Поделиться
Сергей Станкевич, Positive Technologies: Мы развиваем эмуляционную технологию для борьбы со сложным вредоносным ПО
Рост количества целевых атак, усложнение методов обхода защиты и снижение доступности зарубежных решений требуют от российского рынка антивирусной защиты не просто адаптации, а выстраивания собственных подходов и создания технологий глубокой аналитики и проактивного реагирования. В этих условиях особенно важным становится объединение экспертизы и формирование единой стратегии борьбы с вредоносным ПО. Одним из таких шагов для Positive Technologies стало появление собственной антивирусной лаборатории — центра компетенций, в котором сосредоточены знания, технологии и подходы к противодействию ВПО. CNews поговорил с руководителем антивирусной лаборатории Сергеем Станкевичем о том, как возникла идея ее создания, как она устроена и какую роль играет в развитии антивирусных решений нового поколения.
CNews: Расскажите, пожалуйста, об истории создания антивирусной лаборатории. Как возникла идея и каким было это подразделение до официального запуска?
Сергей Станкевич: У Positive Technologies накопился большой опыт в различных областях информационной безопасности за более чем за 20 лет. Год за годом мы создавали и развивали продукты разных классов защиты, наращивали компетенции в области расследования киберинцидентов, исследования угроз кибербезопасности, развивали экспертизу белых хакеров. В некоторых наших продуктах есть инструменты обнаружения вредоносного ПО, и этим направлением занимались разные команды внутри компании — каждая со своими технологиями и подходами.
Со временем для наращивания нашего присутствия на рынке ИБ и технологий обнаружения вредоносного ПО мы решили объединить усилия и консолидировать команды в единую антивирусную лабораторию. Это дало возможность сконцентрировать экспертизу и систематизировать накопленные знания, а также выработать единый подход к развитию новых технологий.
CNews: Каковы ключевые цели и задачи лаборатории?
Сергей Станкевич:Глобальная цель — сфокусировать компетенции в области анализа зловредных образцов в одном месте. Тактическая — обеспечить продукты более качественной экспертизой для противодействия вредоносному ПО за счет всестороннего исследования образцов. Кроме того, среди задач лаборатории — формирование стратегии развития антивирусных технологий, в том числе и эмуляционного движка, который создается в партнерстве с компанией «ВИРУСБЛОКАДА» и на базе ее технологий. Мы работаем над постоянным пополнением и содержанием экспертной базы и сопровождаем команду разработки. Это не только про выявление угроз, но и про развитие новой технологии, ее адаптацию и эволюцию.
CNews: Кто вошел в состав антивирусной лаборатории? Какие команды и специалисты?
Сергей Станкевич:Лаборатория включает в себя четыре отдела. Один отвечает за экспертизу в продукте MaxPatrol EDR. В эту команду входят специалисты, анализирующие поведение вредоносного программного обеспечения на конечных устройствах. Другой отдел сосредоточен на совершенствовании экспертизы в песочнице PT Sandbox. Это изолированная среда для обнаружения и исследования поведения вредоносов в специально подготовленном окружении без влияния на защищаемую инфраструктуру. Отдел сетевой экспертизы занимается артефактами, которые вредоносное ПО оставляет в сетевом трафике. И четвертый отдел работает в тесном контакте с вирусными аналитиками «ВИРУСБЛОКАДЫ», следит за качеством антивирусной базы, а также участвует в создании и наполнении экспертизой нашего решения в области защиты конечных точек.
CNews: Какие основные подходы используются для обнаружения вредоносного ПО?
Сергей Станкевич: В нашей компании используется несколько подходов. Первый — это поведенческий анализ, при котором вредоносное ПО запускается в контролируемой среде и специалисты наблюдают за его действиями, фиксируя характерные признаки. Второй подход — статический анализ, проводящийся без запуска исследуемого файла. В этом случае используются байтовые последовательности, сигнатуры, YARA-правила, а также механизмы, основанные на машинном обучении. Третий — эмуляционный анализ, который объединяет преимущества первых двух: программа как бы запускается, но в специальной изолированной среде, где отсутствует риск реального распространения и выполнения вредоносной активности.
В дополнение к этим методам мы активно используем репутационные базы сетевых и файловых артефактов, автоматизированный анализ данных и плотно взаимодействуем с департаментом Threat Intelligence. Это позволяет нам получать максимально полную информацию о современных киберугрозах.
