Статья

Лаборатория Касперского: Мы готовы делиться экспертными знаниями

B2BSecurity

Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского», рассказал о новых продуктовых линейках и сервисах компании. Среди них – продукты с новыми архитектурами для защиты виртуальных сред и систем хранения данных, глобальные репутационные сервисы – доступные теперь в частном облаке, внутренние экспертные знания и инструменты в составе новых сервисов. За 17 лет работы компания накопила значительную экспертизу в области анализа киберугроз, поэтому готова делиться знаниями со своими заказчиками.

CNews: Сейчас все чаще можно услышать, что время традиционных антивирусов прошло. Что означает это для «Лаборатории Касперского», сильной стороной которой всегда считалась разработка решений для защиты рабочей станции?

Вениамин Левцов: Защита рабочей станции от вредоносного ПО – краеугольный камень общей системы информационной безопасности для любой организации, здесь базовый функционал остается неизменным. Требования к корпоративной защите в целом эволюционируют, и мы предлагаем компаниям комплексные решения, способные обеспечивать защиту от самых новых угроз. Конечно, нельзя не отметить, что для многих директоров по ИБ вопросы антивирусной защиты действительно уже не относятся к области, которая вызывает повышенный интерес. Антивирусные решения в организациях, как правило, используются и со своими задачами справляются, бюджет для ИБ на фоне других подсистем требуется не такой уж существенный. Почему ИТ-директор должен тратить на это свое время? Поэтому ключевые задачи для «Лаборатории Касперского» сейчас: совершенствование нашего комплексного предложения, разработка новых продуктов и дополнительных сервисов, которые относятся к классу Security Intelligence (SI) и коррелируют с важными для экспертов и директоров по ИБ темами.

CNews: О каких новых продуктовых направлениях идет речь?

Вениамин Левцов: Это целый ряд решений, имеющих архитектуру, отличную от той, что используется в классической системе защиты рабочей станции. Один из примеров – наш продукт Kaspersky Security для систем хранения данных. Поскольку установка полноценного ядра антивируса непосредственно на сервер корпоративной системы крайне нежелательна или технически невозможна, мы используем сканирование файлового потока с внешнего специализированного сервера. Мы считаем этот сегмент рынка достаточно перспективным и готовы развивать существующий продукт. В настоящий момент реализована поддержка NetApp и EMC VNX, в ближайших планах покрытие ряда других лидирующих платформ и развитие функциональности решения.

В корпоративном секторе продолжается активное проникновение технологий виртуализации, как серверной, так и VDI. При этом безопасность виртуальных сред имеет свои особенности. Классическая модель, при которой каждый сервер или десктоп защищается обособленным антивирусным ядром, поглощает неоправданно много ресурсов. Появился даже термин «антивирусный шторм», описывающий ситуацию, когда все антивирусные ядра на одном виртуальном сервере одновременно запускают схожую задачу. Мы уделили этому моменту особое внимание и создали семейство продуктов, способных обеспечить надежную защиту без излишней нагрузки на виртуальную среду.

CNews: За счет чего это достигается?

Вениамин Левцов: Сначала мы выпустили полноценное антивирусное решение Kaspersky Security для виртуальных сред, тесно интегрированное с возможностями платформы VMware и способное работать без установки агента на защищаемые системы. Такая архитектура позволяет вынести нагрузку, создаваемую ядром антивирусной системы, на специальную, выделенную виртуальную машину и избавить все остальные от необходимости расходовать ресурсы на поддержку процессов безопасности. Для многих заказчиков такая архитектура является оптимальной.

Но мы пошли дальше, разработав для защиты виртуальных сред технологию «Легкий агент». Функции антивирусной системы в нем разделены на те, которые могут быть реализованы вне защищаемой виртуальной машины, и те, что требуют контроля ее оперативной памяти. За счет комбинации целого ряда механизмов нам удалось сделать действительно «легкий» агент, наличие процессов которого не оказывает влияния на производительность системы в целом. При этом наличие агента позволило нашему продукту обеспечить полноценную работу различных эвристик, контроля приложений и многих других подсистем безопасности. В результате можно говорить о том, что виртуальная машина имеет ту же полноценную защиту, что и рабочая станция, но только нагрузка на ее системные ресурсы значительно ниже.

