Архив тегов: technology

Свой среди своих, или киберскафандр для завода.

Посмотреть всего лет на 10 назад – кажется, что с тех пор технологии кибербезопасности улетели куда-то далеко за горизонт и оттуда надменно улыбаются ранее бытовавшим парадигмам, теориям и практикам.

Хотя… если хорошенько поскрести большинство этих «технологий», да подлечить волшебными снадобьями против воспаления артифишл интеллидженс, некстдженного зуда и прочего киберсекюрити-хайпа, то в корне останется всё тот же классический клубок проблем:

Как уберечь данные от неправильных глаз и несанкционированных изменений, при этом сохранив непрерывность бизнес-процессов?

Так и есть – святые лики конфиденциальности, целостности и доступности никуда не делись из иконостаса практикующего кибербезопасника. На них лишь осел толстый слой маркетинговой пыли. А также клюквы и лапши.

Цифра всегда приносит с собой одни и те же проблемы куда бы она не проникала. А проникать она будет дальше и глубже, потому что преимущества цифровизации слишком очевидны. Даже такие, казалось бы, консервативные области как тяжёлое машиностроение, нефтепереработка, транспорт или энергетика на самом деле уже давно и «по уши» в цифре. А вот тут начинается, как говорится, «трики парт» — и хочется и колется.

Понятно, что с цифрой эффективность бизнеса растёт как на дрожжах. Но с другой стороны, хакнут – мало не покажется (тому много примеров). Велик соблазн открыть объятья цифре (стихи!), но сделать надо это так, чтобы не было мучительно больно (читай – сохранить непрерывность бизнес-процессов). И для таких случаев в нашей «аптечке» есть специальное болеутоляющее – киберимунный шлюз KISG 100.

Эта маленькая «коробочка» с рекомендованной стоимостью около 90 тыс.руб устанавливается между цифровым промышленным оборудованием (назовём его «станок») и сервером, который собирает с этого оборудования различные сигналы. Сигналы самые разные – производительность, отказ, расход ресурсов, уровень вибрации, измерения выбросов CO2/NOx и др. – все они необходимы для формирования общей картины производства и последующего принятия обоснованных бизнес-решений.

«Коробочка» маленькая, да удаленькая. Она позволяет станку и серверу обмениваться исключительно разрешёнными данными и только в одном направлении. Таким образом мы моментально отсекаем целый зоопарк атак: man-in-the-middle, man-in-the-cloud, DDoS-атаки и разные другие болячки, которые могут прилипнуть к серверу на Интернет-просторах в наши непростые времена.

Дальше: не надо бояться, надо уметь готовить!…

«Не думай о секундах свысока» (с). Особенно при защите от шифровальщиков!

Разработка киберзащиты – работа сложная, которая «на первый взгляд, как будто не видна» (с).

Здесь неспроста использованы слова из известного гимна: наши продукты ловят зловредов, блокируют хакерские атаки, обновляют легитимные программы, режут назойливые рекламные баннеры, защищают приватность и многое, МНОГОЕ другое… и всё это происходит незаметно, в фоновом режиме и в бешеном ритме. За секунду KIS на вашем компьютере или умнофоне может проверять тысячи объектов, да так, что при этом можно ставить мировые рекорды по скоростной игре в новый Doom!

За этим бешеным ритмом стоит титаническая работа сотен разработчиков, тысячи(!) человеко-лет исследований и разработки. Даже миллисекунда задержки здесь, там и сям в конце концов снижает общее быстродействие компьютера. А с другой стороны, нужно работать настолько тщательно, чтобы ни одна кибер-тварь не пролезла :)

Недавно я рассказывал о том, как мы порвали всех конкурентов в тестировании 11 популярных продуктов против рансомвары (шифровальщиков) – на сегодня, пожалуй, самой опасной разновидности кибер-зловредства. Как нам удаётся занимать высшие места по качеству защиты и скорости работы? Конечно, высокие технологии, завёрнутые в бескомпромиссность детекта и помноженные на чудеса оптимизации :)

Сейчас мы убедимся в этом на одном показательном примере – оригинальной технологии обнаружения неизвестной рансомвары с помощью умной модели машинного обучения (патентная заявка RU2020128090).

