Перейти к содержанию
Сергей Ильин

Онлайн-интервью с Сергеем Уласенем, руководителем отдела разработки ядра ВирусБлокАда

Recommended Posts

sergey ulasen
sergey ulasen, когда HIPS (контроль приложений, песочница) появится в продукте? Вообще, какова позиция компании в отношении технологий этого класса?

Отношение очень осторожное. С учетом того, что все таки наш основной пользователь - это корпоративный клиент, то и требования к подобным технологиям должны выставляться достаточно жесткие.

В персональных решениях использовать их можно и нужно. Мы рассматриваем в том числе варианты использования сторонних технологий в нашем продукте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей, расскажите о себе немного. Как решили заниматься вредоносами, как попали в компанию ВирусБлокАда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Groft
Сергей, расскажите о себе немного.

Хотелось бы также узнать любимую музякальную группу, кинофильм, блюдо и хобби :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Сергей, расскажите о себе немного. Как решили заниматься вредоносами, как попали в компанию ВирусБлокАда?

Закончил Белорусский национальный технический университет (бывший политех), а в компанию попал на четвертом курсе (в начале 2005 года). Один из моих сокурсников уже здесь работал и предложил попробовать пройти собеседование и мне. Мне показалось это интересным, так я и попал в компанию. На тот момент это не был такой уж целенаправленный выбор :) , скорее мне просто не хотелось работать в заказной разработке. Правда первые годы конкретно вредоносными программами я не занимался, а работал в отделе корпоративных решений. Там-то и проснулся настоящий интерес к антивирусной тематике, и я почувствовал тот challenge, который здесь присутствует. Позже мне предложили перейти на должность программиста в отдел разработки антивирусного ядра, а потом и возглавить его.

В сферу моих интересов кроме непосредственно вирусов/антивирусов по понятным причинам входит менеджмент. И данное направление сейчас начинает меня поглощать все больше и больше. Читаю литературу, хожу на семинары, стараюсь притворять какие-то идеи в жизнь.

Хотелось бы также узнать любимую музякальную группу, кинофильм, блюдо и хобби

Сейчас в наушниках играет Земфира. По дороге на работу слушаю аудиокниги или подкасты. Сейчас в плеере книга "Американские Боги" Нила Геймана, а до этого - "Идеальный руководитель" Ицхака Адизеса. Кстати, последняя книга просто взрывная. Советую всем. Фильмы практически не смотрю. Хобби - изучение английского языка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Over

Сергей! Вы, насколько я знаю, целеустремленный человек. Озвучьте, пожалуйста, Ваши цели на ближайший год:

- в профессиональной деятельности (карьере);

- вне работы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Сергей! Вы, насколько я знаю, целеустремленный человек. Озвучьте, пожалуйста, Ваши цели на ближайший год:

- в профессиональной деятельности (карьере);

- вне работы?

Это все-таки достаточно личные вопросы, чтобы их озвучивать в паблике. Сорри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей, а что в компании и вы лично думаете о перспективах облачных технологий в информационной безопасности в целом и в антивирусной отрасли в частности? Поясню. С одной стороны есть мнение, что это будущее. С другой стороны, что мода на это пройдет, как вариант под давлением таких технологий, как server side polymorphism. В пределе каждому юзеру может генериться свой уникальный сампл. Так что для облако все эти самплы будут "в серой зоне". Хотелось бы порассуждать о будущих технологиях защиты в этом ключе.

И немного смежная тема. Сейчас в день появляется порядка 30к новых самплов. Может быть еще больше. Когда будет тот предел, когда вендоры просто будут уже не состоянии обработать этот вал и возможна ли такая ситуация в принципе? Что вы предпринимаете в компании для того, чтобы автоматизировать массовый анализ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Сергей, а что в компании и вы лично думаете о перспективах облачных технологий в информационной безопасности в целом и в антивирусной отрасли в частности? Поясню. С одной стороны есть мнение, что это будущее. С другой стороны, что мода на это пройдет, как вариант под давлением таких технологий, как server side polymorphism. В пределе каждому юзеру может генериться свой уникальный сампл. Так что для облако все эти самплы будут "в серой зоне". Хотелось бы порассуждать о будущих технологиях защиты в этом ключе.

По моему мнению, облачные технологии в антивирусной защите имеют право на жизнь. Тем более, как показывают различные исследования (в том числе и на этом ресурсе), они дают вполне положительные результаты. Но...

1) действительно, количество вредоносов велико, а часть из них вообще уникальны;

2) использование облака в том виде, про который идет речь сейчас, практически невозможно в корпоративной среде (серьезная организация просто не позволит отправлять информацию (даже хэши) для проверки на сторону).

Потому:

1) сами по себе облачные технологии неинтересны, их необходимо совмещать с остальными технологиями антивирусной защиты;

2) облачные технологии должны решать не только задачу предотвращения заражения или детектирования заражения (а возможно и решать ее в меньшей степени), но и, к примеру, задачу увеличения скорости сканирования. Вполне себе возможно, что поиск чистого файла в облаке окажется быстрее проверки того же файла антивирусным движком. А если и не быстрее, то при этом будут тратиться ресурсы сервера, а не ресурсы пользовательского компьютера. Облако может решать задачу предотвращения последствий ложных срабатываний и т.д.;

3) использование облачных технологий антивирусной защиты в корпоративном секторе тоже возможно, но только при организации облака внутри сети.