CNews: Как проходит анализ ВПО после его обнаружения??
Сергей Станкевич: Анализировать вредоносное программное обеспечение можно разными способами. Например, используя ручной, или экспертный, подход, когда специалист исследует сложные образцы, полагаясь на свой опыт, знания и интуицию. Это особенно эффективно при разборе нетипичных или новых угроз. Второй способ — автоматизированный, он применяется для массового анализа, поскольку общее количество вредоносных образцов может исчисляться сотнями миллионов и обрабатывать их вручную невозможно.
Для этого мы используем системы автоматизации и технологии машинного обучения, которые позволяют эффективно анализировать большие объемы данных. Это особенно важно в условиях постоянно усложняющихся схем атак, когда традиционные методы уже не справляются в одиночку.
CNews: Какие способы обхода защитных механизмов применяют злоумышленники?
Сергей Станкевич: Многое зависит от контекста конкретной атаки и целей злоумышленника. Один из распространенных приемов — использование слепых зон в существующих защитных системах, то есть таких участков, где средства безопасности не успевают или не могут эффективно отработать. Кроме того, часто применяется мимикрия, когда вредоносное ПО маскируется под легитимные процессы или программы, что затрудняет его выявление.
Еще один прием — задержка выполнения, или так называемый time-based evasion. Вредонос может находиться в системе, но не проявлять активность до определенного момента, ожидая подходящей для запуска обстановки. Помимо этого, существует хорошо известный метод — троянские схемы, когда на первый взгляд безобидное приложение или вложение к письму содержит вредоносный код.
Такие методы делают борьбу с угрозами по-настоящему сложной. Это своего рода шахматная партия, в которой мы постоянно стараемся предугадать действия злоумышленников, изучаем их тактики и стремимся опередить их на несколько шагов, выстраивая проактивную защиту.
CNews: Как результаты работы лаборатории влияют на развитие продуктов Positive Technologies?
Сергей Станкевич: Все, что изучается в лаборатории, впоследствии применяется в продуктах компании. Наша экспертиза и аналитические данные интегрируются в PT Sandbox, MaxPatrol EDR, PT NAD, PT ISIM и PT NGFW. Это позволяет обеспечить высокую эффективность обнаружения угроз и противодействия им, а также своевременное обновление механизмов защиты.
Помимо этого, мы активно участвуем в создании нового продукта в области защиты конечных точек. Его задача — обеспечить полноценную превентивную защиту устройств, включая как обычные рабочие станции, так и — потенциально — специализированные, например промышленные контроллеры. Эта система будет ориентирована на проактивное выявление и нейтрализацию угроз еще до того, как они смогут нанести вред.
CNews: Что такое «конечные устройства» в терминологии информационной безопасности?
Сергей Станкевич: На самом деле это любые устройства, участвующие в бизнес-процессах предприятия и требующие защиты. В первую очередь, это персональные компьютеры, ноутбуки, виртуальные рабочие места, а также серверы и специализированные технические средства, такие как элементы автоматизации промышленных технологических процессов.
Если устройство работает под управлением операционной системы общего назначения, оно становится потенциальной целью атак. Именно поэтому такие устройства требуют обязательной защиты с помощью средств информационной безопасности. В этом и заключается роль антивирусных решений и комплексных платформ, которые обеспечивают защищенность конечных точек от современных массовых и целевых атак.
CNews: Какие у вас планы развития антивирусных решений на 3–5 лет?
Сергей Станкевич: В ближайшие несколько лет мы планируем активно развивать эмуляционную технологию, которая уже зарекомендовала себя как перспективное направление в борьбе с вредоносным ПО. Одна из наших основных задач — обеспечить стабильную работу нового антивирусного движка в максимально широком спектре операционных систем, включая как традиционные, так и специализированные платформы.
Кроме того, мы нацелены на встраивание движка в другие системы информационной безопасности, в том числе в наше решение класса NGFW. Это позволит сформировать комплексный подход к защите инфраструктуры.
Параллельно мы продолжим внедрять новые архитектурные и технологические разработки для повышения эффективности антивирусной защиты. Особенность нашего подхода в том, что мы выстраиваем путь из B2B-сегмента в сторону решений по защите конечных устройств. Этот маршрут дает уникальные возможности, поскольку изначально опирается на высокие требования корпоративной безопасности и защиты бизнеса от актуальных атак.
Поделиться
Короткая ссылка
