28 октября, 2011
Цифра месяца: 70K. Ежедневно.
Наша служба и опасна и трудна. А ещё очень сложна. Простому смертному трудно понять все тонкости работы антивирусной компании. А нам ох как хочется о них рассказать! Так что мы по мере сил стараемся переводить их на человеческий язык. А вершина этого айсберга – свод цифр и фактов, которые иллюстрируют эту службу.
Например, вот такая любопытная инфографика:
Ещё много интересной инфографики здесь.
Но один из самых задаваемых вопросов – «а сколько вирусов вы находите каждый день?«.
Вопрос на самом деле нетривиальный, но что делать — нужен простой ответ на простой вопрос. И до недавних пор у нас был стандартная циферка – 35 тысяч. Вот как-то так. Усреднённо. Без умопомрачительных подробностей о малварных семействах, полиморфизме, векторных паттернах, записях и пр.
Но уже как несколько месяцев за этим ответом часто следовал уточняющий вопрос, что, мол, как-то мало, не сходится! В общем, мы тут напряглись, посчитали и обалдели. В результате появился апдейт: 70 тысяч. Ежедневно. Ага.
Опять же, не буду вдаваться в подробности (если кому интересно – спрашивайте в каментах). Лучше расскажу как оно вообще нам удаётся перелопачивать эти ежедневных семьдесят тысяч сэмплов.
Ну, многие знают, что наш фамильный талисман – дятел. И неспроста. В старые-добрые времена наш вирлаб так и работал. Как на конвейере – сидели и «долбали» вирусы. Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже много лет дятлил!
Однако времена уже давно не те. И ясно, что при нынешнем потоке «долбать» уже просто нереально, экономически неэффективно, да и просто глупо. У нас уже много лет как на боевом дежурстве … авто-дятлы! Человеческому фактору достаётся только самая интеллектуальная работа – разбирать самые сложные образцы, исследовать ботнеты, следить, чтобы авто-дятлы не фолсили, ну и, конечно, тренировать и всячески развивать оных.
Вообще есть несколько источников, через которые мы получаем образцы малвари для анализа: самоходы («налипают» на специальные ловушки), сабмиты (пересылают пользователи), обмен коллекциями с другими антивирусными компаниями и наш облачный сервис KSN (видео, подробности). Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции. Вот на примере KSN и посмотрим как работает наша автоматизация обработки малвари.
Компьютеры-участники KSN (а их сейчас больше 50 миллионов) пересылают в облако статистику (неперсонифицированную!) о работе наших продуктов. Тут и информация об отловленных вредоносах и зараженных сайтах, так и много полезного для обнаружения новой малвари – например, подозрительное поведение программ, хэши скачанных файлов и другое.
Вот, допустим, юзер запускает ранее неизвестный файл. Локальный антивирус проверяет его всеми доступными инструментами – чисто. Спрашиваем облако – нет данных. Ок – даём добро на запуск. И тут оказывается, что он как-то странно прописывает себя в реестр, пытается получить доступ к системным сервисам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то ещё. Сигнал поступает в KSN, где система автоматически вычисляет репутацию файла (веса всех признаков и действий) и принимает решение о детекте. В результате на защищённый компьютер отправляется команда «фас», файл блокируется, а его действия откатываются. Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем более высокий приоритет обработки и выше точность и критичность вердикта. Появись такой файл на других компьютерах, подключённых к KSN – им сразу говорится, что опасно и не надо экспериментировать.
Ещё пример.
Сразу несколько пользователей скачали файл по одной и той же ссылке. Но каждый раз у файла разный хэш. Пахнет полиморфизмом! KSN начинает раскручивать дело и видит, что, например, сайт зарегистрирован всего пару дней назад, на нём «висит» какой-нибудь iframe или с него раньше уже рассылались зараженные файлы (ну, там много разных признаков). И снова облако вычисляет репутацию и посылает команду блокировать как сам файл, так и доступ к сайту.
Важно: благодаря такому подходу в среднем между детектом и вердиктом проходит всего лишь 40 сек!
Но на этом работа наших авто-дятлов не заканчивается.
Уже другая система выкачивает из сети тот самый подозрительный файл и передаёт его на анализ автоматическому обработчику. Там вообще целый букет всяческих патентованных и пока ещё не патентованных технологий, посему копать глубже не буду. Этот обработчик разрабатывает и тестирует знакомые всем обновления и выкладывает на серверы для скачки.
Вот как-то так. Помню ещё лет 8 назад конкуренты, завидуя, восторгались, как у нас получается такими небольшими ресурсами вести такую огромную работу? Автоматизация однако! И только грамотной автоматизации под силу справиться с этим безумным потоком малвари! Кстати говоря, хотя фронт работ постоянно расширяется и углубляется, у нас уже год не меняется количество сотрудников в вирлабе.
Тут возникает логичный вопрос. А как же выживают маленькие антивирусные компании? Известно, что содержать хороший вирлаб – не только дело денег, но и мозгов. Откуда у них находятся ресурсы держаться на плаву, при этом почти не тратиться на R&D?
Больная тема.
Уже несколько лет в антивирусной индустрии процветает натуральное воровство «детекта». Вместо того, чтобы анализировать малвару, развивать свою экспертизу и изобретать новые технологии некоторые (и этих «некоторых» около десятка!) компании просто подсматривают результаты работы других и тупо добавляют в свои базы детект по хэшу. Им помогают некомпетентные тесты, которые не отражают уровень защиты в реальных условиях. В результате наверх проползает не самый лучший софт, растёт количество его установок, а общий уровень защищённости падает. У честных компаний теряется мотивация к исследованиям, эффективность инвестиций в R&D падает, зато продажи воров растут, а кибер-негодяи ликуют.
Ну, это тема для отдельного рассказа.
И напоследок. Ещё наши дятлы бывают вот такими:
И даже #kozmo-дятел:
Фото Георгий Малец
Кстати, если у кого есть ещё всяких прикольных дятлов — давайте ссылки в коментах или присылайте сюда. Буду регулярно апдейтить коллекцию.
Всем пока!