Дальше: пить Боржоми никогда не поздно!…

Выкуп кибервымогателям: совсем не платить иль не платить ничего?

Иногда узнаёшь какие-нибудь новости про то, что ещё какая-то большая компания стала жертвой очередного шифровальщика, и что их вынудили заплатить выкуп, или читаешь комментарии, где натыкаешься на советы типа «подумайте о том, чтобы заплатить выкуп». В такие моменты мне становится немного не по себе, потому что платить вымогателям категорически не следует — и не только потому, что они не то чтобы честным трудом зарабатывают. Видимо, пора в очередной раз высказаться, почему.

Во-первых, вы спонсируете киберпреступность.

Дальше: а что ж тогда делать-то?…

Как сохранить здоровье завода без регистрации и СМС.

Год 2020й, который однозначно войдёт в историю как био-вирусный, летел к своему логическому завершению. Следом за ним уже маячит на горизонте следующий год, по счёту 2021й, про который уже шутят, что его номер можно произносить иначе: «две тысячи двадцать» – пауза – «первый год». Но тут не до шуток.

Почти весь мир уже 10 месяцев (а кто и больше) живёт в состоянии перманентного шока. Причём это не только к населению относится – пострадал частный бизнес и национальные экономики. Но, увы, в списке «кому сейчас плохо» индустрия кибер-преступности не значится. Сетевым негодяям разных мастей просто раздолье! Народ плотно засел в интернетах – и потенциальных жертв стало значительно больше. Плюс к тому можно «покопаться» и в корпоративных сетях через недостаточно хорошо защищённые компы сотрудников, работающих на удалёнке – чем кибер-злодеи частенько пользуются. Короче, мировой цифро-порядок тоже подкосило этим злобным биологическим вирусом.

Как следствие, на компании в секторе цифровой безопасности легла дополнительная нагрузка. Нам совершенно не скучно! Да и не привыкли мы скучать… И даже наоборот. Для нас год 2020 получился весьма продуктивным. Список выпущенных в этом году новых версий наших решений весьма впечатлителен (особенно в корпоративном сегменте).

Причём список этот всё пополняется! И сейчас хочу рассказать вам ещё об одной штуке, о разработке, которую мы для краткости называем MLAD, а в необрезанном виде — Kaspersky Machine Learning for Anomaly Detection.

Кстати, смешной факт: если поЯскать эту аббревиатуру, можно найти что в других интерпретациях это ещё и Minimum Local Analgesic Dose (что-то типа «минимальной дозировки местных анестетиков»), и Mid Left Anterior Descending artery (одна из сердечных артерий). Всё, видите, какой-то медицинский оттенок в этом году приобретает с этим клятым биовирусом. 

Так вот про наш MLAD, технологический.

Те, кто следит за нашими блогами, могут помнить, что это такое. Могут, впрочем, и не помнить, поэтому я коротенечко расскажу с чего вообще сыр-бор разгорелся.

Если по-умному и с терминами, то это такая система, которая методами машинного обучения анализирует данные телеметрии с промышленной установки и на основе этого анализа оперативно находит всевозможные аномалии, атаки и поломки.

Вот представим, что у вас есть свечной заводик с тысячами датчиков — давления, температуры, всего на свете. Каждый из этих датчиков постоянно генерит поток информации. Уследить за всеми потоками вручную, как вы понимаете, невозможно, и вот тут пригождается машинное обучение. Предварительно натренировав нейросеть, MLAD может по прямым или косвенным корреляциям определять, что на таком-то участке производства что-то не так. И соответственно предотвращать миллионные и миллиардные убытки от инцидентов.

Раз уж мы взялись проводить аналогии с медициной… У многих сегодня есть смарт-часы с фитнес-браслетами. Но они вам могут разве что пульс померять и количество шагов посчитать. В стационарных условиях у врачей возможностей побольше, они могут и кровь проанализировать, и давление, и что-нибудь ещё наверное. А теперь представьте, что к каждому вашему кровеносному сосуду, каждой нервной клетке и каждому кровяному тельцу привязано по датчику. Как профессионал любой врач такому информационному перегрузу будет рад, но при попытке анализа попросту сойдёт с ума. Вот тут на помощь приходим мы со своими технологиями.

