Cel uświęca środki, czyli Hello Kitty w antywirusowej służbie
CRN Polska rozmawia z Raimundem Genesem, Chief Technology Officerem w Trend Micro
CRN Czy antywirus rzeczywiście jest
martwy, jak twierdzą niektórzy?
Raimund Genes Tego określenia publicznie w maju 2014 r. użył Brian Dye, jeden z
wiceprezesów firmy Symantec. Miesiąc później… już w niej nie pracował. Z tak
sformułowaną opinią branża nie zgadza się w zupełności, ale oczywiście trzeba
przyznać, że dziś antywirusy nie są już tak efektywne w działaniu jak jeszcze
dekadę temu, dlatego trzeba uzupełniać je dodatkowymi rozwiązaniami ochronnymi.
Antywirus jest jak zamek w drzwiach – wszyscy go mają, chociaż złodziej
przecież może też wejść oknem. Ale dlaczego ułatwiać mu zadanie? Takie
oprogramowanie dziś nadal jest potrzebne, bo filtruje mnóstwo docierających do
użytkowników śmieci – zarówno tych groźnych, jak i nieszkodliwych.
CRN Czy są one rzeczywiście aż tak
niebezpieczne?
Raimund Genes Część z nich zdecydowanie tak. Zresztą to jest tylko wycinek problemu. Gdy
nie będziemy ich odsiewać w sposób automatyczny, stracimy czujność i możliwość
odpowiednio wczesnego zwracania uwagi na rzeczy naprawdę ważne. Dlatego zarówno
my, jak i nasza szanowna konkurencja zdecydowaliśmy w pewnym momencie o znacznym
rozbudowaniu tradycyjnego sygnaturowego antywirusa o dodatkowe funkcje. Już od
kilku lat bardziej właściwą nazwą dla tego typu oprogramowania jest pakiet
narzędzi do ochrony stacji roboczych, urządzeń mobilnych czy serwerów. To
rozróżnienie też jest istotne, bo administrator musi mieć możliwość
zdefiniowania różnego stopnia wrażliwości oprogramowania ochronnego na różnego
typu urządzeniach, w zależności od ilości i poziomu poufności przechowywanych
na nich danych.
CRN W krajach, gdzie klienci dużą wagę
przywiązują do ceny, bezsprzecznie w statystykach wygrywają bezpłatne pakiety
takich firm jak Microsoft czy Avast. Czy ich użytkownicy wystawiają się na
jakieś dodatkowe ryzyko?
Raimund Genes To są dobre rozwiązania, ale tylko dla użytkowników prywatnych, ewentualnie
bardzo małych firm. Większym przedsiębiorstwom nie zapewnią odpowiedniej
funkcjonalności, wydajności czy możliwości zarządzania agentami zainstalowanymi
na wielu stacjach roboczych i innych urządzeniach. Z wykorzystaniem bezpłatnego
oprogramowania praktycznie niemożliwe jest stosowanie przyjętych reguł polityki
bezpieczeństwa, szczególnie gdy zasoby firmowe zintegrowane są np. z
infrastrukturą w chmurze publicznej. Użytkownicy takich rozwiązań nie mają też
dostępu do działów wsparcia producentów, a – proszę mi wierzyć –
administratorzy w większych przedsiębiorstwach korzystają z tej formy
konsultacji dość często.
CRN Czy jednak wzrost popularności
bezpłatnych rozwiązań, połączony z wysypem start-upów, które chcą spróbować
swoich sił na tym rynku, nie zagraża przyszłości firm obecnych na nim od
kilkunastu czy nawet kilkudziesięciu lat?
