках, которые ESET планирует запустить в ближайшем будущем?
Я упомянул категорию EDR, и, конечно же, необходимо упомянуть, что у нас есть продукт в этой категории, который называется ESET Enterprise Inspector. Буквально несколько недель назад вышла новая версия данного продукта, что говорит о том, что любые решения по кибербезопасности должны развиваться и быть способными противостоять новым типам атак.
Кроме того, следует также упомянуть хороший ресурс MITRE ATT&CK, который осуществляет классификацию кибератак и описывает, к примеру, как начинается атака, где проявляется, какие приложения или действия запускает и так далее. Фактически, описывается поведение различных типов атак или групп. Это один из аспектов, на которых мы фокусируемся сейчас.
Еще одно решение, которое мы предоставляем, относится больше к классу услуг и называется ESET Dynamic Threat Defense. Данный продукт позволяет автоматически анализировать файлы в облаке или, так называемой, песочнице. Что на самом деле интересно, данная технология далеко не новая для нас, и она присутствует в наших продуктах еще с 2005 года с момента запуска нашего облака, которое тогда называлось ThreatSense.Net и позже было переименовано на LiveGrid. Поэтому, фактически, изменился только интерфейс взаимодействия с системой, в котором пользователь может выбрать файлы, которые хочет отправить на проверку и получить обратную связь.
Кроме того, вышла новая версия продуктов для домашних пользователей, которая традиционно выходит ежегодно осенью.
Мы не привязываемся к временным рамкам - как только выходят новые технологии, мы их реализуем в наших продуктах. Таким образом, наши постоянные пользователи сразу получают обновления. И на чем мы фокусируемся в этом сегменте - это поведенческий анализ. Наши методы эмуляции всегда были нашей сильной стороной, что всегда позволяло обнаруживать много уникальных угроз и атак. А также мы сфокусировали наши усилия на подстройке модуля машинного обучения.
Надежда Бурбела, Михаил Ганницкий