Кто-то скажет: это всё конечно круто, но что же вы нам повторно ту же технологию рекламируете? И окажутся неправы, потому что технология та же, да мощно обновленная. Собственно, именно про эти обновления я и хочу рассказать, а это было так, скорее вступление.

Первый серьёзный апгрейд MLAD называется Pipeline. Уж простите за англицизмы, издержки глобального бизнеса. Суть этого «пайплайна» в следующем. Иногда, даже довольно часто, всё собранное датчиками телеметрическое богатство эффективнее обрабатывать не скопом, а частями. У большинства из нас есть по две руки, две ноги, определённое количество других органов — и согласитесь, помимо общего положения дел хорошо бы понимать состояние каждого из них по отдельности. На практике это может пригодиться в проектах Building Information Management (BIM), или информационного моделирования зданий. В каждой комнате есть датчик окна, термометр, индикатор режима работы кондиционера и много чего ещё. И вместо того, чтобы всё здание запихивать в одну модель, мы делаем по мини-модельке для каждой комнаты. Вот так просто и элегантно.

Второе большое обновление называется «Тренер». Оно позволяет заказчикам переобучать алгоритмы в случае необходимости и без нашего участия. Делать это приходится довольно регулярно: сырье сменилось, где-нибудь резервуар подвинули или фильтр добавили. Аналогия «ближе к телу» тоже понятная: стали вы по-другому питаться, перешли с колбасы на овощи (или наоборот), и медицинские показатели ваши тоже изменятся. После этого нейросетке нужно на новых данных показать новую норму, и делается это теперь одной кнопкой.

Ну и какое-то количество интерфейсных доделок и улучшалок мы внедрили, куда без этого. Например, теперь MLAD может показывать срез данных по датчикам одного типа на всём объекте, составлять такую «карту» производства с распределением давления или температуры по всему тракту. В будущем мы и вовсе планируем по запросу рисовать трёхмерную модель объекта со всеми обозначениями, чтобы локализовать аномалии можно было невооружённым взглядом. Но это так, небольшой тизер.

Ещё один смешной факт на закуску. Технология настолько крутая, что мы столкнулись с неожиданной трудностью: поначалу заказчики просто не верят, что такое возможно! В итоге после практический демонстрации возможностей MLAD у людей округляются глаза и восторгам нет предела.

Ну что, впечатлились? Если да, но хочется больше информации, я просто оставлю тут эту ссылку. Там и кейсы, и пара симпатичных демо-роликов наличествуют — в общем, есть где разгуляться любопытствующему мозгу. Всем не болеть!

Анти-, но не -вирус. Надёжно против техно-кибер-ворон. Им будет больно.

Так, похоже, что к мою историю про «КДЛ-1» (он же «Детектор-Лжи-1») некоторые восприняли чересчур серьёзно, хоть там и был прямой намёк про «первоапрельское». Ну что же, попробую раскрыть эту тему немного другими словами. Или как сказал классик русского рока: «… я попытаюсь спеть о том же самом в несколько более сложных словах».

«Не мышонок, не лягушка, а неведома зверушка» — могут подумать случайно заглянувшие в мой кабинет или же зашедшие туда по делам. Действительно, вот стоит такой неведомый глазастый аппарат, весь в строгих цветах и весь из себя откровенно хай-технологичный:

Но прежде чем начать подробный рассказ об этом устройстве, я сверну немного в сторону. Вот о чём.

Мы традиционно раз в году устраиваем «отчётное собрание», где все сотрудники компании в онлайне могут узнать главные новости за прошедший год, что планируется, задать вопросы и т.п. В наши тревожные биовирусные времена мы стали подобные сессии AMA («Ask Me Anything») устраивать гораздо чаще. Народ сидит по домам, новости не самые радостные, надо народ бодрить и поддерживать — и примерно раз в квартал топ-менеджмент компании выходит «в прямой эфир».

Во время предыдущей такой телеконференции пришёл «вопрос из зала» — а что это за загадочная штуковина стоит у меня за спиной? Тут же в общем АМА-чатике начали появляться разные догадки и идеи. Особенно понравилась чья-то версия про зловещий сканер мозга, способный читать чужие мысли. // да-да, именно по мотивам этой догадки и родился «первоапрельский текст» про «детектор лжи». На самом деле это наша новейшая разработка — бейте в барабаны и трубите в трубы ->

Знакомьтесь, это наш новый замечательный Kaspersky Antidrone собственной персоной. Прошу любить и жаловать!

