Наша служба и опасна и трудна. А ещё очень сложна. Простому смертному трудно понять все тонкости работы антивирусной компании. А нам ох как хочется о них рассказать! Так что мы по мере сил стараемся переводить их на человеческий язык. А вершина этого айсберга – свод цифр и фактов, которые иллюстрируют эту службу.
Например, вот такая любопытная инфографика:
Ещё много интересной инфографики здесь.
Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?».
Вопрос на самом деле нетривиальный, но что делать - нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.
Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.
Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.
Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!
Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.
Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности). Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.
Компьютеры-участники KSN (а их сейчас больше 30 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.
Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.
Ещё пример.
Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.
Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!
Но на этом работа наших авто-дятлов не заканчивается.
Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.
Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.
Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?
Больная тема.
Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.
Ну, это тема для отдельного рассказа.
И напоследок. Ещё наши дятлы бывают вот такими:
И даже #kozmo-дятел:
Фото Георгий Малец
Кстати, если у кого есть ещё всяких прикольных дятлов - давайте ссылки в коментах. Буду регулярно апдейтить коллекцию.
Всем пока!
Например, вот такая любопытная инфографика:
Ещё много интересной инфографики здесь.
Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?».
Вопрос на самом деле нетривиальный, но что делать - нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.
Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.
Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.
Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.
Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности). Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.
Компьютеры-участники KSN (а их сейчас больше 30 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.
Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.
Ещё пример.
Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.
Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!
Но на этом работа наших авто-дятлов не заканчивается.Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.
Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.
Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?
Больная тема.
Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.
Ну, это тема для отдельного рассказа.
И напоследок. Ещё наши дятлы бывают вот такими:
И даже #kozmo-дятел:
Фото Георгий Малец
Кстати, если у кого есть ещё всяких прикольных дятлов - давайте ссылки в коментах. Буду регулярно апдейтить коллекцию.
Всем пока!
2011-10-28 11:30 (UTC)
2011-10-28 11:34 (UTC)
2011-10-28 11:36 (UTC)
Надо магнитики с дятлом выпустить. Передайте кому надо!
2011-10-28 11:38 (UTC)
магнитик стоящее вложение
объемный и более отчетливый чем
2011-10-28 11:39 (UTC)
2я фотка - подвеска к телефону
3я фотка - это флэшка (вернее её чехол) - даже виден разъем на уровне плечей
2011-10-28 11:43 (UTC)
мельком смотрел и показалось
2011-10-28 11:48 (UTC)
2011-10-28 11:57 (UTC)
2011-10-28 13:44 (UTC)
Евгений Валентинович, тут прямо вырисовывается отдельная запись, что такое "семл", что такое "сигнатура" и прочее, прочее. Ну и заодно расскажите, почему лучше говорить зловред/вредонос, чем вирус :)
2011-10-28 12:07 (UTC)
откуда столько зловредов?
если на создание вируса требуется от 2 до 3 рабочих дней, то, выходит, в мире около 150 тыс. программных зловредов, которые без отдыха и выходных лепят вирусы.
2011-10-28 13:48 (UTC)
2011-10-28 14:28 (UTC)
А в этом и фокус, что новых видов (aka "сэмплов") около 70 тысяч, а сигнатур гораздо меньше.
> кто-ж их лепит???
Скажу по секрету, большинство зловредов ловят роботы! И только малую часть смотрят люди и... помогают роботам научиться это детектить.
2011-10-28 11:50 (UTC)
2011-10-28 11:57 (UTC)
Ваш пост признан прекрасным и процитирован в дайджесте «FLASH-V» По правилам дайджеста, мы готовы перевести на Ваш яндекс-кошелёк или телефон скромное вознаграждение в 100 рублей от фонда предпринимателя Артура Перепёлкина “V Rome”. Для этого сообщите нам, пожалуйста, необходимые цифры. Так же мы можем переадресовать Ваш гонорар в фонд «Справедливая помощь» http://doctor-liza.livejournal.com. Большое спасибо.
2011-10-28 12:50 (UTC)
2011-10-28 16:04 (UTC)
2011-10-28 13:02 (UTC)
2011-10-28 17:53 (UTC)
2011-10-28 13:49 (UTC)
2011-10-28 14:37 (UTC)
2011-10-28 17:13 (UTC)
2011-10-28 17:51 (UTC)
2011-10-28 15:47 (UTC)
А почему на коробках его не изображаете?
2011-10-28 16:05 (UTC)
2011-10-29 20:16 (UTC)
Чтобы посмотреть картинку в нормальном размере, надо её скачать, мало того, открывается .jpg в винраре (!) и там только картинка.
Для гиков, что ли?
2014-09-23 17:39 (UTC)