Сергей Солдатов, «Лаборатория Касперского»: Угрозой надо управлять наиболее дешевым и надежным методом

Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, «Лаборатория Касперского», и автор блога «Солдатов в Телеграм», рассказал порталу Cyber Media о том, что собой представляет современный антивирус, как AV эволюционировал в EPP и как изменились угрозы, которым противостоит этот класс решений.

Cyber Media: В комьюнити периодически вспыхивает дискуссия относительно необходимости антивирусов. На ваш взгляд, чем она вызвана?

Сергей Солдатов: Я вижу этому много объяснений, но все они исходят либо из непонимания что такое современный «антивирус», либо представляют собой попытки манипуляции общественным мнением. Начнем с того, что под «антивирусом» не все понимают одно и то же, и авторы утверждений о ненужности антивируса как раз застряли в логике двадцати-тридцатилетней давности, что «антивирус» защищает только от «вирусов», а «вирусы» – это файлы.

Нужно понимать, что производители антивирусных решений – это прежде всего исследовательские центры, сталкивающиеся с угрозами и разрабатывающие технологии их обнаружения и предотвращения (я предпочитаю использовать не слишком популярный термин «управление угрозами», вкладывая в него весь комплекс мероприятий по работе с угрозой – поиск, обнаружение, блокировка, предотвращение, устранение последствий и т.п., применительно к «антивирусу» из этого множества действий мы будем понимать те, которые могут быть выполнены на конечной точке в полностью автоматическом режиме). Производитель защитных решений постоянно стремится предложить наиболее эффективные, а, где есть возможность предсказать, – проактивные, но, вместе с тем, и наиболее простые, а, следовательно, надежные механизмы управления угрозами. Поскольку разработка любого механизма защиты – это ресурсные инвестиции, а характер угроз постоянно меняется, мы получаем своеобразную гонку, когда под влиянием развития технологий управления угрозами усложняются атаки, что, в свою очередь, приводит к новому витку совершенствования технологий защитных решений. Когда-то давно угрозы были файлами-«вирусами», поэтому технологии управления такими угрозами представляли собой «файловые антивирусы».

С годами техники и процедуры атакующих развивались, причем чем эффективнее мы с ними боролись, тем быстрее прогрессировали методы проведения атак. Однако, будучи широко представленными на рынке, производители средств антивирусной защиты всегда являются первыми, кто сталкивается с новыми механизмами атак. И, как и прежде, исследовательские центры антивирусных вендоров предлагают своим пользователям новые технологии управления угрозами, отвечающие новым тактикам и техникам проведения атак.

Поэтому заявления о том, что антивирусные вендоры застряли где-то в прошлом, по меньшей мере невежественны – все это не более чем манипулятивные техники с целью отстроиться, поскольку очень непросто сделать хорошее решение для защиты конечных точек (Gartner какое-то время назад придумал термин Endpoint Protection Platform, EPP – мне он нравится больше, так как лучше отражает действительность, чем архаичная аббревиатура AV), но можно попробовать сделать что-то, и с помощью манипулятивных техник попытаться доказать, что это лучше.

Конечно же для качественной защиты от современных атак недостаточно исключительно файлового антивируса, но таких решений, исключительно с этим функционалом, уже давно нет. «Файловый антивирус» – это одна из технологий управления угрозами в составе современного решения для защиты конечных точек, как минимум, потому что никогда не стоит стрелять из пушки по воробьям, и угрозой надо управлять наиболее дешевым и надежным методом. Поэтому если устранение угрозы заключается в удалении файла – файловый антивирус с этим прекрасно справится, а для более сложных угроз будут работать более современные механизмы.

Cyber Media: На сегодняшний день, если мы говорим строго про класс решений для защиты конечных точек, что у них «под капотом»?

Сергей Солдатов: Современная платформа для защиты конечных точек – это совокупность множества технологий, позволяющих управлять угрозой во всех ее проявлениях с применением различных подходов: детектирующая логика реализована и в самом движке на конечной точке и в облаке, обнаружение производится и на базе используемых вредоносных объектов (файлы, IP-адреса, URL, объекты в памяти, объекты операционной системы) и по поведению (актуальный пример – блокировка бесфайловых атак).

Говоря о системе защиты конечных точек я обычно понимаю систему, которая может управлять угрозой полностью в автоматическом режиме. Т.е. если технически возможно атаку эффективно и результативно отработать без вовлечения человека – это задача для ЕРР, а уже исследовательские центры разработают необходимый набор технологий. С учетом сказанного в моем понимании нет разницы между современным EPP и «полностью автоматическим EDR» или любого другого Next-Gen, поскольку любая задача, которая может быть решена полностью автоматически должна быть решена в рамках системы защиты конечных точек.

