Цифра месяца: 70K. Ежедневно.

Previous Entry Поделиться Next Entry
28 октября, 2011
e_kaspersky
Наша служба и опасна и трудна. А ещё очень сложна. Простому смертному трудно понять все тонкости работы антивирусной компании. А нам ох как хочется о них рассказать! Так что мы по мере сил стараемся переводить их на человеческий язык. А вершина этого айсберга – свод цифр и фактов, которые иллюстрируют эту службу.

Например, вот такая любопытная инфографика:



Ещё много интересной инфографики здесь.

Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?».



Вопрос на самом деле нетривиальный, но что делать - нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.

Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.

Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.

Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!

Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.

Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности).  Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.

Компьютеры-участники KSN (а их сейчас больше 30 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.

Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.

Ещё пример.

Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.

Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!

Но на этом работа наших авто-дятлов не заканчивается.

Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.

Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.

Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?

Больная тема.

Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.

Ну, это тема для отдельного рассказа.

И напоследок. Ещё наши дятлы бывают вот такими:













И даже #kozmo-дятел:


Фото Георгий Малец
 
Кстати, если у кого есть ещё всяких прикольных дятлов - давайте ссылки в коментах. Буду регулярно апдейтить коллекцию.

Всем пока!

Метки:
Previous Entry Поделиться Next Entry
а где такой магнитик на холодильник раздобыть?

Спасибо за идею!
Надо магнитики с дятлом выпустить. Передайте кому надо!

не за что )))
магнитик стоящее вложение

объемный и более отчетливый чем

1я фотка - это релаксатор - а-ля резиновый пупс
2я фотка - подвеска к телефону
3я фотка - это флэшка (вернее её чехол) - даже виден разъем на уровне плечей

я подумал про флэшку ))
мельком смотрел и показалось


70 тыщ в день? разных сигнатур? кто-ж их лепит???

70 тыс. зловредов! Сигнатур (и прочих детектов) значительно меньше. Подробностей не могу, пора бежать на мероприятие - прошу помощь зала!

Если я правильно понял, то Е.К. говорит о том, что под одним детектом может скрываться вовсе не один семпл. Аналитики стараются делать так, чтобы запись была как можно более обобщающей, даже когда речь идет о достаточно точном детекте (типа trojan.win32.xxx.a), а уж когда срабатывает Genegic детект, то это еще более общая запись, которая может покрывать десятки, сотни, тысячи семплов, включая те, что еще не появились и появятся завтра, через два дня, через неделю...

Евгений Валентинович, тут прямо вырисовывается отдельная запись, что такое "семл", что такое "сигнатура" и прочее, прочее. Ну и заодно расскажите, почему лучше говорить зловред/вредонос, чем вирус :)

очень странное число, согласен.
откуда столько зловредов?
если на создание вируса требуется от 2 до 3 рабочих дней, то, выходит, в мире около 150 тыс. программных зловредов, которые без отдыха и выходных лепят вирусы.

В Инете огромное количество всякой дряни, которое выплевывает из своих недр все новые семплы. Плюс крипторы, пакеры. Семл - это конкретный образец. Вот есть некая малварь. Упаковали ее UPX'ом (это я для понимания сути) - появился новый семпл.

> 70 тыщ в день? разных сигнатур?
А в этом и фокус, что новых видов (aka "сэмплов") около 70 тысяч, а сигнатур гораздо меньше.

> кто-ж их лепит???
Скажу по секрету, большинство зловредов ловят роботы! И только малую часть смотрят люди и... помогают роботам научиться это детектить.


а я бы магнитик прикупил и первого дятла в виде игрушки тоже) ребенку бы отдал на изучение)


Ваш пост признан прекрасным и процитирован в дайджесте «FLASH-V» По правилам дайджеста, мы готовы перевести на Ваш яндекс-кошелёк или телефон скромное вознаграждение в 100 рублей от фонда предпринимателя Артура Перепёлкина “V Rome”. Для этого сообщите нам, пожалуйста, необходимые цифры. Так же мы можем переадресовать Ваш гонорар в фонд «Справедливая помощь» http://doctor-liza.livejournal.com. Большое спасибо.

Так рассказали, что сразу захотелось купить Антивирус Касперского :)

мягкий дятел очень хороший, им прикольно в коллег кидаться ))

Это уже Энгри Бёрдс какой-то получается...

А мы еще опекаем дятла в Питерском зоопарке -вот такая всепоглощающая дятлолюбовь! :)))
(http://www.radikal.ru)

Евгений а как ваш KSN отличается от допустим SPN Trend Micro?

Как Гиннесс в Дублине от баночного Гиннесса в Бирюлёво :)

В вас заговорил патриотизм, или вы знаете технологию?

Ну, многие знают, что наш фамильный талисман – дятел.

А почему на коробках его не изображаете?

Что за глюки с инфографикой на сайте?
Чтобы посмотреть картинку в нормальном размере, надо её скачать, мало того, открывается .jpg в винраре (!) и там только картинка.
Для гиков, что ли?

где можно купить флешку в виде дятла.

?

Log in

No account? Create an account