CNews: Какие платформы поддерживает продукт?

Вениамин Левцов: На рынке платформ виртуализации сильны несколько вендоров, причем их позиции отличаются в разных странах. Мы учли это, и сейчас предоставляем возможность обеспечить безопасность виртуальной инфраструктуры, построенной на ведущих платформах от VMware, Citrix и Microsoft. В планах реализация защиты для Linux-машин и поддержка платформы KVM.

CNews: Предлагаете ли вы своим клиентам какие-либо сервисы, помимо традиционных антивирусов?

Вениамин Левцов: Конечно. Например, с середины прошлого года мы активно развиваем направление Security Intelligence Services, позволяющее компаниям получать экспертные сервисы от «Лаборатории Касперского», и мы ожидаем существенный рост этого направления в будущем. У нас реализована уникальная практика сбора и анализа данных, относящихся к зловредному ПО. Технически основная цель работы этих механизмов – выпуск лучшего в мире антивирусного продукта. Но по мере развития компании, у нас стала накапливаться экспертиза в области анализа современных киберугроз (что, учитывая 17-летний опыт, неудивительно), и мы поняли, что эти данные востребованы рынком и без привязки к продуктам.

В настоящий момент у нас уже около 10 завершенных международных коммерческих проектов на различные сервисы Security Intelligence «Лаборатории Касперского» и растущее число обращений от партнеров и заказчиков. Наши сервисы востребованы госорганами, которые отвечают за информационную безопасность в своих государствах. В частности, в этом году мы уже провели сессию обучения для полиции Лондона (City of London Police), согласовано еще несколько курсов, обсуждаются детали долгосрочной совместной программы.

Несмотря на сложную политическую ситуацию, отрадно видеть, что правоохранительные органы западных стран продолжают с нами активно сотрудничать и видят в нас надежного провайдера Security Intelligence. В России этот сервис мы собираемся начать предлагать в 2015 году. Особое внимание мы уделяем коммерческим проектам сотрудничества с банковскими регуляторами, а также с MSSP – Managed Security Service Provider.

CNews: А сама «Лаборатория Касперского» не планирует становиться MSSP?

Вениамин Левцов: В настоящий момент таких планов нет. На сегодня рынок MSSP в Америке и Европе сложился, это 20–30 крупных игроков, включающих крупнейших телекоммуникационных провайдеров и интеграторов систем ИБ. Они оказывают огромный спектр услуг: от управления системами безопасности (настройка firewall, IPS, DLP) до довольно сложных сервисов, таких как расследование инцидентов и анализ защищенности информационных систем. То есть MSSP берут на себя всю головную боль, связанную с безопасностью. Мы не собираемся конкурировать с MSSP еще и потому, что в их числе немало наших канальных партнеров. В ближайшее время каждый интегратор, нацеленный на рынок ИБ, должен искать для себя нишу в роли MSSP для своих заказчиков. «Лаборатория Касперского», в свою очередь, будет провайдером определенных вендорских сервисов для MSSP.

Так, для построенных у клиентов MSSP Центров Управления ИБ мы предлагаем структурированные потоки данных об угрозах – Raw Data Feeds. Фид – это поток информации, который поставляется в виде xml-файла или текстового файла, в нем содержатся формализованные описания зловредов. Это могут быть описания конкретных вирусов, списки IP-адресов командных центров ботнетов, фишинговые сайты или URL веб-сайтов, которые, по нашему мнению, представляют опасность для пользователей. В пакете сейчас представлены 7 фидов с различными типами информации, которые поставляются независимо от наших продуктов. К слову, используют их и наши OEM-партнеры в рамках своих шлюзовых решений.

