Annen

Hvordan Sikkerhetsprodukter Lages - En Diskusjon Med Bitdefender

Et av emnene av interesse på 7 Tutorials er sikkerhet. Ikke bare skriver vi artikler og veiledninger om hvordan du har en trygg databehandling, men vi vurderer også sikkerhetsprodukter regelmessig. En av tingene vi ønsket å lære mer om, er hvordan sikkerhetsprodukter er laget: hva er trinnene involvert? de viktigste utfordringene? etc. Luck har det vi fikk sjansen til å møte med Alexandru Constantinescu - Social Media Manager hos Bitdefender, som umiddelbart sa: "Hei! Hvorfor betaler du ikke oss et besøk og lærer mer fra teamet vårt? Vi aksepterte invitasjonen og i dag kan vi dele med deg en omfattende diskusjon om hvordan sikkerhetsprodukter blir laget. "

Våre diskusjonspartnere

BitDefender er et sikkerhetsselskap som ikke krever mye av en introduksjon. Eller i det minste ikke til våre lesere. De er det ledende sikkerhetsselskapet i Romania, og de utvikler sikkerhetsprodukter som fikk mye ros og takknemlighet. Deres produkter vises hele tiden i lister med toppsikkerhetsløsninger.

Vi dro til BitDefender hovedkontor i Bucuresti og hadde en lang diskusjon med Cătălin Coşoi - Chief Security Researcher (på bildet ovenfor) og Alexandru Bălan - Senior Product Manager. De er begge svært kunnskapsrike og vennlige mennesker, med hvem vi likte å ha denne samtalen.

Hvordan sikkerhetsprodukter er laget

Vi spilte ikke mye tid på introduksjoner, og vi startet umiddelbart vår samtale.

Hva er trinnene du går gjennom, mens du utvikler en ny versjon av et sikkerhetsprodukt, for eksempel en Internet Security Suite?

Tilnærmingen er ikke veldig forskjellig fra det typiske programvareutviklingsprosjektet. La oss si at vi nettopp lanserte 2012-versjonen av våre produkter. Så snart lanseringen avsluttes, begynner vi å jobbe med 2013-versjonen. Først bestemmer vi for settet av funksjoner og endringer som vil bli introdusert i denne neste versjonen.

For å identifisere funksjonene som vil ha stor innvirkning på den neste versjonen, har vi diskusjoner med flere publikum: anmeldere, sikkerhetseksperter, tekniske eksperter og brukere som kan gi oss innsikt i hva som fungerer, hva som ikke og hva kan fungere godt i neste versjon. Dessuten gir vårt eget tekniske team input basert på deres kompetanse og visjon om hvor de ønsker å ta produktet. Vi gjør også en markedsanalyse for å bedre forstå retningen / retningene der andre selskaper er på vei. Basert på alle disse inngangene, ringer vi på det som blir inkludert i den neste versjonen og hva som ikke gjør det.

Deretter har vi utviklingsstadiet, med flere testfaser inkludert. Først har vi en intern forhåndsvisning når vi tester vår pre-beta-programvare. Deretter har vi flere beta-stadier:

  • En intern beta - akkurat som den interne forhåndsvisningen, men med et litt større publikum som tester produktet;
  • En privat beta - der vi velger en lukket sirkel av brukere fra utenfor firmaet for å teste produktet. Vi involverer opptil et par tusen brukere, og vi velger folk som har tilbakemeldinger som vi anser som nyttige. Vi inkluderer kunnskapsrike brukere, mennesker med hvem vi hadde et lengre samarbeid, tekniske eksperter som vi mener verdsetter, etc .;
  • En offentlig beta - det foregår 2 til 3 måneder før den faktiske lanseringen. På denne tiden kan alle interesserte hente produktet, teste det og gi tilbakemelding.

Under beta-stadiene finjusterer vi produktet kontinuerlig, og like før lanseringen har vi et lite tidsvindu for å få de siste detaljene. Deretter starter lanseringen, hvor markedsføring, PR, salg og andre lag er involvert i å gjøre den nødvendige buzz, mens utviklingslaget håndterer eventuelle problemer som kan komme opp.

Faktisk høres det ikke annerledes ut enn andre programvareutviklingsprosjekter. Men er det noen utfordringer som er spesifikke for denne nisjeen med å utvikle sikkerhetsprogramvare?

Det må være behov for smidighet i ordets verste forstand. Det er nøkkelen til vår nisje, mer enn i hvilken som helst annen programvareutvikling. For å beskytte kundens datamaskiner, nettverk og enheter må vi være veldig raske når vi reagerer på nye trusler. Vanligvis har du ikke mange nye typer trusler som vises på en dag. De fleste skadelig programvare er rett og slett en utvikling av eldre malware, og vi finner det generelt enkelt å håndtere dette. Men når noe virkelig nytt kommer opp, må vi handle veldig fort. På bare noen få timer må du levere minst en oppdatering til dine definisjoner eller heuristikker som vil holde kundene dine trygge.

