Eugene Kasperskyの次の投稿では、Habrを喜ばせたいとお願いしています。
私たちのサービスは危険で困難です。 それも非常に難しいです ウイルス対策会社の複雑な作業をすべて理解することは、単なる人間にとって難しいことです。 そして、ああ、あなたはそれらについてどのように話したいのですか! できる限り、私たちはそれらを人間の言語に翻訳しようとします。 そして、この氷山の一角は、このサービスを説明する一連の図と事実です。
たとえば、ここにそのような奇妙なインフォグラフィックがあります:
ここにはもっと面白いインフォグラフィックがたくさんあります 。
しかし、最もよく聞かれる質問の1つは、 「毎日何個のウイルスを検出していますか?」です。
質問は実際には自明ではありませんが、何をすべきか-簡単な質問に対する簡単な答えが必要です。 そして最近まで、標準的な数-35千がありました。 そのようなもの。 平均。 マルウェアファミリ、ポリモーフィズム、ベクトルパターン、レコードなどに関する驚くべき詳細なし
しかし、数ヶ月という早い時期に、この答えの後に明確な質問がしばしば出されました。 一般的に、私たちはここで緊張し、数え、and然としました。 その結果、更新が登場しました: 70千 。 毎日。 うん。
繰り返しになりますが、私は詳細には触れません(誰かが興味を持っているなら-コメントで尋ねてください)。 毎日7万個のサンプルをシャベルで処理する方法を教えてください。
まあ、多くの人々は私たちの家族のお守りがキツツキであることを知っています。 そして、十分な理由があります。 古き良き時代、私たちのvirlabはそのように働きました。 ベルトコンベアのように-ウイルスは座って「空洞」になりました。 ちなみに、非常に複雑で退屈で尊敬される職業です! そして、私も長年キツツキをやっています!
ただし、時間は長い間同じではありません。 そして、現在の流れでは、「クソ」は単純に非現実的で、経済的に非効率的で、単なる愚かであることは明らかです。 私たちは何年も前から戦闘任務を続けてきました... 自動キツツキ ! 人的要因は、最も知的な仕事のみを取得します-最も複雑なサンプルを分解し、ボットネットを調査し、自動キツツキがクラッシュしないことを保証し、そしてもちろん、あらゆる方法でそれらを訓練し、開発します。
一般に、分析のために変種のサンプルを取得するいくつかのソースがあります: 自走式車両(特別なトラップに「固執」)、 送信 (ユーザーが送信)、他のウイルス対策会社とコレクションを交換 、およびクラウドサービスKSN( ビデオ 、 詳細 )。 さらに、ユーザー保護への貢献という点では、後者のソースが今や主導的な地位を占めています。 KSNの例を以下に示し、malvariの処理の自動化がどのように機能するかを確認します。
KSNに参加しているコンピューター(現在は5,000万を超えるコンピューターがあります )が統計を送信します(非パーソナライズ!)製品の動作についてクラウドに送信します。 トラップされたマルウェアと感染したサイトに関する情報、および新しいマルウェアを検出するための多くの有用な情報(たとえば、疑わしいプログラムの動作、ダウンロードされたファイルのハッシュなど)があります。
ここで、たとえば、ユーザーは以前に未知のファイルを起動します。 ローカルのウイルス対策ソフトウェアは、利用可能なすべてのツールできれいにスキャンします。 クラウドに尋ねます-データはありません。 OK-打ち上げの準備をします。 そして、彼はどういうわけかレジストリに自分自身を登録し、システムサービスにアクセスしようとし、疑わしい接続を確立し、二重拡張子(jpg.exe)などを持っていることがわかりました。 信号はKSNに到着し、システムはファイルのレピュテーション(すべての属性とアクションの重み)を自動的に計算し、検出に関する決定を行います。 その結果、「fas」コマンドが保護されたコンピューターに送信され、ファイルがブロックされ、そのアクションがロールバックされます。 もちろん、異なるコンピューターからの同じファイルに関するメッセージが多いほど、処理の優先度が高くなり、判定の精度と重要度が高くなります。 そのようなファイルがKSNに接続されている他のコンピューターに表示される場合、彼らはすぐにそれが危険であり、実験する必要がないと言います。
別の例。
複数のユーザーが同じリンクでファイルをダウンロードしました。 ただし、ファイルのハッシュが異なるたびに。 ポリモーフィズムの匂いがします! KSNはケースのスピンアップを開始し、たとえば、サイトがほんの数日前に登録された、一部のiframeがハングしていた、または以前に感染したファイルが送信されたことを確認します(多くの異なる兆候があります)。 また、クラウドはレピュテーションを計算し、ファイル自体とサイトへのアクセスの両方をブロックするコマンドを送信します。
重要:このアプローチのおかげで、探偵と評決の間で平均してわずか40秒しかかかりません!
しかし、これはキツツキの仕事の終わりではありません。
別のシステムがすでにネットワークから同じ疑わしいファイルをダウンロードし、分析のために自動プロセッサに転送しています。 一般に、あらゆる種類の特許技術と未特許技術の全体が存在するため、これ以上深く掘り下げることはしません。 このハンドラーは、誰もが使い慣れた更新プログラムを開発およびテストし、ダウンロード用にサーバーに配置します。
そのようなもの。 約8年前、うらやましい競合他社が喜んでいたことを覚えていますが、このような小さなリソースでこのような巨大な作業をどのように実行できますか? しかし、自動化! そして、有能な自動化のみがこの狂ったような変種のストリームに対処できます! ところで、仕事の範囲は絶えず拡大し、深まっていますが、virlabの従業員の数は現在1年間変化していません。
これは論理的な問題を提起します。 しかし、小さなアンチウイルス企業はどのように生き残りますか? 良いvirlabを維持することはお金の問題だけでなく、脳の問題でもあることが知られています。 彼らは、R&Dにほとんどお金を使わずに、どこにいるのでしょうか?
痛いトピック。
アンチウイルス業界での数年間、「検出」の自然な窃盗が盛んになりました 。 マルバラを分析し、専門知識を開発し、新しい技術を発明する代わりに、一部の企業(およびこれらの「一部」は約12個あります!)は、他の企業の結果を単にスパイし、データベースにハッシュ検出を追加します。 これらは、実際の条件での保護レベルを反映しない無能なテストによって支援されます。 その結果、最高のソフトウェアが忍び寄るわけではなく、インストールの数が増え、セキュリティの全体的なレベルが低下しています。 正直な会社は研究への動機を失い、研究開発への投資は減少していますが、泥棒の売り上げは伸びており、サイバー悪党は喜んでいます。
さて、これは別の話のトピックです。