Raimund Genes Nie wydaje mi się. Rzeczywiście, liczba start-upów, które mają ciekawe
rozwiązania, dość szybko rośnie. Ale równie szybko te, które są warte dużego
zainteresowania, są kupowane przez nas lub naszą konkurencję. Co więcej, wiele
z nich powstaje tylko po to, aby po uzyskaniu odpowiedniej dojrzałości produktu
albo opatentowaniu jakiegoś mechanizmu wykrywania lub usuwania złośliwego kodu,
być kupionymi. Natomiast w środowisku produkcyjnym w przedsiębiorstwach
rozwiązania stworzone przez start-upy można spotkać bardzo rzadko. Większość z
nich oferuje produkty we wczesnych wersjach i nie wiadomo, jak długo trwały ich
testy – często to właśnie pierwsi klienci stanowią poligon doświadczalny. Żeby
zagwarantować sobie całkowitą pewność, trzeba byłoby równolegle używać takiego
systemu wraz z klasycznym, znanym i przetestowanym oprogramowaniem antymalware.
A to z kolei może generować dodatkowe problemy, konflikty czy fałszywe alarmy.
CRN Niemniej ci tradycyjni dostawcy
oprogramowania antywirusowego muszą się czymś wyróżniać na rynku, tym bardziej że użytkownicy coraz częściej twierdzą, iż takich rozwiązań nie potrzebują…
Raimund Genes Akurat Trend Micro może być tu ciekawym przykładem. W Europie skupiamy się
głównie na rynku korporacyjnym, gdzie wątpliwości odnośnie konieczności
korzystania z takiego oprogramowania nie ma. Ale już w Japonii, gdzie znajduje
się centrala naszej firmy, mamy pozycję numer jeden na rynku konsumenckim. Przy
czym konieczne było dobre rozpoznanie, w jaki sposób dotrzeć do świadomości
konsumentów, którzy tam także powoli przestawali korzystać z antywirusów, a na
urządzeniach mobilnych nie mieli ich w ogóle. Nasz dział marketingu zdecydował
się na wprowadzenie w pełni funkcjonalnej wersji dla smartfonów i tabletów, ale
z… pięknym różowym interfejsem Hello Kitty! Produkt do dziś sprzedaje się jak
ciepłe bułeczki.
CRN Jako taki wyróżnik firmy coraz
bardziej próbują „osadzić” swoją działalność w chmurze. Część z nich realizuje
tam cały proces analizy antywirusowej. Czy ten trend ma szansę utrzymać się w
przyszłości?
Raimund Genes Moim zdaniem to zawsze będzie hybryda, szczególnie w obszarze rozwiązań dla
przedsiębiorstw. Eksperyment z przeniesieniem wszystkiego do chmury może udać
się w USA, bo amerykańskie firmy nie mają w zwyczaju myśleć o ochronie danych i
prywatności. Natomiast w Europie jest znacznie większa wrażliwość w tym
zakresie, a także obowiązuje inne prawo. Dlatego klientowi trzeba zapewnić
możliwość wyboru. My z chmury korzystamy już od 2005 r., umieściliśmy tam
mechanizm do oceny reputacji stron internetowych, serwerów e-mail itp. Dzisiaj
dziennie serwery te obsługują 12 miliardów zapytań. Ale mamy też klientów,
którzy nie chcą korzystać z tego mechanizmu, bo nie chcą abyśmy znali
odwiedzane przez nich adresy URL poddawane weryfikacji. Takim firmom
dostarczamy rozwiązanie zawierające silnik korelacyjny i bazę danych, ale
instalowane w ich centrum danych. Jedyną wadą takiego rozwiązania jest to, że
aktualność reputacyjnej bazy danych jest opóźniona o ok. 15 minut względem tej
dostępnej w chmurze.
CRN Wśród ekspertów do sprawa bezpieczeństwa
coraz większy niepokój budzą ataki APT, których mechanizm często bazuje na
inżynierii społecznej. Czy rzeczywiście jest to taki problem?
