Дарвинизм в IT-безопасности и Прививка от фуфла.

С вами снова передача «В мире животных» :) Мы продолжаем рассказ о теории эволюции и развитии защиты от кибер-угроз.

Пока точно неизвестно, что вызывает мутации живых организмов. Некоторые неодарвинисты полагают, что это работа вирусов, которые целенаправленно комбинируют гены (ага, вот кто управляет миром!). Как бы то ни было, в IT-безопасности происходят схожие процессы, иногда действительно с помощью вирусов.

В лучших традициях принципа борьбы за существование секюрити-технологии эволюционируют, появляются новые категории продуктов, некоторые из них оказываются тупиковыми ветками развития и вымирают, некоторые превращаются в фичи комплексных решений (например, ревизоры изменений – куски их ДНК используются в endpoint-решениях). Бывает вырастают новые рыночные сегменты, ниши (например, Anti-APT), удачно дополняющие арсенал защитных технологий. В общем, позитивный симбиоз на благо нормализации средней температуры по больнице. А бывает погреться на солнышке выползают паразиты. Се ля ви, и ничего тут не поделаешь.

В борьбе за рынок IT-безопасности регулярно появляются пророки, предрекающие скоропостижную кончину «традиционных» технологий и счастливое изобретение фуфло-продукта революционной панацеи (значительные скидки первым пяти заказчикам). И это тоже нормальный эволюционный процесс.

В действительности, история не новая: кто не помнит anti-spyware? В начале 2000х на рынке вырос огромный пузырь продуктов, избавляющих от шпионских программ. На уши пользователям вешалась развесистая клюква о неспособности «традиционных антивирусов» справиться с этой напастью, что, как вы знаете, было большой и наглой неправдой.

Впрочем, такие пророки рынку уже приелись и монетизация «панацеи» требует всё больших инвестиций и изощрённых маркетинговых усилий.

Давид и Геббельс против Голиафа

В лучших традициях худших исторических примеров госпропаганды, фуфло-продукты бьют в фундаментальные уязвимости человеческой психологии родом из детства: веру в чудо и теорию заговора.

Мизансцена такая: жадный, кровавый «спрут» кибер-безопасности душит молодые перспективные поросли и продаёт пользователям всякую бесполезную дрянь. Симпатии зрителей на стороне «новаторов», негодование против «спрута» зашкаливает, спектакль завершается победой добра и светлого будущего.

ОК, шоу закончено, снизим градус эмоций и заглянем за декорации.

Под капотом.

Поветрие последнего десятилетия у производителей фуфло-продуктов – это искусственный интеллект.

Некая чудо-технология, которая сама по себе, без участия человека спасает сразу, от всего и навсегда. Читаешь, смотришь рекламу – ну, вот же оно, светлое будущее, волшебное избавление от малвары, спама, целевых атак и прочих кибер-неприятностей! Ура! Интересно же как работает эта шайтан-машина, копнём! Эээ… как-то и копать нечего. Любой вопрос глубже рекламного буклета – ступор, переадресация в /dev/null техническим гуру, тишина и забвение.

Ничего, мы не привыкли отступать ©, посмотрим сами! Сейчас поставим продукт, потестим! Оп-па, а нету его, продукта-то. Т.е. он как бы есть, но мы вам его не дадим: «Гуталин там или не гуталин посылку я вам не отдам» ©.

Под микроскопом.

Что ж проанализируем то, что торчит наружу – декорации.

Все фуфло-продукты как один клеймят «традиционные подходы» и… эээ… хвалят подходы нетрадиционные, т.е. ага, вы правильно догадались – искусственный интеллект. Это как Скайнет, что ли? Ауч!

@dakami Lies, damn lies, and automated statistics?

— jrk (@suburbsec) May 19, 2016

Нет, не Скайнет, лучше – говорят фуфло-продукты — там используются уникальные методы машинного обучения, которые не требуют обновлений, занимают мало памяти, работают незаметно, эффективнее традиционных продуктов, а ещё совсем почти не фолсят и ловят самые крутые шпионские атаки. Но как конкретно – это секрет.

Понятно — есть опасность, что «спрут» украдёт «уникальную новацию», поэтому с ним ну гу-гу, ничего ему не показывать, а вешать лапшу на уши только специального готовым к тому инвесторам и пользователям.

Напечатать рекламный буклет, запилить гуд-лукинг сайт и даже задвинуть секси презу — этим никого не удивишь. А чтобы продать продукт или привлечь инвестора нужно что-то поубедительнее. Желательно со стороны и авторитетное.

А для фуфло-продукта это палево. Поэтому в независимых тестах они не участвуют или участвуют выборочно в лучших традициях тестового маркетинга. Доказательство своей эффективности лепят сами по мутным или откровенно лживым методологиям с пометкой «Настоятельно рекомендовано собственником».

9 способов вешания лапши на уши и манипулирования результатами сравнительных антиврусных тестов http://t.co/f7MjKtLt

— Евгений Касперский (@e_kaspersky_ru) January 24, 2013

Секрет Полишинеля.

В сердце маркетинговой риторики фуфло-продуктов – противостояние традиционных и «прогрессивных» подходов. Вроде как «спрут» кибер-безопасности продаёт вчерашний день, ничего нового высокотехнологичного изобрести он не способен. Зато у «новаторов» с этим всё хорошо. Или нет? Или врут «инноваторы»?

