Родион Пьянов, Лаборатория Касперского: Современное EPP-решение похоже на полосу препятствий для злоумышленника

Традиционные антивирусные решения обычно позиционируются как защита от 99 % известных угроз. Но что скрывается за оставшимся 1 %: критически опасный минимум или статистическая погрешность? Об этом мы поговорили с Родионом Пьяновым, менеджером «Лаборатории Касперского» по развитию продуктов для конечных устройств . В интервью также обсудили, как классические корпоративные антивирусы эволюционировали в современные EPP и каким образом внутри них сочетаются разные технологии защиты: от сигнатурного анализа до поведенческих и ML-механизмов.

Что вы понимаете под традиционным антивирусным решением? Есть ли у такого подхода ограничения?

Р.П.: Я бы хотел немного углубиться в историю развития защиты в контексте антивирусных решений. Классические антивирусы, как правило, работали на базе сигнатурного анализа. То есть существовала база известных сигнатур, а сами решения сравнивали файлы, появляющиеся на компьютере, с тем, что есть в этой базе. Этот подход появился довольно давно и активно использовался примерно до двухтысячных годов. Тогда у большинства и сформировался привычный образ антивируса: есть программа с антивирусными базами, которая на их основе проверяет компьютер.

Но затем антивирусные решения начали серьёзно усложняться и развиваться. Причина очевидна — эволюция и появление новых типов угроз и атак, например бесфайловых. Это самый наглядный пример: когда нет файла, банально нечего сравнивать с сигнатурой. Такие атаки стандартный сигнатурный подход уже не способен выявлять. В результате традиционные методы защиты при всей своей эффективности со временем начали хуже справляться с угрозами.

Да, они по-прежнему хорошо работают против конкретных известных угроз. Часто можно встретить цифры вроде 99 % обнаружения. Но здесь важно понимать: речь идёт именно об известных угрозах и в первую очередь о тех, которые представлены в виде файлов. Таких угроз действительно много, однако остаётся тот самый один процент — новые угрозы, вредоносные программы класса zero-day (zero-day malware), бесфайловые атаки и другие, против которых этот подход уже не работает. В ряде случаев именно этот процент определяет, сможет ли система обнаружить атаку до компрометации или злоумышленник достигнет своей цели. Малая цифра не означает малый риск.

И здесь важно не попасть в ловушку ошибки выжившего. Классические подходы по-прежнему закрывают большой пласт известных угроз, но окно возможностей для новых сценариев атак и методов эксплуатации у злоумышленников всё равно остаётся. И это окно весьма обширно.

Мы видим, что всё больше атак обходятся без вредоносных программ — например, через фишинг или компрометацию учётных данных. Насколько это меняет подход к защите и почему традиционные антивирусные решения, ориентированные на поиск вредоносных файлов, оказываются неэффективны против таких угроз?

Р.П.: Фактически именно изменение ландшафта угроз, появление новых типов атак и новых сценариев взлома ускоряли развитие защитных решений. После классических антивирусов начали появляться более сложные методы обнаружения. Примерно к 2010-м годам индустрия стала переходить от традиционных антивирусов к платформам защиты конечных точек (Endpoint Protection Platform, EPP). Такие решения уже не ограничивались сигнатурным анализом. В них начали добавлять дополнительные компоненты и модули защиты: межсетевой экран (файрвол) для противодействия сетевым атакам, контроль подключаемых устройств, системы предотвращения вторжений и другие механизмы защиты.

Один из примеров — когда начали развиваться и инструменты контроля внешних устройств. Это было связано в том числе с появлением угроз вроде BadUSB, когда физическое устройство подключается к компьютеру и определяется как клавиатура или мышь, хотя на самом деле выполняет вредоносный код. Из-за этого изменился и сам подход к защите. Вместо одного инструмента — сигнатурного анализа — стали использовать набор разных механизмов, каждый из которых специализировался на своём типе угроз.

Например, для обнаружения бесфайловых атак начали активно развиваться поведенческий и эвристический анализ. Для новых на тот момент угроз, вроде фишинга или эксплуатации уязвимостей, появились отдельные механизмы защиты: системы начали анализировать вложения в письмах, проверять подозрительные файлы и не давать пользователю случайно запустить вредоносное вложение из почтового клиента или открыть вредоносную ссылку. Отдельно начали развиваться базы уязвимостей и механизмы, которые мешали злоумышленникам их эксплуатировать. И вся эта функциональность постепенно наращивалась как прямой ответ на развитие атак.

