«Лаборатория Касперского»: в мире вирусов и антивирусов

1 сентябрь, 2009 - 10:23Андрей Дегелер

Проблема ИТ-безопасности, возникшая практически сразу после появления персональных компьютеров, с годами становится все более актуальной. С количеством вредоносного ПО растут штаты антивирусных компаний — форпостов борьбы с киберпреступностью. Недавно мы побывали в офисе одного из крупнейших производителей антивирусов — «Лаборатории Касперского» — и узнали, чем сегодня живет индустрия.

«Лаборатория Касперского» в мире вирусов и антивирусов
Сергей Земков: «Благодаря самофинансированию "Лаборатория Касперского" легче других переживает экономический кризис»

«Лаборатория Касперского» была основана в 1997 г. По состоянию на начало августа в ее 20 офисах, расположенных по всему миру, работали более 1500 человек. Как рассказал управляющий директор в России и странах Закавказья Сергей Земков во вводной презентации, посвященной текущему положению компании, по итогам 2008 г. ее доля на российском рынке антивирусной и контентной фильтрации составила 45%, на мировом – 4%, а на украинском – 47,6%. Количество пользователей разработанных приложений – около 250 млн.

Также Сергей Земков подчеркнул, что компания является полностью самофинансируемой, а ее акции распределены между 10 акционерами. Несмотря на то что главный и «домашний» рынок для «Лаборатории Касперского» Россия и СНГ, наибольший объем продаж генерирует Западная Европа: на ее долю приходится 50%, тогда как регион EEMEA (Восточная Европа, Ближний Восток, Африка) занимает второе место с показателем 25%. Основной канал сбыта антивирусной продукции – розница, обеспечивающая чуть менее половины реализации, за ней следуют корпоративные продажи (33%) и онлайн-торговля (22%). Последнее направление наиболее активно развивается в Западной Европе и США, в то время как доля этого канала в СНГ остается весьма невысокой.

В московской штаб-квартире лаборатории, занимающей три этажа бизнес-центра Science & Technology Park, количество сотрудников составляет 1001 человек. Из них 49 – вирусные аналитики, называемые внутри компании «дятлами», – занимаются непосредственно анализом кода и добавлением нового вредоносного ПО в базы данных. Работа подразделения ведется в режиме 24/7. Интересно, что на долю аналитиков-людей приходится лишь небольшая часть обрабатываемого вредоносного кода: с несложными задачами вполне справляется робот Aybo (сокращение от Aybolit), который и выпускает около 85–90% обновлений сигнатур.

Quo vadis?

«Лаборатория Касперского» в мире вирусов и антивирусов
Виталий Камлюк: «Основные виды вредоносного ПО на сегодня — спамботы и поддельные антивирусы»

После презентации компании в штаб-квартире «Лаборатории Касперского» прошел круглый стол «Компьютерное зловредство 2009», в рамках которого антивирусные эксперты рассказали об основных тенденциях развития вредоносного ПО в России и СНГ. Наиболее серьезной угрозой в мировом масштабе в этом году был и остается управляемый «ботнет» (сеть из зараженных компьютеров), расширяющийся с помощью «червя» Kido. По информации аналитиков, на сегодня количество зараженных ПК составляет около 5–6 млн. В целях борьбы с Kido была создана рабочая группа, куда вошли представители антивирусных компаний, государственных органов разных стран, владельцы серверов и т. п. Пока этот ботнет использовался только в целях распространения спама и вирусных приложений, однако эксперты отмечают, что такое количество управляемых машин может создать реальную угрозу глобальной сетевой инфраструктуре.

В 2009 г. эксперты также зафиксировали резкое увеличение количества поддельных антивирусных приложений. Такая программа после установки на компьютер блокирует его работу и требует от пользователя заплатить определенную сумму (обычно около $50) за «избавление от вирусов». На сегодня это наиболее просто монетизируемый и реализуемый вариант вредоносного ПО. По данным статистики, около 10% жертв перечислили необходимую сумму злоумышленникам.

