Онлайн-интервью с Сергеем Уласенем, руководителем отдела разработки ядра ВирусБлокАда

[sergey ulasen 200]

sergey ulasen, когда HIPS (контроль приложений, песочница) появится в продукте? Вообще, какова позиция компании в отношении технологий этого класса?

Отношение очень осторожное. С учетом того, что все таки наш основной пользователь - это корпоративный клиент, то и требования к подобным технологиям должны выставляться достаточно жесткие.

В персональных решениях использовать их можно и нужно. Мы рассматриваем в том числе варианты использования сторонних технологий в нашем продукте.

[Сергей Ильин 1538]

Сергей, расскажите о себе немного. Как решили заниматься вредоносами, как попали в компанию ВирусБлокАда?

[Groft 65]

Сергей, расскажите о себе немного.

Хотелось бы также узнать любимую музякальную группу, кинофильм, блюдо и хобби

[sergey ulasen 200]

Сергей, расскажите о себе немного. Как решили заниматься вредоносами, как попали в компанию ВирусБлокАда?

Закончил Белорусский национальный технический университет (бывший политех), а в компанию попал на четвертом курсе (в начале 2005 года). Один из моих сокурсников уже здесь работал и предложил попробовать пройти собеседование и мне. Мне показалось это интересным, так я и попал в компанию. На тот момент это не был такой уж целенаправленный выбор , скорее мне просто не хотелось работать в заказной разработке. Правда первые годы конкретно вредоносными программами я не занимался, а работал в отделе корпоративных решений. Там-то и проснулся настоящий интерес к антивирусной тематике, и я почувствовал тот challenge, который здесь присутствует. Позже мне предложили перейти на должность программиста в отдел разработки антивирусного ядра, а потом и возглавить его.

В сферу моих интересов кроме непосредственно вирусов/антивирусов по понятным причинам входит менеджмент. И данное направление сейчас начинает меня поглощать все больше и больше. Читаю литературу, хожу на семинары, стараюсь притворять какие-то идеи в жизнь.

Хотелось бы также узнать любимую музякальную группу, кинофильм, блюдо и хобби

Сейчас в наушниках играет Земфира. По дороге на работу слушаю аудиокниги или подкасты. Сейчас в плеере книга "Американские Боги" Нила Геймана, а до этого - "Идеальный руководитель" Ицхака Адизеса. Кстати, последняя книга просто взрывная. Советую всем. Фильмы практически не смотрю. Хобби - изучение английского языка.

[Over 0]

Сергей! Вы, насколько я знаю, целеустремленный человек. Озвучьте, пожалуйста, Ваши цели на ближайший год:

- в профессиональной деятельности (карьере);

- вне работы?

[sergey ulasen 200]

Сергей! Вы, насколько я знаю, целеустремленный человек. Озвучьте, пожалуйста, Ваши цели на ближайший год:

- в профессиональной деятельности (карьере);

- вне работы?

Это все-таки достаточно личные вопросы, чтобы их озвучивать в паблике. Сорри.

[Сергей Ильин 1538]

Сергей, а что в компании и вы лично думаете о перспективах облачных технологий в информационной безопасности в целом и в антивирусной отрасли в частности? Поясню. С одной стороны есть мнение, что это будущее. С другой стороны, что мода на это пройдет, как вариант под давлением таких технологий, как server side polymorphism. В пределе каждому юзеру может генериться свой уникальный сампл. Так что для облако все эти самплы будут "в серой зоне". Хотелось бы порассуждать о будущих технологиях защиты в этом ключе.

И немного смежная тема. Сейчас в день появляется порядка 30к новых самплов. Может быть еще больше. Когда будет тот предел, когда вендоры просто будут уже не состоянии обработать этот вал и возможна ли такая ситуация в принципе? Что вы предпринимаете в компании для того, чтобы автоматизировать массовый анализ?

[sergey ulasen 200]

Сергей, а что в компании и вы лично думаете о перспективах облачных технологий в информационной безопасности в целом и в антивирусной отрасли в частности? Поясню. С одной стороны есть мнение, что это будущее. С другой стороны, что мода на это пройдет, как вариант под давлением таких технологий, как server side polymorphism. В пределе каждому юзеру может генериться свой уникальный сампл. Так что для облако все эти самплы будут "в серой зоне". Хотелось бы порассуждать о будущих технологиях защиты в этом ключе.

По моему мнению, облачные технологии в антивирусной защите имеют право на жизнь. Тем более, как показывают различные исследования (в том числе и на этом ресурсе), они дают вполне положительные результаты. Но...

1) действительно, количество вредоносов велико, а часть из них вообще уникальны;

2) использование облака в том виде, про который идет речь сейчас, практически невозможно в корпоративной среде (серьезная организация просто не позволит отправлять информацию (даже хэши) для проверки на сторону).

Потому:

1) сами по себе облачные технологии неинтересны, их необходимо совмещать с остальными технологиями антивирусной защиты;

2) облачные технологии должны решать не только задачу предотвращения заражения или детектирования заражения (а возможно и решать ее в меньшей степени), но и, к примеру, задачу увеличения скорости сканирования. Вполне себе возможно, что поиск чистого файла в облаке окажется быстрее проверки того же файла антивирусным движком. А если и не быстрее, то при этом будут тратиться ресурсы сервера, а не ресурсы пользовательского компьютера. Облако может решать задачу предотвращения последствий ложных срабатываний и т.д.;

3) использование облачных технологий антивирусной защиты в корпоративном секторе тоже возможно, но только при организации облака внутри сети.