Det er enda vanskeligere når det for å svare på en ny trussel ikke er nok til å oppdatere definisjonene, og vi må utvikle en ny funksjon i vårt produkt. Dette påvirker ikke bare produktene som nå brukes av våre kunder, men også de nye produktene vi utvikler.
La oss ta for eksempel Facebook. Da det vokste i popularitet, ble det et vanlig verktøy for distribusjon av nettsøppel og skadelig programvare. Som du forventer, har vi alltid hatt et øye med dette sosiale nettverket og overvåket at malware-koblingene blir spredt gjennom den og inkluderte dem i vår sky-database. Vi følte imidlertid behovet for å utvikle et nytt verktøy som behandler malware på Facebook på en bedre måte. Slik skapte vi konseptet for BitDefender SafeGo (et produkt gjennomgått også på 7 Tutorials ). Høsten 2010 lanserte vi den første versjonen av dette produktet, og senere ble det en integrert del av våre sikkerhetsprodukter, for eksempel BitDefender Internet Security Suite 2012.

Faktisk et godt eksempel. Snakker om BitDefender SafeGo - har du tenkt å holde den tilgjengelig også som et gratis produkt for ikke-betalende kunder, som i dag?

Ja, dette produktet vil være tilgjengelig både i våre kommersielle sikkerhetsprodukter og som en gratis Facebook og Twitter-app. Det er fordi sikkerhetsproblemer på Facebook vil fortsette å eksistere og spre seg. Dette produktet hjelper oss med å identifisere malware raskere og beskytte både våre betalende og ikke-betalende kunder. Vi tror også at å gjøre dette verktøyet tilgjengelig gratis bidrar til å øke bevisstheten om BitDefender til kunder som kanskje ikke har hørt om oss. Hvis de liker BitDefender SafeGo, har vi større sjanse for at de vurderer andre sikkerhetsprodukter vi utvikler.

Noen andre eksempler på når stor smidighet er nødvendig?

En annen ting vi gjør vårt beste for å gjøre, er å prøve å finne muligheter for å møte andre typer sikkerhetsbehov som folk har, ikke bare din standard virusdeteksjon og beskyttelse. Hvis du for eksempel husker kontroversen om Carrier IQ - et program som er installert av mange mobilleverandører, var det loggingsinformasjon, for eksempel plassering uten å varsle brukere eller tillate dem å melde seg ut. Selv om dette ikke var et stykke skadelig programvare og ble forhåndsinstallert på mobilen din av mobiloperatøren, ønsket mange å vite om de hadde det installert på sine telefoner eller ikke. Da vi lærte om det, var det en lørdag. Et medlem av teamet gikk til kontoret, tilbrakte omtrent 3 til 4 timer og utviklet et gratis produkt fra grunnen til, for Android-brukere. Det kalles Bitdefender Carrier IQ Finder, og det tillot Android-brukere å raskt lære om de blir sporet eller ikke.

La oss snakke litt om cloud computing. Vi ser det brukt mer og mer i sikkerhetsprodukter. Noen leverandører tilbyr selv bare skybasert sikkerhet i sine produkter. Hva synes du om denne tilnærmingen?

Cloud computing har definitivt en viktig rolle i sikkerhetsløsninger. Vi tror imidlertid at en hybrid tilnærming som bruker både definisjon databaser og skyen, gir de beste resultatene. Når bare skyen er brukt, er du avhengig av Internett-tilkoblingen. Hvis det er borte, forblir systemet ubeskyttet. Å ha en blanding av malwaredefinisjoner og skyen, gir bedre resultater i de fleste databehandlingsscenarier.

Planlegger du å bruke cloud computing enda mer i fremtiden? Kanskje selv ta samme sky-only tilnærming?

Ikke egentlig. Vi tror på å bruke de teknologiene som passer best til formålet. Hvis vi for eksempel vil beskytte nettleseren til en bruker, bruker vi bare skyen. Ondsinnede nettsteder er de samme, likegyldige operativsystemene og nettleserne som folk bruker for å få tilgang til dem. Også, hvis det ikke er internettilgang, kan brukeren ikke surfe på nettet. Derfor er det ikke noe problem hvis skybeskyttelsen ikke er tilgjengelig.

For antivirus vi mener er det best å bruke både klassiske definisjoner og skyen. Definisjonene bidrar til å gi beskyttelse når skyen ikke er tilgjengelig på grunn av en utkobling for Internett-tilkobling. De gjør også atferdsanalysen av filer og programmer kjører raskere enn når man prøver å bruke skyen til samme formål. Når vår programvare gjør noen form for atferds- og handlingsanalyse, gir definisjonene mer fart enn skyen gjør.