В результате мы пришли к тому, что существует сегодня: к комплексным многокомпонентным системам защиты, где каждый механизм лучше всего работает против своего класса угроз и своего типа атак. Это можно сравнить с полосой препятствий, где каждое препятствие рассчитано на определённый сценарий атаки или конкретный тип вредоносной программы. Или, если угодно, с поликлиникой: в каждой поликлинике есть набор профильных специалистов, и только работая вместе, в одной организации, они способны защищать здоровье людей. Так же устроены и современные системы защиты: каждый механизм наиболее эффективен для обнаружения и предотвращения конкретных типов угроз.

Получается, современный EPP — это уже полноценная платформа с многоуровневой защитой? Есть ли какие-то обязательные уровни защиты?

Р.П.: Здесь, наверное, не совсем корректно говорить об обязательности, скорее об эффективности. Чем больше типов атак способна обнаруживать платформа защиты конечных точек, тем выше уровень защиты пользователя или компании, которая её использует.

Сложно сказать, что какой-то конкретный механизм обязателен сам по себе. Но если говорить о полноценной современной защите, то есть набор технологий, которые уже стали отраслевым стандартом. Это, конечно, защита от файловых угроз, поведенческий анализ, защита от эксплойтов, сетевая защита, веб-антивирус, защита почты, защита от шифровальщиков. Плюс различные механизмы проактивной защиты, задача которых — остановить угрозу ещё до того, как она начнёт распространяться.

Очень активно используются технологии эмуляции и сандбоксинга (sandboxing), изоляции приложений, браузера и кода. Отдельное направление, которое сейчас «на слуху», — методы машинного обучения.

И важно, что все эти компоненты работают не по отдельности, а в связке. Именно их совместная работа позволяет поддерживать высокий уровень защиты и при этом снижать количество ложных срабатываний. Потому что задача системы безопасности — не только остановить угрозу, но и не мешать бизнесу нормально работать.

Помимо изменения ландшафта угроз, меняется и сама инфраструктура: количество конечных устройств постоянно растёт, меняются их типы. Как это влияет на подходы к защите?

Р.П.: Безусловно, инфраструктура компаний сегодня стала намного сложнее. И речь уже давно не только про Windows и ноутбуки. Мы говорим о гетерогенной среде, где одновременно используются устройства на Windows, Linux, macOS, мобильные устройства, планшеты, специализированные рабочие станции, серверы с разными ролями, а также виртуальная инфраструктура и удалённые рабочие столы. У каждой платформы своя архитектура, свои особенности и, соответственно, свои типы угроз, которые необходимо учитывать при построении защиты.

Отдельная история — виртуальные среды и VDI-инфраструктура, которые особенно активно начали развиваться с ростом удалённой работы. В таких средах на одном сервере могут работать десятки и сотни виртуальных машин, поэтому классические подходы к проверке конечных точек могут создавать серьёзную нагрузку. Для виртуальных сред нужны специальные подходы, которые позволяют оптимизировать проверки: не снижать уровень защиты, но при этом не перепроверять одни и те же файлы заново для каждого подключённого рабочего стола.

Но ключевое изменение сегодня заключается в том, что уже недостаточно защищать только отдельные устройства. Эффективная защита конечных точек остаётся фундаментом безопасности, однако она должна быть встроена в комплексную архитектуру.

Речь идёт о многослойном подходе, который позволяет контролировать не только сами конечные устройства, но и весь периметр организации, а также процессы внутри инфраструктуры. Для этого внедряются решения разных классов. Например, платформы обнаружения и реагирования на угрозы на конечных устройствах (Endpoint Detection and Response, EDR) и расширенного обнаружения и реагирования (Extended Detection and Response, XDR), которые собирают и анализируют события с различных устройств, выявляют сложные атаки и позволяют оперативно реагировать на инциденты.

Дополнительно используются системы управления информацией и событиями безопасности (Security Information and Event Management, SIEM), консолидирующие данные со всей инфраструктуры и помогающие выявлять вредоносные паттерны и цепочки атак.

Отдельную роль играют решения класса межсетевых экранов нового поколения (Next-Generation Firewall, NGFW), которые обеспечивают контроль сетевого периметра и помогают предотвращать внешние угрозы ещё до того, как они достигнут конечных устройств.

Именно сочетание таких решений позволяет выстраивать защиту инфраструктуры целиком: так, чтобы у злоумышленника не было возможности не только проникнуть в сеть, но и закрепиться внутри или распространиться дальше по инфраструктуре.