Так что мода на них вряд ли пройдет, скорее они просто "отточатся" до чего-то удобоваримого и более массового.

И немного смежная тема. Сейчас в день появляется порядка 30к новых самплов. Может быть еще больше. Когда будет тот предел, когда вендоры просто будут уже не состоянии обработать этот вал и возможна ли такая ситуация в принципе? Что вы предпринимаете в компании для того, чтобы автоматизировать массовый анализ?

Я согласен с тем мнением, что рынок разработки malware уже достаточно насыщен, и потому не вижу предпосылок к тому, чтобы опять начался серьезный рост вредоносов.

Понятно, что сейчас без автоматизации данного процесса с существующим валом не справится ни одна антивирусная компания. И было бы наивно полагать, что все файлы смотрятся глазами вирусных аналитиков. Потому тут встает проблема не только нехватки людей, но и проблема постоянного обновления технической базы (сервера для обработки потока, сборки баз, тестирования на FP, хранилище чистых файлов, хранилище инфицированных файлов и т.д.) и реализации алгоритмов автоматизации перечисленных выше процессов.

Также хочется отметить еще одну важную составляющую данной проблемы – это нехватка вирусных аналитиков, с которой сейчас, по-видимому, сталкиваются все компании. В первую очередь это связано с недостаточным количеством знаний у выпускников ВУЗов. Это связано с тем, что в институтах перестали читать на должном уровне курс низкоуровневого программирования. И всем компаниям приходится бороться за кадры, самостоятельно их обучать, организовывая какие-то дополнительные курсы, приходя в институты и подыскивая людей прямо со школьной скамьи.

Собственно говоря, решение трех проблем - автоматизация, техническая база, вирусные аналитики - позволяют обеспечивать существующий уровень защиты.

[sww 486]

Также хочется отметить еще одну важную составляющую данной проблемы – это нехватка вирусных аналитиков, с которой сейчас, по-видимому, сталкиваются все компании. В первую очередь это связано с недостаточным количеством знаний у выпускников ВУЗов. Это связано с тем, что в институтах перестали читать на должном уровне курс низкоуровневого программирования.

У вас читают такие курсы? Мне вот в СПбГУ не читали.

Прочитал ваши ответы и у меня родились еще вопрос(ы): какого рода автомат вы используете? Какие технологии используются для автоматического анализа вредоносного потока?

P.S. Я понимаю, что я спрашиваю некоторые внутренние вещи, но попробуйте оперировать публичной информацией которой все владеют, но не знают деталей

[sergey ulasen 200]

У вас читают такие курсы? Мне вот в СПбГУ не читали.

Я имел в виду ассемблер, архитектуру процессора и т.д. Это еще на каком-то уровне преподают. А программирование драйверов - не слышал, чтобы где-то обучали.

У нас хорошие технические специалисты получаются после факультетов радиофизики и прикладной математики БГУ.

Прочитал ваши ответы и у меня родились еще вопрос(ы): какого рода автомат вы используете? Какие технологии используются для автоматического анализа вредоносного потока?

P.S. Я понимаю, что я спрашиваю некоторые внутренние вещи, но попробуйте оперировать публичной информацией которой все владеют, но не знают деталей

Одна из таких технологии - MalwareScope. Технология предназначена для изучения семейств вредоносного кода и последующей подготовки записей специального типа. В каком-то смысле MalwareScope является аналогом всевозможных технологий типа .gen, .based, .origin и т.п. Также разработана и внедрена принципиально иная технология OScope, которая функционирует по иным, отличным от MalwareScope правилам, но также умеет строить записи для точного детектирования целых семейств вредоносных программ.

[Artem Baranov 0]

Сергей, а как у вас обстоят дела с x64 версией антируткита? Не секрет, что сейчас такой продукт стал как никогда актуален.

[sergey ulasen 200]

Сергей, а как у вас обстоят дела с x64 версией антируткита? Не секрет, что сейчас такой продукт стал как никогда актуален.

Пока, к сожалению, работы по x64 версии антируткита не ведутся.

[sergey ulasen 200]

Спасибо комьюнити и порталу за вопросы и предоставленную возможность на них ответить, было интересно.

P.S. Извиняюсь, что не совсем полно ответил на "коммерческие вопросы", но это все таки не совсем из области моей компетенции.

[Сергей Ильин 1538]

Спасибо комьюнити и порталу за вопросы и предоставленную возможность на них ответить, было интересно.

Сергей, большое спасибо за интервью!

[3TE116 45]

У меня вопрос есть!

Все в курсе о супер черве Stuxnet и приблизительное понятие его работы.

1. Возможно ли по такой же технологии сделать антивирусный продукт?Вирус попадает на комп и видит,что как бы антивируса нет и можно гадить,а антивирус на самом деле есть,но незаметен и тихо прибивает этот вирус,т.е. как бы для антивируса вреда никакого,а для вируса риск быть обнаруженным.

2. Планируется ли антивирус для домашних пользователей в бесплатном варианте?Многие компании так и делают,привлекая поьзователей.

3. Можно ли соорудить проактивку на подобие Stuxnet,чтобы вирус не смог мимо проактивки пройти?

[Сергей Ильин 1538]

3TE116, интервью вообще-то давно закончилось ... Вопросы лучше задать эти здесь.