Другой важный источник оперативной информации, востребованной MSSP, – данные, полученные по результатам анализа активности ботнетов – сетей компьютеров и смартфонов, контроль над которыми захвачен злоумышленниками. Для таких исследований нам помогает система, организованная как «песочница» и анализирующая поведение зловредного ПО. Мы «подсаживаем» в нее троянца и изучаем его поведение. Например, мы смотрим, с каким узлом снаружи у него есть постоянные коммуникации: все это позволяет с высокой эффективностью находить адреса командных центров ботнетов. Хотя злоумышленники постоянно совершенствуют механизмы управления захваченными компьютерами своих жертв, мы не стоим на месте. Зачастую нам удается отслеживать адреса командных серверов, и эту информацию мы также предоставляем в виде регулярных отчетов и нотификаций. Компания Telefonica на основе поставляемых нами данных обеспечивает безопасность своих клиентов, в первую очередь, международных банковских структур. Кроме того, наши эксперты готовы делиться знаниями в области анализа вредоносного ПО в рамках технических тренингов для сотрудников MSSP.

CNews: Расскажите подробнее о тренингах. В чем их особенность?

Вениамин Левцов: Есть группы технических специалистов, которые анализируют угрозы, что называется, «в поле». Они работают в банках, в специальных отделах госслужб и т.д. – и должны постоянно анализировать ландшафт компьютерных угроз, понимать, что происходит и как может повлиять на безопасность. Им необходимо понимать, как устроена атака, как инкапсулируется код троянца в файл, как скрывает свои действия, как собирается из отдельных модулей – иными словами, понимать механику действий зловреда. Запросов на то, чтобы наши эксперты поделились такими навыками, становится все больше. И после анализа нескольких обращений мы решили пойти навстречу. В течение полугода была подготовлена специальная программа, состоящая из 5 уровней: от начального до глубокого. Каждый курс рассчитан на разную продолжительность: самый сложный высшего уровня, например, читается 4 недели. Тренинги предполагают и работку руками – специалистам предоставляется набор средств для анализа механизмов и угроз. Как видите, мы не только поставляем продукты – мы готовы делиться экспертными знаниями.

CNews: Одним из активов «Лаборатории Касперского» является ваша внутренняя система сбора и анализа информации о киберугрозах – речь о Kaspersky Security Network. Как вы ее используете?

Вениамин Левцов: Главная ценность нашей сети KSN заключается в мгновенном распространении информации о выявленных угрозах. Классический антивирус использует три основных метода выявления угрозы. Первый – сигнатуры, когда с подозрительного объекта снимается уникальный идентификатор и сравнивается с содержимым баз. Второй – использование анализа поведения объекта в памяти, когда антивирус запускает защищенную среду, так называемую «песочницу», анализирует поведение программы и делает выводы. Но в последние годы растет вклад третьего метода – репутационный анализ на основе данных, практически мгновенно предоставляемых глобальным облаком.

Поясню на примере: допустим, где-то в другой стране наш антивирус обнаружил некий подозрительный объект. Его метаданные направляются в глобальное облако «Лаборатории Касперского», где к автоматизированному анализу привлекается более 40 экспертных подсистем. На основе сложнейшей, динамически изменяющейся логики и анализа большого количества источников автоматизированная система, а в ряде случаев – эксперт, принимают решение о вредоносности этого объекта. Классическая схема предполагает, что для зловреда выпускается сигнатура, которая затем доставляется нашим продуктам по всему миру вместе с обновлением антивирусной базы. Очевидно, что этот процесс, несмотря на всю возможную автоматизацию, занимает какое-то время, в среднем – несколько часов. Сигнатура сначала будет доставлена на центральный сервер, от него – региональным, и, наконец, через еще несколько часов попадет на компьютеры пользователей. Но ведь уже в самом начале, на первом же этапе, наше облако знает, что объект – вредоносный, оно сразу может быть быстрый ответ. Итак, в активе: моментальное информирование о вредоносности объекта (что особенно ценно в случае эпидемий), а также минимизация ложных срабатываний. Если раньше мы воспринимали KSN как сервисную систему для собственных продуктов (каковой она в первую очередь и является), то теперь мы готовы предоставлять определенные аналитические сервисы, которые используют информацию из KSN.