Для высокого качества обнаружения крайне важна база Threat intelligence (более-менее подходящий русскоязычный термин – «данные об угрозах», я его использую как синоним TI). TI никогда не бывает лишним, поэтому чем большим объемом данных об угрозах мы располагаем, тем шире наши возможности по управлению угрозами. Кроме того, без TI невозможно никакое развитие технологий защиты, и даже больше, без TI невозможно никакое исследование угроз вообще.

Cyber Media: Возможности по модификации вредоносного ПО растут. На сегодняшний день этот процесс можно даже автоматизировать. Как разработчики антивирусов противостоят этой угрозе и насколько это эффективно?

Сергей Солдатов: Быстрый ответ на ваш вопрос – использование различных подходов к управлению угрозами, когда обнаружение на основе используемых атакующими инструментов дополняется поведенческим анализом, а тактики и техники уже непросто скрыть, поскольку атакующему так или иначе придется как-то закрепляться, получать доступ к аутентификационным данным, перемещаться горизонтально по сети и т.п.

Для любого выявленного сценария угрозы всегда используется «круговое» обнаружение, т.е. на одну и ту же реализацию техники атаки разрабатывается множество различных подходов к управлению, обязательно с использованием различных технологий, вплоть до подключения аналитика угроз. Такой подход значительно снижает вероятность пропуска в моменте, а если атака все-таки отработала на каком-либо хосте, телеметрия с него будет передана в облако и обработана уже более продвинутыми алгоритмами, а автоматически созданные правила защитят других от схожих угроз.

Cyber Media: Одна из причин, по которым нейросети сложно применять в антивирусах: это риски избыточных falsepositive-событий, которые помешают работе пользователей. На ваш взгляд, есть ли у этой проблемы решения и нужны ли нейросети в антивирусных программах.

Сергей Солдатов: Так часто упоминаемое сейчас машинное обучение и искусственный интеллект уже давно являются технологиями в составе современного ЕРР, это не хайп, не модное словосочетание, это – обычная работа. Благодаря этому, например, применительно к файловым угрозам, уже давно есть возможность блокировать файлы, которых нет в коллекции, а следовательно, для них нет точной сигнатуры. Вы абсолютно правильно отметили, что ЕРР имеет понятные ограничения, вытекающие из требования к полностью автоматической работе – недопустимость ошибки. С точки зрения управления угрозами это возможно сделать для полностью автоматических атак. Проблемы наступают тогда, когда к атаке подключается человек, который может быстро адаптироваться, быстро менять техники и инструменты в процессе своих попыток реализации атаки.

Нейросеть – это один из вариантов реализации машинного обучения, поэтому общие ограничения в работе моделей машинного обучения здесь также не обойти. Для обучения модели нам нужна обучающая выборка, на которой модель настроит свои параметры работы. Далее уже на реальных данных модель будет пытаться применить полученный «опыт» и, если бы будущее ничем не отличалось от прошлого, модель работала бы безошибочно. Но будущее никогда не повторяет в точности прошлое, тем более, в случае атаки с активным участием человека, с его безграничными возможностями к импровизации и адаптации.

Решение здесь очевидно и давно используется – разбиение атаки на техники и процедуры и обнаружение все тех же ТТР и их популярных комбинаций. Машинное обучение, глубокое обучение и нейросети – это все инструменты для решения задач управления угрозами. Как не бывает лишних знаний или лишних возможностей, так и машинное обучение, конечно же, не является лишним, но и не стоит о нем думать как о волшебном решении всех проблем – это просто один из технологических подходов в арсенале исследователей угроз, разрабатывающих механизмы управления угрозами.

Cyber Media: Современный антивирус – это целая экосистема продуктов. На ваш взгляд, как будут развиваться решения для защиты конечных точек в среднесрочной перспективе?

Сергей Солдатов: Как я отмечал выше, все сценарии атак, которые технически можно с вероятностью близкой к 100% корректно обнаружить полностью автоматически, будут автоматически обезвреживаться в рамках EPP. И в среднесрочной, и в долгосрочной перспективе упор будет на автоматизацию управления угрозами, будут пополняться базы автоматически классифицируемых техник и процедур, соответствующим образом расширяться спектр технологий для эффективного и результативного предотвращения выявленных атак в полностью автоматическом режиме. При этом, ввиду бесконечной адаптивности атакующих, потребность в исследовании и проактивном поиске угроз не пропадет, поэтому развитие телеметрии для нужд команд SOC и исследователей угроз также продолжит оставаться значимым направлением разработки производителей ЕРР.