Какую роль в этом подходе играет поведенческий анализ?

Р.П.: Это один из ключевых методов детектирования. Он важен там, где речь идёт либо о неизвестных угрозах, либо о тех, которые не удаётся обнаружить другими способами. Его главное преимущество в том, что он адаптивен: ему не нужен файл в привычном смысле, по которому можно посчитать сигнатуру. Вместо этого система анализирует поведение. Есть определённая репутация файла и набор действий, которые он выполняет. И уже на основе эвристик система понимает, похоже ли это поведение на вредоносное или нет.

И в этом смысле поведенческий анализ — один из основных механизмов, который помогает останавливать ранее неизвестные угрозы, включая zero-day-угрозы. Те самые, с которыми другие подходы зачастую просто не справляются.

То есть система анализирует не сам файл, а именно его поведение?

Р.П.: Скорее, она смотрит шире: не только на файл, а на всё, что вокруг него происходит. Как он попал в систему, встречается ли он у других пользователей, какие действия выполняет, к каким ресурсам обращается. Например, если файл начинает массово считывать данные и перезаписывать их по всей системе, это может быть признаком шифровальщика. Даже если раньше такой образец никто не видел. И тогда задача системы — остановить его, не дать продолжить вредоносную активность и откатить его действия.

Поведенческий анализ — не новая технология. Она развивается уже довольно давно. Но за последние годы сильно выросла роль эвристик, в том числе благодаря машинному обучению. Оно помогает быстрее находить паттерны и выявлять не только известные сценарии атак, но и попытки их маскировки под легитимную активность.

В антивирусах сегодня активно используют машинное обучение и искусственный интеллект (ИИ). Это действительно усиливает защиту или здесь больше маркетинга? И могут ли такие технологии создавать дополнительные риски внутри самого продукта?

Р.П.: Я бы сказал, что и так, и так. С одной стороны, машинное обучение и технологии ИИ в кибербезопасности — это уже давно рабочий инструмент. В современных EPP-решениях они действительно используются и дают практический эффект: помогают быстрее находить новые угрозы, повышают точность детектирования, особенно в случаях с ранее неизвестными атаками.

Но при этом вокруг темы ИИ действительно много маркетинга. Проблема в том, что нет единого стандарта, что именно считать искусственным интеллектом. Поэтому этим термином иногда называются и достаточно простые алгоритмы, где по сути нет ни полноценного машинного обучения, ни сложной адаптивной логики.

Если говорить именно про антивирусные решения, то здесь важно понимать: ИИ и машинное обучение — это не отдельная надстройка, а часть общей системы защиты. И скорее здесь нет рисков от самих технологий внутри защитного продукта. Наоборот — они усиливают защиту. Они помогают лучше обнаруживать новые и неизвестные угрозы, быстрее реагировать на изменения и повышать точность детектирования. Например, в поведенческом анализе, в методах анализа образцов, которые позволяют собирать более полную картину не только поведения, но и в целом: об объекте.

Система смотрит не только на сам файл, но и на контекст: откуда он появился, как ведёт себя, что пытается в себе замаскировать, какие действия выполняет. И на основе этого уже делает вывод, похоже ли это на вредоносную активность или нет.

В итоге ключевой эффект здесь не в замене классических механизмов защиты, а в их усилении. Машинное обучение помогает снизить количество ложных срабатываний и одновременно повысить способность антивируса находить действительно новые, сложные угрозы.

Однако ИИ используют не только разработчики защитных решений, но и злоумышленники. Раньше, когда существовал классический антивирусный подход, разработка вредоносных программ была достаточно сложной и дорогой. Новые угрозы появлялись не так часто, и написать десятки новых вирусов за один день было просто нереалистично.

Сейчас ситуация изменилась. С помощью ИИ это стало возможно, и этим активно пользуются. То же самое касается фишинга: он стал гораздо более качественным и правдоподобным. В результате количество новых угроз, включая zero-day-атаки, растёт очень быстро. Объёмы обнаружения новых типов атак и вредоносных файлов сейчас достигают довольно внушительных и даже тревожных цифр: 500 000 в день.

Как сочетаются между собой разные технологии внутри EPP: сигнатуры, поведенческий анализ, ML, exploit protection? Это единая система или набор разрозненных механизмов?

Р.П.: Это, безусловно, должна быть единая система. Потому что все эти механизмы — не набор разрозненных инструментов, которые лежат в ящике: этот нужен, чтобы починить трубу, этот — чтобы забить гвоздь. Они работают вместе, в связке, в синергии. Недостаточно посмотреть на один параметр файла. Нужно собрать максимально полную картину, прогнать её через разные методы анализа. И только так можно точно определить угрозу и при этом снизить число ложных срабатываний.