Так что мода на них вряд ли пройдет, скорее они просто "отточатся" до чего-то удобоваримого и более массового.

И немного смежная тема. Сейчас в день появляется порядка 30к новых самплов. Может быть еще больше. Когда будет тот предел, когда вендоры просто будут уже не состоянии обработать этот вал и возможна ли такая ситуация в принципе? Что вы предпринимаете в компании для того, чтобы автоматизировать массовый анализ?

Я согласен с тем мнением, что рынок разработки malware уже достаточно насыщен, и потому не вижу предпосылок к тому, чтобы опять начался серьезный рост вредоносов.

Понятно, что сейчас без автоматизации данного процесса с существующим валом не справится ни одна антивирусная компания. И было бы наивно полагать, что все файлы смотрятся глазами вирусных аналитиков. Потому тут встает проблема не только нехватки людей, но и проблема постоянного обновления технической базы (сервера для обработки потока, сборки баз, тестирования на FP, хранилище чистых файлов, хранилище инфицированных файлов и т.д.) и реализации алгоритмов автоматизации перечисленных выше процессов.

Также хочется отметить еще одну важную составляющую данной проблемы – это нехватка вирусных аналитиков, с которой сейчас, по-видимому, сталкиваются все компании. В первую очередь это связано с недостаточным количеством знаний у выпускников ВУЗов. Это связано с тем, что в институтах перестали читать на должном уровне курс низкоуровневого программирования. И всем компаниям приходится бороться за кадры, самостоятельно их обучать, организовывая какие-то дополнительные курсы, приходя в институты и подыскивая людей прямо со школьной скамьи.

Собственно говоря, решение трех проблем - автоматизация, техническая база, вирусные аналитики - позволяют обеспечивать существующий уровень защиты.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Также хочется отметить еще одну важную составляющую данной проблемы – это нехватка вирусных аналитиков, с которой сейчас, по-видимому, сталкиваются все компании. В первую очередь это связано с недостаточным количеством знаний у выпускников ВУЗов. Это связано с тем, что в институтах перестали читать на должном уровне курс низкоуровневого программирования.

У вас читают такие курсы? Мне вот в СПбГУ не читали.

Прочитал ваши ответы и у меня родились еще вопрос(ы): какого рода автомат вы используете? Какие технологии используются для автоматического анализа вредоносного потока?

P.S. Я понимаю, что я спрашиваю некоторые внутренние вещи, но попробуйте оперировать публичной информацией которой все владеют, но не знают деталей :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
У вас читают такие курсы? Мне вот в СПбГУ не читали.

Я имел в виду ассемблер, архитектуру процессора и т.д. Это еще на каком-то уровне преподают. А программирование драйверов - не слышал, чтобы где-то обучали.

У нас хорошие технические специалисты получаются после факультетов радиофизики и прикладной математики БГУ.

Прочитал ваши ответы и у меня родились еще вопрос(ы): какого рода автомат вы используете? Какие технологии используются для автоматического анализа вредоносного потока?

P.S. Я понимаю, что я спрашиваю некоторые внутренние вещи, но попробуйте оперировать публичной информацией которой все владеют, но не знают деталей

Одна из таких технологии - MalwareScope. Технология предназначена для изучения семейств вредоносного кода и последующей подготовки записей специального типа. В каком-то смысле MalwareScope является аналогом всевозможных технологий типа .gen, .based, .origin и т.п. Также разработана и внедрена принципиально иная технология OScope, которая функционирует по иным, отличным от MalwareScope правилам, но также умеет строить записи для точного детектирования целых семейств вредоносных программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Artem Baranov

Сергей, а как у вас обстоят дела с x64 версией антируткита? Не секрет, что сейчас такой продукт стал как никогда актуален.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen
Сергей, а как у вас обстоят дела с x64 версией антируткита? Не секрет, что сейчас такой продукт стал как никогда актуален.

Пока, к сожалению, работы по x64 версии антируткита не ведутся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Спасибо комьюнити и порталу за вопросы и предоставленную возможность на них ответить, было интересно.

P.S. Извиняюсь, что не совсем полно ответил на "коммерческие вопросы", но это все таки не совсем из области моей компетенции.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Спасибо комьюнити и порталу за вопросы и предоставленную возможность на них ответить, было интересно.

Сергей, большое спасибо за интервью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

У меня вопрос есть!

Все в курсе о супер черве Stuxnet и приблизительное понятие его работы.

1. Возможно ли по такой же технологии сделать антивирусный продукт?Вирус попадает на комп и видит,что как бы антивируса нет и можно гадить,а антивирус на самом деле есть,но незаметен и тихо прибивает этот вирус,т.е. как бы для антивируса вреда никакого,а для вируса риск быть обнаруженным.

2. Планируется ли антивирус для домашних пользователей в бесплатном варианте?Многие компании так и делают,привлекая поьзователей.

3. Можно ли соорудить проактивку на подобие Stuxnet,чтобы вирус не смог мимо проактивки пройти?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

3TE116, интервью вообще-то давно закончилось ... Вопросы лучше задать эти здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×