Наше сегодняшнее интервью с Рихардом Цвиненбергом (разработчиком одного из первых в мире антивирусов), который в мире ИТ-безопасности уже с конца 80-х годов, а начал «играть» с компьютерами еще в 70-х годах прошлого века.
Луис Корронс (Л.К.): В начале компьютерные вирусы были почти как миф. Однако со временем компьютерные атаки стали реальностью, и они значительно эволюционировали вместе с решениями безопасности. Насколько правильно мы все делаем? Похоже, что сегодня наблюдается намного больше атак, чем когда-либо ранее…
Рихард Цвиненберг (Р.Ц.): Очевидно, что атак стало больше, чем раньше. В самом начале наличие компьютера было в диковинку, вдобавок к этому, базовая операционная система была весьма разнообразна. В наши дни почти каждый человек имеет один или несколько компьютеров или устройств. Чем больше устройств, тем более интересные векторы атак (у кибер-преступников больше шансов на успех). Раз сейчас больше людей используют компьютеры, то автоматически стало больше людей, которые воспользуются этим в каких-то вредоносных целях. Это неизбежно. Как и в бизнесе, где есть возможности, там появляются предприниматели, так и в кибер-преступности: если можно воспользоваться какими-то уязвимостями, то кто-нибудь это сделает.
За ростом и развитием операционной системы следуют и решения безопасности. На самом деле, даже не только решения безопасности, но и также общие представления людей о безопасности. Возможно, банковские трояны и шифровальщики стали полезны для того, чтобы повысить осведомленность людей.
Л.К.: Вы разработали свой первый антивирус в 1988 году. Тогда количество вирусов, которые требовалось обнаруживать, было ничтожно малым, несмотря на то, что уже тогда они использовали некоторые действительно сложные техники. Учитывая развитие компьютерных угроз, есть ли у кого-то сегодня возможность самому разработать эффективное решение безопасности?
Р.Ц.: Почему бы и нет? Все, что Вам необходимо, — это хорошая (новая) идея и ее внедрение. Это может быть Святой Грааль эвристики и проактивная блокировка полностью нового типа угроз, или даже нескольких угроз. С этого же самого в конце 80-х годов начали и современные антивредоносные продукты. Конечно, в наши дни решения, которое будет бороться с чем-то одним, уже недостаточно, поскольку потребители ожидают получить многоуровневое решение с полноценными функциями защиты, и огромное количество ежедневно появляющихся новых вредоносных программ делает невозможным развивать его только своими силами. Поэтому представляется более разумным, если Вы продадите Вашу технологию более крупной компании, либо станете нишевым игроком на рынке решений «второго мнения». Но… ничего плохого нет!
Л.К.: Вы работали в проектах, которые сотрудничали с правительственными органами, учреждениями и компаниями. По Вашему мнению, кто должен быть более заинтересован в совершенствовании своих знаний об ИТ-безопасности? Правительства? Компании? Общественные организации?
Р.Ц.: К сожалению, все вышеперечисленные. Образование и Осведомленность – здесь это ключевые моменты. Новые угрозы появляются постоянно, и Вам необходимо знать о них, чтобы защищать себя. Или, по крайней мере, быть способным проверить, защищает ли Вас от них Ваш производитель решения безопасности.
Правительства пытаются сделать так, чтобы все люди использовали цифровые системы, при этом гарантировать их конфиденциальность, но что они могут? Они говорят, что делают это, но потом, даже на таких крупных общественных событиях как выборы Президента США в 2016 году, где должны быть приняты все меры безопасности, всплыли недочеты в безопасности.
В приведенном выше примере, официальный сайт ныне избранного Дональда Трампа допускал использование произвольного URL для показа заголовка над архивом новостей. Это может быть использовано для забавной шутки, но скорее всего это может использоваться в тех случаях, когда такой произвольный URL дополнен, например, каким-то скриптом.
Л.К.: Вы сотрудничали с правоохранительными органами для расследования многочисленных случаев киберпреступлений. По Вашему мнению, готовы ли правоохранительные органы бороться с киберпреступностью? Достаточно ли у них ресурсов?