Дальше: эти глаза напротив…

OpenTIP, сезон-2: заходите чаще!

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «кибер-ниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный био-вирус выгнал мир на «удалёнку», и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «дайте доступ по API и увеличьте лимиты»!

Сказано – сделано!

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям её категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Дальше: и песочница тоже!…

Новости нашего офиса.

Внимание, внимание! Говорит и показывает Ленинградское шоссе, д.39А, строение 2! :)

Что-то давно не было новостей из нашего московского офиса… Исправляюсь! Тем более, есть что показать и чем похвастаться :)

Начну со своего кабинета. Вот он. Ничего новенького не замечаете?

А если посмотреть поближе…

Вот такая красивая штука теперь стоит у меня за спиной. Это наша собственная разработка на основе нейросетей и машинного обучения, представляю уважаемой публике. Прошу любить и жаловать: КДЛ-1 во всей красе!

Дальше: не надо мусорить!…

Как поймать чёрного лебедя в собственной сети?

Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов — поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо.  В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

Дальше: диплом для Светлого будущего…

Кибербезопасность – новое измерение качества автомобилей.

Многие ошибочно считают, что автомобиль XXI века – это такая хорошо навороченная «железка». Само собой разумеется, с компоновкой под разные кошельки, но всё равно «железка»: кузов, мотор, колёса, руль с педалями. А где-то там, на фоне, «во глубине сибирских руд» ещё есть какие-то компьютеры, которые со всем этим что-то делают – а как по-другому, ведь картинки на приборной панели всё более и более цифровые, а не механические стрелки с индикаторами :)

Так вот, я с этим мнением категорически не согласен.

Современная автомашинка есть не «железки с цифровыми начинками», а наоборот. Автомобиль = бортовой компьютер. Для глянца и бликов повествования давайте назовём его «кибер-мозгом» — так получается по-современному модно и абзац этого текста начинает ароматизировать прелюдией к фантастическим поворотам в нашем сюжете. Именно так и будет, уважаемые дамы и господа! – но чуть позже. Здесь же я просто ограничусь короткой фразой:

Автомобиль нашего столетия есть компьютер, который управляет технологической обвеской: двигателем и тормозами, фарами и поворотниками, дворниками и кондиционером, да и всем остальным тоже.

Раньше у ручного тормоза была специальная ручка, которая была абсолютно механическая и при постановке на тормоз издавала характерный металлический «трррр» звук – помните? А сейчас в большинстве случаев это просто кнопка. Вот-вот, я именно про это! Была механика, а стала компьютерная кнопка. И так везде и со всем!

Сразу следует отметить, что большинство из нас по инерции продолжают считать, что беспилотные автомобили – вот это и есть компьютер, управляющий автомобилем. А если за рулём транспортного средства человек, то это не так. Что двурукий-прямоходящий по старой традиции самостоятельно применяет свои физические мускульные усилия на руль и педали газа-тормоза-сцепления, таким образом непосредственно влияя на механическую обвеску.

Увы, хочу развеять иллюзии.

В большинстве современных автомашинок пилотный вариант от беспилотного отличается только тем, что в первом случае бортовыми компьютерами управляет всё ещё человек, а во втором (авто-автомобильном) всеми «телодвижениями» занимается дополнительный, разработанный гугламияндексамибайдукогнитивамикамазами, очень умный компьютер. Который наблюдает за всей окружающей обстановкой, создаёт своё видение окружающей действительности и особыми мудро-алгоритмами принимает решение о скорости, целях и направлениях дальнейшей поездки.

Краткий курс истории цифровизации автомобилей

Кстати, любопытен вопрос о том, когда же всё это началось?

Увлечённые данной темой знатоки утверждают, что самым началом компьютеризации автоизделий можно считать появление транзисторного радио в 1955 году, которое в виде опции предлагал Chrysler. А если «религиозные» причины не позволяют считать радио истинно автомобильной фичёй, то началом автоцифровизации можно считать электронное зажигание, антиблокировочную систему или электронную систему управления двигателем, которые предложили Pontiac, Chrysler и GM в 1963-1971-1979 годах (подробнее здесь).