Эта риторика смешна и лжива.

Машинное обучение вовсю используется в системах IT-безопасности с начала 2000-х.

Например, у нас 99,9% новой малвары детектят именно роботы и только незначительный процент самого сложного зловредства требует ручной обработки. Ни одна проактивная технология защиты не обходится без самообучающихся систем: с их помощью мониторинг активности System Watcher отслеживает системные изменения и откатывает вредоносные действия, автоматическая защита от эксплоитов выявляет атаки через неизвестные уязвимости, эвристики в разных модулях ловят малвару по косвенным признакам, эмулятор обрабатывает подозрительные файлы в изолированном пространстве, движок Targeted Attack Analyzer анализирует сетевую активность для обнаружения целевых атак. Тому у нас есть десятки примеров — подробнее читайте здесь.

ДНК безопасности.

Постоянное развитие защитных технологий – это важнейшая часть ДНК секюрити-индустрии. Наращивание оборонного потенциала, смена технологических поколений, внедрение новых фичей – это единственный вариант выжить в борьбе с кибер-криминалом. Кроме того, это основная мотивация для успешной рыночной конкуренции. Новые технологии повышают эффективность защиты, снижают ресурсопотребление, делают продукты удобнее и проще. Кто первый встал, того и рынок тапки.

Важно, что развитие защиты идёт именно за счёт умных технологий, самообучающихся систем, предвестников искусственного интеллекта. По-другому и быть не может: вручную отловить и обработать несколько сот тысяч новых образцов вредоносного кода в день не по силам ни одной компании в мире. Да и зачем? Есть мозг – его надо включить и сделать умную систему, которая сможет быстро, автоматически и надёжно сделать эту работу. Эксперту экспертово, машине – машинное. Один без другого не обойдётся.

315тыс вирусов каждый день без выходных и перерывов на обед http://t.co/w7Xua6lSFd

— Евгений Касперский (@e_kaspersky_ru) December 17, 2013

Использование самообучающихся систем – необходимое, но недостаточное условие для IT-безопасности. Эта задача требует многоуровневой защиты всех типов устройств, против всех типов угроз, на всех инфраструктурных уровнях, способную быстро реагировать на новые вызовы и адаптироваться под бизнес-задачи, одновременно пытаясь предвосхитить новые трюки кибер-негодяев. Это вам не однажды выстроенный забор, а постоянно работающий стратегический процесс!

Разумеется, это не окончательный и исчерпывающий ответ на вопрос «Как защититься раз и навсегда и при этом не дать дуба». Будет день — будет пища. Однажды кибер-негодяи могут найти способ преодолеть адаптивную модель, но и мы не пальцем деланы – придумаем им новых проблем.

Achtung baby.

Полагаю, страсти по искусственному интеллекту ещё долго будут кипеть. И это нормально – чем больше желающих побороться за существование, тем сильнее умнее будет победитель.

С одной стороны, вендоры продолжат наращивать технологические мощности для автоматической обработки малвары и проактивной защиты, основанные на машинном обучении. С другой, на рынке и дальше будут всплывать пророки, обещающие счастливое избавление от всех кибер-болезней. Слишком уж плодородная почва для лапши. Слишком много романтической фантастики вокруг искусственного интеллекта.

Универсальной прививки против фуфло-продуктов нет. Скажу больше — я не исключаю появление реальной супер-технологии, способной перевернуть секюрити-рынок. Этому событию я буду лично восторгаться и аплодировать стоя. Рекомендовать поставить «искусственный интеллект» в чёрный список компаний-разводил — рисковать с водой выплеснуть ребёнка. Однако надеюсь, что этот пост включит у читателя инстинкт здорового, критического отношения к обещаниям, связанным с ИИ.

Горизонты естественного отбора.

Встроенное в человека любопытство и тяга к познанию требуют заглянуть за горизонт, увидеть, постичь. Мы отдаём жизнь и тратим гигантские ресурсы, чтобы убедиться – за горизонтом маячит другой, за ним ещё, ещё и ещё.

Кажется, что это уравнение не имеет решения: с рациональной точки зрения познавать бесконечность конечными ресурсами – занятие не только бесперспективное, но и глупое. Но почему-то Homo Sapiens продолжает целеустремлённо копать, преодолевать горизонт за горизонтом, свято веруя, что Вселенная – матрёшка и у неё есть сущность, отличная от бесконечности.

Отношения с будущим – вопрос философский и сугубо личный. «На вкус и цвет все фломастеры разные» ©. Моё мнение – копать надо несмотря ни на что. Рационализация хаоса, познание – высшая цель человека. И опыт моей жизни доказывает — это весьма увлекательно и полезно для души, тела и общества :) А также важно для IT-безопасности: новые поколения кибер-атак появляются каждый день, а значит мы каждый день должны заставлять их авторов набивать новые шишки.

Как в компьютерном андеграунде, так и в секюрити-индустрии идёт жёсткий естественный отбор. Вездесущность и непредсказуемость кибер-атак (а чем дальше, тем они будут сложнее) требуют нового типа мышления. Как любой выход из зоны комфорта – это неприятно, затратно, но неизбежно и безальтернативно, иначе – вымирание катастрофа.

Страсти по искусственному интеллекту и мастер-класс @e_kaspersky_ru по распознаванию фуфло-продуктовTweet