Fortell oss litt mer om teknologiene som BitDefender bruker for å beskytte et system.

Generelt er det i BitDefender-produkter tre hovedteknologier som brukes til å sikre systemer:

  • Behave - dette overvåker og lærer den generelle oppførselen til dine applikasjoner;
  • Aktiv viruskontroll - overvåker handlinger som er tatt av et program og blokkerer de som er mistenkelige eller misforståtte.
  • Cloud - samler informasjon fra mange kilder om skadelig programvare og oppdaterer seg kontinuerlig. Dataene fra skyen brukes av nesten alle beskyttelsesmoduler som inngår i våre produkter.

Hva er kildene dine for å finne og lære om nye former for skadelig programvare?

Vi har mange kilder for å lære om nye virus og skadelig programvare generelt:

  • Honningkukker;
  • BitDefender SafeGo, med støtte for både Facebook og Twitter;
  • Dataene sendes fra våre kunders datamaskiner om infeksjoner og mistenkelige aktiviteter;
  • Samarbeidet vårt med andre sikkerhetsleverandører;
  • Offentlige malware databaser.

Honningkukker. Det høres interessant ut. Fortell oss litt mer om dem. Hva er de egentlig?

Honeypots er systemer vi distribuerer over vårt nettverk, som fungerer som ofre. Deres rolle er å se ut som sårbare mål, som har verdifulle data om dem. Vi overvåker kontinuerlig disse honeypots og samler all slags skadelig programvare og informasjon om svarte lueaktiviteter.

En annen ting vi gjør er å sende falske e-postadresser som automatisk samles inn av spammere fra Internett. Deretter bruker de disse adressene for å distribuere nettsøppel for spam, skadelig programvare eller phishing. Vi samler alle meldingene vi mottar på disse adressene, analyserer dem og trekker ut de nødvendige dataene for å oppdatere våre produkter og holde brukerne sikre og spamfrie.

La oss anta at du bare har identifisert et nytt stykke malware. Hva gjør du med det? Hvordan finner du ut hva det gjør og hvordan du best desinfiserer et system?

I utgangspunktet er vi ikke så interessert i å lære hva den delen av skadelig programvare gjør. Vi er interessert i å lære om atferden er mistenksom eller ikke, om det er et virus eller ikke. Dette gjør at våre produkter kan opptre og gjøre ting som kuttet tilgang til nettverket eller legge i karantene den delen av skadelig programvare.

Alle nye brikkene av skadelig programvare som blir identifisert, sendes automatisk til vårt laboratorium i Iaşi. Teamet der tar vare på å dekonstruere virusene, forstå hva de gjør og oppdatere databasen definisjoner med riktig informasjon.

Snakk om forskergruppen, fortell oss litt mer om dem og deres arbeid på "hacking" -virus.

Vel, de er veldig spesialiserte team som jobber i et veldig lukket miljø, fra alle perspektiver. For eksempel vil vi ikke ha virus de jobber med, for å komme seg ut i naturen eller spre seg inn i vårt eget nettverk. Alle er sikkerhetseksperter dyktige i ting som varierer fra kryptering til å være flytende med flere programmeringsspråk (inkludert Assembly Language), kunnskap om internettprotokoller, hackingsteknikker, etc.

De har ansvaret for dekryptering av koden til et virus og oppdatering av våre definisjoner databaser med riktig informasjon. Men før de går på jobb med å lage en definisjonsoppdatering på egenhånd, må de gå gjennom en langvarig prosess med trening og spesialisering som tar 9 måneder. De har ikke lov til å jobbe med våre definisjonsdatabaser alene før de har gjennomgått all nødvendig opplæring og har bevist at de vet hva de skal gjøre.

Også, vi vil gjerne avklare en urban legend, hvis du vil kalle det på den måten: Mange tror at de beste hackere og virus beslutningstakere blir ansatt av sikkerhetsselskaper, inkludert BitDefender. I hvert fall når det kommer til vårt selskap, er dette ikke sant. Under ansettelsesprosessen filtrerer vi ut alle kandidatene som har opprettet skadelig programvare eller har gjort noen form for svarthatt hacking.

Vi foretrekker å bli med av gruppemedlemmer som vi kan stole på. Vi vil at folk skal bli med oss ​​fordi de har en god sikkerhetsutfordring og ikke bruker sine ferdigheter og intelligens for egoistiske formål. Alle i vårt forskerteam kan i det minste skape sitt eget virus, hvis det ikke engang hakker et mer komplekst system. Men de gjør det ikke fordi de tror det ikke er riktig å gjøre og ikke riktig bruk av sine talenter. Også, vårt firma ville ikke tolerere denne typen oppførsel.