То есть EPP принимает решения на основе совокупности данных?

Р.П.: Безусловно. Потому что если это будет просто набор отдельных механизмов, каждый из которых даёт свой вердикт, может возникнуть ситуация, при которой резко вырастет число ложных срабатываний или, наоборот, пропусков.

Потому что один компонент может, например, более агрессивно определять поведение как вредоносное, чем другие. И это, с одной стороны, не снижает защищённость, а с другой — сильно влияет на комфорт пользователей. По сути, это может даже остановить работу, потому что начнёт блокироваться легитимное ПО.

Комплексное использование разных механизмов, которые в том числе подкрепляются данными об угрозах (Threat Intelligence, TI) и наиболее актуальными данными о мировом ландшафте угроз, даёт результат. И только собрав всё воедино, можно получить сочетание высокого уровня детектирования и защиты с минимальным количеством ложных срабатываний.

Часто слышим о необходимости комплексной защиты. Как в реальных инфраструктурах выстраивается взаимодействие EPP с другими классами решений безопасности?

Р.П.: Как раз сейчас, мне кажется, основной вектор развития EPP заключается в интеграции с другими системами: EDR, XDR, системой управляемого обнаружения и реагирования (Managed Detection and Response, MDR) и др. И при этом, я бы сказал, происходит некая платформизация: где-то даже начинают стираться границы между классами решений. Потому что совместная работа позволяет гораздо более комплексно оценивать всё, что происходит как на конечном устройстве, так и за его пределами.

Это в том числе помогает выявлять таргетированные атаки, которые могут распространяться не на одно устройство, а сразу на большое количество конечных точек: когда злоумышленник проникает в инфраструктуру через цепочку скомпрометированных устройств. Плюс сюда добавляется взаимодействие, например, с системами защиты почтовых серверов. Это позволяет отследить угрозу не только в момент, когда заражённое письмо попало на компьютер, но и проследить весь путь: откуда оно пришло и как распространялось.

Системы класса Detection and Response позволяют уже более комплексно реагировать на появление угроз и атак и тем самым предотвращать заражение не только на конкретном устройстве, но и в целом по инфраструктуре.

При этом важно учитывать, что большая часть этих систем использует схожие данные для анализа. Где-то одна система берёт больше сигналов, где-то меньше, но в любом случае часто речь идёт об одних и тех же источниках информации. И отсюда возникает ещё один момент: одни и те же данные могут собираться разными агентами по несколько раз, что просто увеличивает нагрузку на систему.

Сейчас отрасль как раз движется в сторону более универсальных агентов. Тех, которые могут одновременно выполнять сигнатурный, поведенческий и эвристический анализ файлов, получать данные Threat Intelligence и передавать телеметрию в EDR-, XDR- или MDR-платформы. И всё это в рамках одной связки, максимально комплексно и эффективно.

Если компании сегодня используют традиционные антивирусные решения, какие риски они на себя фактически принимают?

Р.П.: В целом, конечно, традиционных антивирусных подходов, где используется преимущественно сигнатурный анализ, становится всё меньше. Но они всё ещё есть. И часто такие решения позиционируются как защита от 99 % известных угроз. Здесь важно понимать, что наиболее опасным остаётся как раз тот самый 1 %, который не попадает в эту статистику, — ранее неизвестные угрозы. Именно этими возможностями сейчас активно пользуются злоумышленники при разработке вредоносных программ и в рамках целенаправленных сложных атак.

Поэтому, если компания не хочет оказаться в числе тех, кто столкнётся с этим 1 % — известными или ранее неизвестными угрозами, — а их, напомню, появляется более 500 000 ежедневно, то такие устаревшие подходы ей уже просто не подходят.

Правильно ли я понимаю, что главный риск здесь — это низкая видимость современных атак?

Р.П.: Фактически да. Потому что сигнатурный анализ смотрит довольно узко и способен детектировать только определённые типы атак, те, для которых уже есть известные сигнатуры. Если же мы говорим про что-то новое, про современные методы атак и угрозы, которые сейчас активно развиваются и используются злоумышленниками, то они зачастую уже выходят за рамки видимости такого подхода.

Родион, спасибо большое за интересную беседу.

Реклама, 18+. АО «Лаборатория Касперского» ИНН 7713140469
ERID: 2VfnxyA7HEK