Далее компоненты автомобилей становились всё более электронными, потом цифровыми (здесь сложно провести чёткую грань), но я всё же считал бы началом цифровой революции в автомобильных технологиях февраль 1986 года, когда на конгрессе автомобильных инженеров (SAE) компания Robert Bosch GmbH представила миру цифровой сетевой протокол коммуникации электронных компонентов автомобиля (CAN – controller area network). Что любопытно, знатоки этой темы и авторитетные интернет-источники уверяют, что этот сетевой протокол и сегодня является наиболее распространённым и присутствует практически в каждом серийном автомобиле (в ваших, дорогие зрители читатели, в том числе!)

Те же эксперты цифрового автодела мне подсказывают, цитирую ->

«Помимо разновидностей CAN-шин (low-speed-, high-speed CAN, FD-CAN), сегодня ещё используются – FlexRay (трансмиссия), LIN (низкоскоростная шина), оптическая MOST (мультимедия) и, наконец, бортовой Ethernet (на сегодня 100 Mb/s, в будущих поколениях до 1 Gb/s).

В настоящее время с развитием различных коммуникационных протоколов при проектировании современных автомобилей используются так называемые технологии Drive by Wire (без механических приводов), куда входят: электронная педаль газа, педаль тормоза (Toyota, Ford и GM используют с 1998 года в своих гибридах и электромобилях), электронный парковочный тормоз, электронное переключение передач, электронное рулевое управление (первыми были Infinity с моделью Q50 в 2014)».

Шины и интерфейсы BMW

Дальше: если вы не в курсе трендов, то тренды идут к вам…

Бензопилой по злобным демонам и вредным мифам.

Давным-давно, а точнее в далеком 93-м году в свет вышла первая «серия» культовой игры Doom. Благодаря ей тогда ещё немногочисленные владельцы персональных компьютеров, обнаружили, что лучшее средство от монстров – это дробовик и бензопила :)

Я никогда не страдал игроманией (да и времени на это не было — мы работали-работали!), но иногда, вечерами, мы с коллегами проводили час-другой за «стрелялками» по локальной сети. Вообще тогда это было вполне в офисной IT-культуре сверхурочно понажимать на клавиши, например, в Duke Nukem. Проводились корпоративные чемпионаты, в столовых-кафе обсуждались результаты кто как кого испепелил. Говорят, что даже делались ставки! :)

Несколько лет спустя на компьютерах появился и модный антивирус (да-да, тот самый), и его знаменитый звук распугивал кибер-монстров похлеще бензопилы. Потом у нас случился не самый удачный релиз: в 4-ю версию мы навернули много новых технологий против сложных угроз, недостаточно продумали архитектуру и протестировали конечный продукт. Пользователи стали жаловаться на снижение производительности, в то время как софт в общем и компьютерные игры в частности начали требовать всё больше ресурсов процессора и оперативной памяти.

Исправились мы тогда достаточно быстро (плюс два года спустя выпустили легендарную «шестёрку», которая обошла всех по скорости, надёжности и гибкости), а последние полтора десятка лет в категории «производительность» наши решения стабильно занимают ведущие места.

Но, увы, как говорится «ложечки нашлись, а осадочек остался». Поддержанный конкурентами и нечистоплотными методами, миф о скорости наших продуктов этот оказался довольно живучим. До сих пор мне доводится встречать людей, которые умышленно или добровольно всё ещё находятся во тьме заблуждения на крючке у этих методов :)

И вот, 27 лет спустя на экраны в эфир на рынок вышла пятая «серия» Doom. Казалось бы, какая связь? Прямая – это ведь шикарный шанс ещё раз и наглядно продемонстрировать реальные скоростные характеристики наших продуктов, да ещё и на топовой игрушке с отменным аппетитом на системные ресурсы. Вместе с European Speedrunner Assembly мы провели чемпионат на скоростное прохождение Doom Eternal на компьютерах с нашим продуктом.

Дальше: а вы знаете, что такое КАКОДЕМОН?…