Р.Ц.: Они хорошо подготовлены и в большинстве случаев имеют достаточно ресурсов для борьбы с киберпреступностью. Вы будете удивлены тому, что они знают на самом деле и что могут сделать. Но что, как правило, является проблемой, так это международные законы. Киберпреступность не имеет границ, но мы застряли с национальными законами, которые не способствуют борьбе с ней. Кроме того, киберпреступность является цифровой, и она стремительна. Слишком много законов препятствует осуществлению незамедлительных действий. Политики должны наверстать упущенное с помощью более адекватных законов, чтобы «идти в ногу со временем» и не тратить годы на разработку требуемых мер против современных угроз. Все это должно позволить правоохранительным органам полностью в соответствии с законом действовать против киберпреступности, а не иметь в итоге ситуации, когда дело рассыпается в суде из-за устаревшего законодательства.
Л.К.: Достигли ли мы надлежащего уровня взаимодействия между правоохранительными органами и экспертами/производителями решений безопасности, или Вы думаете, что еще есть, что совершенствовать?
Р.Ц.: Возможности для совершенствования есть всегда. Но правоохранительные органы и частный бизнес уже работают вместе (хотя, как уже говорилось, этому не сильно способствуют местные законы). Кстати, по инициативе правоохранительных органов готовятся к запуску некоторые новые направления сотрудничества. Это ясно показывает, что работая вместе, будет намного проще достичь общей цели: «загнать в угол» киберпреступников и уничтожить убежища для них.
Л.К.: Атаки шифровальщиков могут иметь катастрофические последствия для домашних пользователей, сотрудников предприятий и самих компаний в целом. Стоимость восстановления после таких инцидентов безопасности может быть достаточно высокой для предприятий. Впрочем, что Вы думаете о тех расходах, с которыми компании должны столкнуться при предотвращении таких атак?
Р.Ц.: Они должны рассматриваться как превентивная мера, что-то вроде страховки. Вы тратите деньги на замок для Вашей двери, хотя дверь и так может быть закрыта, правильно? И когда Вы сравните стоимость профилактических мер с размером ущерба от шифровальщиков (простои в работе, потерянное время, проверка и очистка всей сети, т.к. Вы не знаете, возможно, где-то остались исполняемые файлы украденных данных в открытом доступе или установлен backdoor и т.д., негативный PR и пр.), то Вы увидите, что это не так дорого. Осведомленность (и, следовательно, правильное образование) – это ключевой момент для всех людей, чтобы понимать, что ранее оповещение о подозрительной активности может сэкономить для компании большие деньги. В этом случае ущерб от оповещения о подозрительной активности, которой на самом деле нет, нивелируется размером сэкономленных денег благодаря оповещению о подозрительной активности, которая на самом деле оказалась реальной угрозой.
Л.К.: Рихард, Вы работаете с AMTSO (Anti-Malware Testing Standards Organization) с момента ее создания. За это время у Вас была возможность работать на различных позициях внутри организации: CEO, CTO, а теперь Вы – член Правления. Какое влияние имеет AMTSO на сферу тестирования решений безопасности? Как это сказалось?
Р.Ц.: В моем восприятии AMTSO оказало серьезное влияние на сферу тестирования решений безопасности в мире. Да, конечно, вначале это была борьба, были допущены ошибки, но теперь, после устранения организационных недостатков, AMTSO составило Принципы и Рекомендации, адаптированные для тестеров и производителей, что позволяет обеспечивать проведение тестирований справедливо и адекватно. Также бросается в глаза, что и другие организации сейчас рекомендуют AMTSO и «совместимые» с AMTSO тесты или сертификацию продукта тестером в соответствии с Принципами и Рекомендациями AMTSO.
Л.К.: С какими вызовами столкнется AMTSO в ближайшем будущем?
Р.Ц.: AMTSO растет, и она превращает Принципы и Рекомендации в реальные стандартные документы. Это деликатная процедура, но когда она будет завершена и правильно выполнена, будет сделан большой шаг вперед. AMTSO привлекает в свои ряды все больше участников из различных отраслей, а также в ней есть компании из одних и тех же отраслей, но их мотивации и способы мышления отличаются от тех, что были установлены в данной отрасли ранее, в ней есть старые и молодые компании – все вместе они продолжают расширять AMTSO и вместе идти к достижению поставленных перед AMTSO целей. Вот это и будет вызовом. Но я уверен, что новое руководство будет способно справиться с ним.
Автор статьи: Луис Корронс (антивирусная лаборатория PandaLabs)
ссылка на оригинал статьи https://habrahabr.ru/post/316952/
Добавить комментарий