Миллиард в облаке.

Не так давно хорошие наблюдательные пользователи засекли «миллиард» в нашей базе и поздравили меня с этим событием. Спасибо! Но надо объясниться — что это за миллиард? Главное — не пугайтесь! Это не миллиард чего-то ненужного на вашем компьютере — это совсем другое число. И оно немного сложное. Так что начну издалека, с базовых определений.

«Идеальная киберзащита» это:
— отлов 100% кибератак (при этом не ошибается);
— потребление 0% системных ресурсов;
— не напрягает пользователя умными вопросами.

Разумеется, такую защиту ещё не изобрели и потому качество защитных продуктов определяется степенью приближения к идеалу.

Данную задачу мы решаем разными способами и одну из главных ролей здесь играет облачная технология KSN (Kaspersky Security Network). Поскольку оно где-то там «в интернетах», то облачная база не потребляет ресурсов вашего компьютера, т.е. там можно хранить сколь угодно большое количество данных, это никому не мешает. Наоборот, чем больше информации, тем принимаемые автоматическими ситемами анализа решения более осведомлённые и потому более точные. И данный миллиард — параметр именно облачной базы KSN. Это раз.

Два. Для 100%-го детекта (вернее, максимально близкого к ста процентам) в облаке хранится самая разнообразная информация о цифровом зловредстве: не только хэши файлов, но и поведенческие «слепки», статистическая информация, математические модели машинного обучения и много чего ещё (но далеко не всё). Таким образом, благодаря многоуровневой защите, комбинации как старых-проверенных, так и новых, передовых технологий, мы можем автоматически ловить новые кибератаки. И делать это лучше других.

Три. Вы спросите, как же в облаке получается миллиард элементов, если в антивирусных базах на защищаемом компьютере гораздо меньше записей (примерно 5 миллионов)? Дело в том, что в базах находятся всевозможные «дженерики» (свёртки, решающие деревья, эвристические процедуры, поведенческие детекты) для защиты от кибердряни на случай, если облако недоступно. Одна запись может ловить целое семейство вредоносного кода (в том числе похожую малвару, которая может появиться в будущем), состоящее из десятков тысяч образцов. Облако же запоминает и «пересчитывает» все задетектированные объекты, поэтому элементов в облачной базе значительно больше.

Так и получается миллиард в облаке. Число, конечно, круглое, впечатляющее. Оно наглядно показывает динамику изменения скоростей в кибербезопасности. Пять лет назад в этой базе было «всего» 2 миллиона элементов. Число тогда фантастическое, сегодня почти смехотворное:

Сегодня те же 2 миллиона элементов добавляются в базу где-то за неделю.

Любопытно примерить докомпьютерные масштабы к этому миллиарду. Вот сидит, например, писарь, ему дают задачу посмотреть, нет ли конкретного элемента в гроссбухе из миллиарда других.

Сколько сот лет ему потребуется на это, если, например, он умеет смотреть 30 штук в минуту? Какой толщины этот гроссбух? Сколько калорий потратят мышцы его глаз и сколько надо котлет с картошкой, чтобы обеспечить энергетически эту интересную и полезную работу?

А сперва же надо посмотреть еще бОльший гроссбух с почти 2 миллиардами элементов о доверенных объектах!

В нашу компьютерную эпоху, естественно, подобная работа проделывается практически моментально и без вмешательства человека. И, естественно, процесс анализа всячески оптимизирован — чтобы обеспечить пользователю быструю и надёжную защиту мы придумали экспертные системы для максимизации детектов и на минимизации ложных срабатываний. Чтобы справляться с девятым валом вредоносной гадости не обойтись и без машинного обучения – системы обязаны сами учиться лучше детектировать компьютерные атаки. Разумеется, под чутким руководством инженеров, которые эти чуткие алгоритмы строят, настраивают и отстраивают.

Кто-то может спросить — зачем радоваться миллиарду элементов в базе? Это же плохо, что количество кибератак растёт такими темпами! Конечно, плохо! Но что поделаешь? Не раз и не два говорил, что наш бизнес – он чем-то напоминает ассенизационный. Наша работа – расчищать говно сточные канавы интернета. Санитары леса, работа которых тяжела и местами неприятна, но кому-то её надо делать.

У одного стирального порошка была популярная рекламная кампания со счастливыми перемазанными в грязи детьми и слоганом «грязь – это хорошо». Так вот и в нашей отрасли, грязь – это хорошо, но только когда она измерена, описана, заточена в наше облако и больше никому не угрожает.