Hvor ofte ser produktene etter nye definisjoner på serverne dine?

En gang hver 45 til 60 minutter. Det er svært viktig for oss å få nye definisjoner levert så snart som mulig. Noen ganger, hvis en gitt situasjon krever det, sender vi også pushvarsler, slik at våre sikkerhetsprodukter oppdaterer seg umiddelbart og ikke venter på at den planlagte oppdateringen finner sted. Vi ønsker å kunne sende data så snart vi lærer noe nytt. Det er imidlertid ikke mulig fra et teknisk perspektiv, og det vil ødelegge brukeropplysningene fra brukerne. Det er derfor vi holder push meldinger og oppdateringer til et minimum, og bruk dem bare når det er veldig fornuftig.

Samarbeider du med andre selskaper og deler kunnskap og informasjon om de nyeste sikkerhetstruslene?

Ja det gjør vi. Vi samarbeider med 6 andre selskaper, inkludert våre partnere som vi lisensierte vår teknologi, for eksempel F-Secure eller G-Data. Vi kan imidlertid ikke oppgi navnene til de andre selskapene.

Hvor mye investerer du i de mer sekundære funksjonene, som ikke nødvendigvis bidrar til å øke sikkerheten til et system? Jeg refererer til funksjoner som hovedsakelig er inkludert i Total Security Suites, for eksempel: Foreldrekontroll, Filbackup, Filsynkronisering, etc.

Tydeligvis er de klassiske egenskapene til en sikkerhetspakke som antivirus, brannmur, antispam, etc, hovedfokus for vårt lags arbeid og mottar de fleste av selskapets utviklingsressurser. Vi har imidlertid dedikerte lag for hver av de sekundære funksjonene vi tilbyr i våre produkter, og de er bemannet etter behov, avhengig av hvor mye arbeid som kreves for å opprettholde disse modulene. Du kan tenke deg at vi ikke trenger så mange som jobber med foreldrekontroll som på antivirusbeskyttelsesmaskinen.

BitDefender har en klassisk rekkefølge av produkter: BitDefender Antivirus, Internet Security Suite, Total Security Suite og Sphere, som tilbyr en lisens for opptil 3 brukere som kan bruke den beste sikkerhetsserien du gir, på hvilken som helst plattform du støtter, på en ubegrenset antall enheter. Hvilke av disse konseptene er mest populære hos brukerne? Foretrekker de de ekstra funksjonene i en Total Security-pakke eller de mer klassiske sikkerhetsprodukter?

BitDefender Internet Security Suite er definitivt vårt mest populære produkt. Det er folk som liker de ekstra funksjonene i en Total Security Suite, men de er i minoritet. Vi har imidlertid blitt positivt overrasket over suksess og positiv tilbakemelding vi mottok for vårt nye BitDefender Sphere-produkt. Det virker som mange mennesker liker å ha en enhetlig sikkerhetsløsning som kan beskytte sine PCer, Mac og Android-baserte Smartphones eller Tabletter. De nyter veldig fleksibiliteten ved å kjøpe bare ett rimeligere lisens for å beskytte alle datamaskiner i sine hjem.

Sist men ikke minst, la oss snakke litt om Windows 8 og dets nye Metro-grensesnitt. Planlegger du å tilby sikkerhetsløsninger designet for det nye berøringsgrensesnittet? Vil du gi separate sikkerhetsprodukter for Windows 8-tabletter?

Vi jobber definitivt med å tilby noen spennende produkter for Windows 8 og det nye Metro-grensesnittet. Utfordringen med Metro er at programmene kjører med begrensninger og begrensede tillatelser. De har ikke full tilgang til systemet som Desktop- applikasjoner gjør. Derfor må vi finne måter å komme seg rundt og gi effektiv beskyttelse.

Dessverre, vi har ikke frihet til å diskutere flere detaljer om våre planer med sikkerhetsprodukter for Windows 8. Vi vil kunne gi mer informasjon nærmere Windows 8 som blir ferdigstilt og gjort tilgjengelig.

Konklusjon

Som du kan se fra denne diskusjonen, er det ikke lett å utvikle en god sikkerhetsløsning. Det innebærer mye arbeid, kunnskap om ulike aspekter ved databehandling, nettverk og sikkerhet. Vi håper du fant denne samtalen interessant og nyttig for å lære mer om hele prosessen som er involvert.
Før vi lukker denne artikkelen, vil vi gjerne takke BitDefender for å sende oss denne invitasjonen og gi oss muligheten til å ha en veldig interessant samtale med noen av deres beste spesialister.