CNews: То есть информация, которая агрегируется в KSN, ложится в основу некой аналитики, которую вы потом предлагаете бизнесу?

Вениамин Левцов: Да, мы можем обобщать эту аналитику и предлагать компаниям некоторые формы отчетов, которые будут интересны в том или ином разрезе: по индустрии или по территории. Несколько проектов уже реализовано, по требованиям заказчиков меняются структура и наполнение таких отчетов.

CNews: Насколько охотно ваши корпоративные заказчики соглашаются отправлять информацию в KSN? Ведь это может нарушать принятую в компании политику?

Вениамин Левцов: Мы сталкиваемся с такой проблемой: чтобы продукт имел возможность обратиться к облаку, ему это надо разрешить. У домашних пользователей это не вызывает проблем, а вот у корпоративных – вызывает еще как. Потому что речь идет о передаче, возможно, конфиденциальных данных, да еще в автоматическом режиме. Для многих это действительно является нарушением политики безопасности в части хранения и распространения данных. Мы должны признать, что вендоры защитных решений часто сталкиваются с этой проблемой: по моей практике 9 из 10 крупных компаний не могут позволить себе пользоваться преимуществами облачного сервиса, потому что боятся неконтролируемой передачи информации вовне. Но вклад репутационного подхода растет, без доступа к облачному сервису уровень реакции на вредоносное ПО снижается.

Мы придумали свой выход, чтобы бесконтрольной отправки данных наружу не было, а безопасность не страдала. В самой сети клиента разворачивается небольшой дата-центр (от 4-х серверов в зависимости от нагрузки и конфигурации), которому мы оперативно доставляем актуальную информацию из глобального KSN. В результате наши продукты, установленные внутри сети заказчика, получают возможность обращаться к сервисам локального KSN, и использовать информацию о репутации при анализе подозрительных объектов. Подчеркну: запросы наших продуктов циркулируют только внутри сети заказчика. При этом мы постоянно поддерживаем локальный front-end KSN актуальной информацией, используя однонаправленные коммуникации. Клиент может позаботиться о максимальной изоляции такой системы, чтобы иметь полный контроль над исходящими потоками данных. Это готовый продукт с рабочим названием Private KSN. Старт продаж намечен на первый квартал 2015 года, но пилотные установки уже начинаются.

CNews: Но на практике это означает, что клиенту приходится нести дополнительные расходы, ведь речь идет о покупке аппаратного обеспечения. Наверняка понадобятся еще какие-то сервисы поддержки. Есть какие-то способы снизить затраты клиентов «локального облака»?

Вениамин Левцов: Да, мы обнаружили, что подход Private KSN прекрасно укладывается в рамки нашего сотрудничества с MSSP. Системный интегратор или телеком-провайдер, оказывающий услуги в области информационной безопасности, обычно уже имеет высокий уровень доверия со стороны заказчика. Строго говоря, степень доверия заказчиков к MSSP оказывается зачастую выше, чем к международным вендорам. Поэтому разумно установить локальный KSN в инфраструктуре такого партнера, который имеет доверительные отношения со своими заказчиками, и сделать доступным для них сервис изолированного KSN. В такой ситуации общая стоимость владения будет ниже, что привлечет заказчиков, а у партнера появится возможность предложить дополнительный сервис.

CNews: В последнее время все чаще говорят о необходимости использования специализированных систем для обнаружения так называемых таргетированных атак. Нас ждет подобное решение от «Лаборатории Касперского»?

Вениамин Левцов: Увы, это не мифы и не умелый маркетинг, мы действительно наблюдаем рост числа сложных, распределенных во времени атак, целью которых являются конкретные информационные системы. Злоумышленники могут потратить месяцы на сбор информации о системе, используют для этого как технические меры, так и методы социальной инженерии, вступая в контакт с сотрудниками атакуемой организации. В результате атакующая сторона собирает информацию об архитектуре системы, ПО, незакрытых уязвимостях, структуре хранения данных. Зачастую злоумышленники имеют лучшее представление о функционировании ИТ-системы, чем сотрудники. Для обнаружения таких специализированных атак и инструментарий надо использовать специальный – в дополнение к традиционному антивирусному продукту, который, конечно же, продолжает защищать от основного потока угроз.

