Следующий быстрый Евгений Касперский умоляет порадовать Хабр: Наша служба и опасна, и трудна.
И еще очень сложный.
Простому смертному сложно разобраться во всех тонкостях работы антивирусной компании.
И ох, как нам хочется вам о них рассказать! Поэтому мы изо всех сил стараемся перевести их на человеческий язык.
И верхушкой этого айсберга является набор цифр и фактов, иллюстрирующих эту услугу.
Например, вот интересная инфографика: 
Еще много интересной инфографики Здесь .
Но один из самых задаваемых вопросов «Сколько вирусов вы обнаруживаете каждый деньЭ» .
Вопрос на самом деле нетривиальный, но что делать - на простой вопрос нужен простой ответ. А у нас до недавнего времени была стандартная цифра – 35 тысяч.
Что-то вроде того.
Усреднённый.
Без умопомрачительных подробностей о семействах вредоносных программ, полиморфизме, векторных шаблонах, записях и т. д. Но вот уже несколько месяцев за этим ответом часто следует уточняющий вопрос, который, мол, как-то не складывается! В общем, мы напряглись, посчитали и обалдели.
Результатом стало обновление: 70 тысяч .
Ежедневно.
Ага.
Опять же не буду вдаваться в подробности (если кому интересно, спрашивайте в комментариях).
Лучше расскажу, как нам удается перелопатить эти семьдесят тысяч ежедневных проб.
Ну, многие знают, что наш семейный талисман – дятел .
И не зря.
В старые добрые времена так работала наша ВирЛаб.
Как на конвейере сидели и «убивали» вирусы.
Между прочим, очень сложная, утомительная и уважаемая профессия! И я тоже уже много лет занимаюсь дятлами! Однако времена уже не те.
И понятно, что при нынешнем потоке «ебать» просто нереально, экономически неэффективно и просто глупо.
Мы уже много лет стоим на боевом дежурстве.
автодятлы ! Человеческому фактору достаётся только самая интеллектуальная работа — разборка сложнейших образцов, исследование ботнетов, проверка того, что автодятлы не лгут, и, конечно же, их всяческое обучение и развитие.
В целом существует несколько источников, через которые мы получаем образцы вредоносного ПО для анализа: самоходные орудия («прилипать» к специальным ловушкам), материалы (прислано пользователями), обмен коллекциями с другими антивирусными компаниями и нашим облачным сервисом KSN ( видео , подробности ).
Причем по вкладу в защиту пользователей последний источник сейчас занимает лидирующие позиции.
Давайте на примере KSN посмотрим, как работает наша автоматизация обработки вредоносного ПО.
Компьютеры, участвующие в KSN (и в настоящее время существуют более 50 миллионов ) отправлять в облако статистику (неперсонализированную!) о производительности наших продуктов.
Здесь есть информация о пойманных вредоносных программах и зараженных сайтах, а также много полезной информации для обнаружения новых вредоносных программ — например, подозрительное поведение программ, хеши загруженных файлов и многое другое.
Допустим, пользователь запускает ранее неизвестный файл.
Местный антивирус проверяет всеми доступными средствами - чисто.
Запрашиваем облако - данных нет. Ок — даем добро на запуск.
А потом оказывается, что он как-то странно прописывается в реестре, пытается получить доступ к системным службам, устанавливает подозрительные соединения, имеет двойное расширение (jpg.exe) или что-то еще.
Сигнал поступает в КСН, где система автоматически рассчитывает репутацию файла (вес всех признаков и действий) и принимает решение об обнаружении.
В результате на защищаемый компьютер отправляется команда «fas», файл блокируется, а его действия откатываются.
Разумеется, чем больше сообщений об одном и том же файле с разных компьютеров, тем выше приоритет обработки и выше точность и критичность вердикта.
Если такой файл появится на других компьютерах, подключенных к KSN, им сразу сообщат, что он опасен и экспериментировать не нужно.
Другой пример.
Несколько пользователей скачали файл по одной и той же ссылке.
Но каждый раз файл имеет другой хэш.
Полиморфизмом попахивает! КСН начинает разбираться в этом вопросе и видит, что, например, сайт зарегистрирован всего пару дней назад, на нем «висит» какой-то iframe или с него раньше уже отправлялись зараженные файлы (ну есть такие много разных знаков).
И снова облако вычисляет репутацию и отправляет команду на блокировку как самого файла, так и доступа к сайту.
Важно: благодаря такому подходу в среднем Между обнаружением и вердиктом проходит всего 40 секунд ! 
Но на этом работа наших автодятлов не заканчивается.
Другая система загружает из сети тот же подозрительный файл и передает его на автоматический процессор для анализа.
Там вообще целая куча всяких запатентованных и еще не запатентованных технологий, поэтому копать глубже не буду.
Этот процессор разрабатывает и тестирует знакомые обновления и загружает их на серверы для скачивания.
Что-то вроде того.
Помню, 8 лет назад наши конкуренты завидовали и восхищались тем, как нам удалось выполнить такую огромную работу такими небольшими ресурсами? Автоматизация, однако! И только грамотная автоматизация сможет справиться с этим сумасшедшим потоком вредоносного ПО! Кстати, хотя объем работ постоянно расширяется и углубляется, количество сотрудников нашей Вирлабы не меняется уже год. Здесь возникает логичный вопрос.
Как выживают небольшие антивирусные компании? ? Известно, что содержание хорошей вируслаборатории – это вопрос не только денег, но и мозгов.
Откуда они берут ресурсы, чтобы оставаться на плаву, практически ничего не тратя на НИОКР? Больная тема.
Вот уже несколько лет натуральные продукты процветают в антивирусной индустрии.
кража "обнаружить" .
Вместо того, чтобы анализировать вредоносное ПО, развивать свою экспертизу и изобретать новые технологии, некоторые (а таких «некоторых» около десятка) компании просто подсматривают за результатами работы других и тупо добавляют хэш-детектирование в свои базы.
Им помогают некомпетентные тесты , которые не отражают уровень защиты в реальных условиях.
В результате в топ выползает не самое лучшее программное обеспечение, увеличивается количество его установок, а общий уровень безопасности падает. Честные компании теряют мотивацию к исследованиям, эффективность инвестиций в НИОКР падает, но продажи воров растут, а кибернегодяи радуются.
Ну это тема для отдельного рассказа.
Теги: #вирусы #Касперский #Лаборатория Касперского #антивирусы #лаборатория Касперского #касперский #дятлы #детект #Евгений Касперский
-
Метод Исправления Google One Не Работает
19 Oct, 24 -
Небольшая Библиотека Для Работы С Графиками.
19 Oct, 24 -
Вышла Новая Версия Энергии
19 Oct, 24 -
Свечение В Ночном Небе. Объяснение Загадки
19 Oct, 24 -
Компьютерщик - Сколько Всего В Этом Звуке?
19 Oct, 24 -
Интернет-Телевидение Появилось В Байнете
19 Oct, 24