Raimund Genes W większości przypadków to nie są skomplikowane ataki APT, a zwykłe ataki
ukierunkowane. I rzeczywiście, bazują one głównie na, mówiąc kolokwialnie, nie
zawsze rozsądnym zachowaniu użytkowników. Do przeprowadzenia takiego ataku nie
zawsze trzeba znać luki zero-day, aby zainfekować komputer – taka metoda jest
wykorzystywana tylko wtedy, gdy wszystkie inne zawiodą. W normalny sposób atak
przeprowadzany jest w dwóch fazach. W pierwszej zadaniem jest zdobycie jak
największej ilości informacji o komputerze, w tym przede wszystkim nazwy i
wersji systemu operacyjnego oraz przeglądarki internetowej. Dzięki temu można
sprawdzić, jakie znane luki ma to oprogramowanie i w drugiej fazie, korzystając
z dostępnych na czarnym rynku narzędzi, można przygotować unikalnego trojana
dokładnie dla tej wersji oprogramowania. Natomiast to nie jest atak APT, bo ten
z reguły bazuje na długotrwałej inwigilacji środowiska atakowanego, często z
zastosowaniem indywidualnie napisanego do tego celu oprogramowania
wykorzystującego wspomniane już luki zero-day. To bardzo kosztowna operacja i
najczęściej sponsorowana przez rządy różnych krajów.
CRN Czy w ogóle można ochronić się przed
takimi atakami?
Raimund Genes Dobry programista będzie w stanie zabezpieczyć tak stworzone oprogramowanie
przed jego wykryciem w tradycyjny sposób. Ale nie będzie w stanie zakamuflować
pewnych modeli komunikacyjnych, które są uniwersalne dla ataków typu APT.
Zainfekowany komputer musi komunikować się z centrum Command&Control i,
nawet jeśli taki serwer C&C został ustanowiony tylko na potrzeby tego
jednego ataku, przy odpowiedniej analizie przesyłanych pakietów można wykryć,
że mamy do czynienia z tego typu komunikacją.
CRN Całą sytuację utrudnia fakt, że
użytkownicy są bardzo odporni na wiedzę. Co gorsza, coraz częściej, szczególnie
u tych młodszych, występuje też klasyczna ignorancja…
Raimund Genes Niestety, tak jest na całym świecie. Według naszych obserwacji zjawisko
to staje się dość powszechne. Niektórych po prostu nic nie obchodzi i nie bardzo
wiadomo, co z tym zrobić i jak ich przekonać do zmiany nastawienia. Oczywiście jest
to trudne tylko do momentu, gdy nie padną ofiarą ataku, nie zostaną im
ukradzione pieniądze lub tożsamość. Ale wielu z nich może w ogóle nie
zorientować się, że są ofiarą ataku. Konkurencja może mieć stały dostęp do ich
plików i np. w postępowaniach przetargowych za każdym razem składać
korzystniejszą o 5 proc. ofertę. Dlatego właściwa profilaktyka jest dziś tak
bardzo ważna.
Podobne wywiady i felietony
Elektroniczna dokumentacja medyczna – nie opłaca się czekać
Mimo że dopiero za niecałe dwa lata wszystkie podmioty medyczne będą musiały prowadzić dokumentację w postaci elektronicznej, czasu nie ma zbyt dużo. Ci klienci, którzy na poważnie nie zaczęli swojej „przygody” z IT, mają bardzo dużo do nadrobienia. Ci, którzy w pewnym stopniu już się zinformatyzowali, powinni skupić się na przeglądzie infrastruktury oraz jej rozbudowie i zapewnieniu skalowalności. O wyzwaniach związanych ze sprzedażą rozwiązań IT placówkom ochrony zdrowia rozmawialiśmy z uczestnikami Okrągłego Stołu CRN Polska.
Alfabet trendów na Nowy Rok (cz. 2)
Tym razem przyglądam się technologiom, które w 2013 roku będą udawały sięna zasłużoną emeryturę lub usadowią się w niszach rynkowych.
Co się liczy w bezpieczeństwie?
CRN Polska rozmawia z Arturem Bałutą, channel account managerem Trend Micro, o oprogramowaniu do ochrony środowisk wirtualnych oraz o wzmocnieniu działań w sektorach SOHO i konsumenckim.