С развитием концепции Веб 2.0 в поле зрения онлайн-мошенников попали и социальные сети. Как рассказал руководитель центра глобальных исследований и анализа угроз Александр Гостев, недавно жертвами вируса, распространявшегося в популярной сети «ВКонтакте» всего в течение двух дней, стали около 40 тыс. пользователей. Ссылки на вредоносное приложение отправлялись под видом различных игр и других «безобидных» программ, а при установке на ПК вносило изменения в файл hosts, после которого пользователь при попытке зайти на сайт vkontakte.ru автоматически перенаправлялся на фишинговую страницу. Введя на ней свои данные, жертва получала сообщение о том, что ее учетная запись в социальной сети заблокирована, а разблокировка возможна только после отсылки SMS-сообщения на короткий «премиум»-номер. Стоимость SMS равнялась $10. Таким образом, злоумышленники за короткий срок смогли не только заработать, но и завладеть данными о паролях нескольких десятков тысяч пользователей «ВКонтакте».

Как рассказали эксперты «Лаборатории Касперского», в СНГ и в мире бизнес, связанный с киберпреступностью, является одним из наиболее рентабельных и при этом безопасных, а количество денег, вложенных в него, не уступает показателям сегмента ИТ-безопасности. Например, объем рынка поддельных антивирусов составляет около 34 млн долл., а прибыль участников спам-рынка только в России в 2008 г. – 200 млн. Свою стоимость имеют и ботнеты – скажем, уже упоминавшийся Kido приблизительно оценивается в 3 млн долл.

KIS и KAV 2010

Завершающим этапом знакомства с тенденциями антивирусного рынка СНГ и мира стало представление новинок от «Лаборатории Касперского» – Kaspersky Internet Security (KIS) и Kaspersky AntiVirus (KAV) с индексом 2010. Как рассказал руководитель направления стратегического маркетинга компании в регионе EEMEA Олег Гудилин, главным продуктом является KIS, который направлен на домашних пользователей всех уровней компьютерной грамотности. Аудиторией же KAV маркетологи антивирусной лаборатории видят немногочисленных грамотных пользователей, применяющих только некоторые модули приложения в сочетании с ПО других производителей.

Первым заметным обновлением версии 2010 стал новый интерфейс «Центра защиты» – главного «пункта управления» приложением. По словам Олега Гудилина, к его разработке были привлечены специалисты в области дизайна и эргономичности, что позволило сделать управление антивирусом интуитивно понятным. Основная функциональность ПО заключается в системе динамического многоуровневого детектирования вредоносного кода. Условно защитные механизмы KIS 2010 разделены на пять этапов: препятствование проникновению вирусов на компьютер и их сохранению на носителях информации, блокирование запуска и исполнения зараженных файлов, а также сведение к минимуму вреда от уже работающего вредоносного ПО. Все этапы защиты подробно описаны в обновленной документации, которую можно найти на сайте производителя.

Интересной новой возможностью, внедренной в KIS 2010, стала «песочница» – виртуальная среда, в которой можно запускать подозрительные файлы, не боясь нанести вред основной системе. Возможности программ, работа с которыми производится в «песочнице», ограничены, и пользователь может самостоятельно проанализировать действия того или иного приложения. Также в данном режиме можно запускать, к примеру, браузер – для захода на небезопасные сайты или для обеспечения приватного веб-серфинга: одной из функций «песочницы» является полное уничтожение всех следов деятельности запущенной в ней программы.

Применяются в новых продуктах «Лаборатории Касперского» и популярные «облачные» технологии. Вся информация о заражениях, вредоносных и заведомо «чистых» программах, ссылках и т. п. отправляется в специальную репутационную онлайн-базу под названием Kaspersky Security Network (KSN). Скорость реакции такой системы гораздо быстрее, чем период обновления антивирусных баз, поэтому KSN обеспечивает защиту от новейших угроз. По утверждению Олега Гудилина, данная онлайн-активность не приводит к перерасходу трафика: в среднем KIS 2010 генерирует за сутки порядка 100 КБ переданной и полученной информации.

Поставки свежей линейки антивирусов в Украину начались 25 августа. Стоимость годичной лицензии KIS 2010 на два ПК составит 490 грн, для KAV 2010 эта цифра несколько меньше – 345 грн. Продление лицензий будет осуществляться со скидкой 40%, а пользователи версии 2009 смогут получить обновление бесплатно.