CNews: О каком специальном инструментарии идет речь?

Вениамин Левцов: Глобальная команда экспертов «Лаборатории Касперского» всегда одной из своих ключевых задач ставила распознавание масштабных таргетированных атак. Чтобы оценить опыт и успехи наших экспертов в этой области, достаточно посмотреть отчеты о глобальных атаках, которые мы постоянно публикуем. Сейчас речь идет о комплексной системе для установки на стороне заказчика, работа над которой нами активно ведется. Такая система будет использовать различные источники информации в дополнение к тому, что видит агент антивируса на рабочей станции. В частности, это данные, получаемые из коммуникационных потоков: web и почта. Не обойтись и без анализа подозрительных объектов с использованием мощной «песочницы», развернутой в сети заказчика. Добавлю, что в нашей вирусной лаборатории была разработана и постоянно совершенствуется внутренняя технология анализа сложных угроз в «песочнице». Разработка такого решения с нуля заняла бы существенно больше времени. Мы лишь адаптируем наработанные за годы технологии к использованию в сетях наших заказчиков. Поверьте, момент, когда станет возможным пилотирование нашей системы для защиты от таргетированных атак, ближе, чем это может показаться.

CNews: Среди современных угроз отдельное место занимают DDoS-атаки. Что с ними делать, как противостоять?

Вениамин Левцов: Невозможно представить современный мир без систем веб-безопасности. Для этого мы создали сервис Kaspersky DDoS Protection, который успешно развивается в России, сейчас мы готовим его запуск за пределами нашей страны. В частности, уже развернуты европейские центры очистки трафика ,вскоре мы планируем начать продвижение сервиса. Среди наших клиентов, использующих Kaspersky DDoS Protection, большую часть составляют финансовые организации, к ним активно добавляются предприятия электронной коммерции, медиа, государственные порталы. Мы видим, что точно такие же группы организаций страдают от DDoS в любой точке мира, и для нас нет никакой разницы – защищать электронный магазин в России или во Франции. DDoS-атака строится по схожей логике и технологическому сценарию.

Хотя мы понимаем, что европейский рынок довольно зрелый и высококонкурентный, у нашего сервиса есть свои сильные стороны. Мы собираемся активно развивать партнерские отношения не только с ISP, но и с дата-центрами, где осуществляется хостинг защищаемых нами сайтов. Оценив результаты запуска сервиса в Европе, будем принимать решение о дальнейшем расширении географии доступности сервиса.

CNews: Киберугрозы начинают восприниматься на государственном уровне. К вам поступают обращения оказать содействие в построении сил кибербезопасности или другие предложения такого рода?

Вениамин Левцов: Мы очень внимательно изучаем запросы такого рода и во многих случаях готовы к сотрудничеству. Отдельной интересной задачей для нас является помощь некоторым странам в вопросе строительства местных центров противодействия киберугрозам. Речь идет о создании специальных центров, которым делегируется курирование вопросов информационной безопасности государственных органов, повышения уровня осведомленности в области ИБ и расследование значимых инцидентов. В целом это всегда комплексные проекты национального уровня. Они включают оказание уже упомянутых сервисов технического обучения, выстраивания внутренних процессов, развертывание локальной облачной инфраструктуры KSN, установку «песочницы» для обнаружения сложных и таргетированных атак, возможно, размещение и регионального центра очистки для защиты от DDoS-атак. Ну и, конечно, – экспертные сервисы реакции на инциденты, если местные силы сами не справляются. Таким образом, «Лаборатория Касперского» старается доставлять разнообразную имеющуюся у нас экспертизу туда, где она востребована. Так мы выполняем нашу главную задачу – спасать мир от киберугроз.