Недавняя конференция Build, организованная корпорацией Microsoft, вызвала настоящую сенсацию в отрасли после объявления о появлении в предстоящем выпуске Windows 8 многих новых полезных функций. Хотя главным образом эти особенности связаны с новым пользовательским интерфейсом, вопросами производительности и поддержки нескольких платформ; компания также представила и целый ряд инноваций в области безопасности. Сегодня мы зададим вопросы на эту тему Алексею Полякову, руководителю отдела оперативного решения вирусных инцидентов, нашего консультационного сервиса, который помогает компаниям в расследовании инцидентов с информационно безопасностью и дает рекомендации по улучшению корпоративных политик в данной области. Заметим, ранее он работал в Microsoft, где стоял у истоков разработки информационной безопасности продуктов компании.
– Алексей, привет! Что ты можешь сказать о безопасности продуктов Microsoft в целом?
– Корпорация Microsoft известна прежде всего в качестве поставщика самой популярной операционной системы в мире, а также набора бизнес-приложений. К сожалению, очень успешный бизнес компании всегда вызывал интерес киберпреступников, которые пытаются использовать продукты Microsoft в своих незаконных целях.
Как говорится, такова жизнь. Однако было бы неправильно из-за этого считать Microsoft какой-то зловредной компанией, которая разрабатывает плохое программное обеспечение; речь идет скорее о популярности ее продуктов, которая привлекает такое большое количество киберпреступников.
В то же время Microsoft много делает для усиления безопасности своего ПО. Я знаю, о чем говорю. В свое время мне выпала честь работать в этой чрезвычайно успешной компании, а также со многими ее партнерами. В этом отношении «Лаборатория Касперского» является показательным примером. Мы опираемся на разумность решений Microsoft, другими словами, на их открытость и прозрачность, чтобы иметь возможности для более удачной интеграции наших продуктов с ПО Microsoft и улучшения защиты заказчиков. Я также должен сказать, что Microsoft очень много делает для того, чтобы мы (и наши заказчики) чувствовали себя комфортно.
Компания непрерывно улучшает встроенные функции безопасности и делает это эффективно и быстро. И, конечно же, Microsoft активно улучшает свои решения в отличие от компании Apple, которая утверждает, что ее не беспокоит проблема вредоносного ПО, поскольку оно не может существовать в системе Mac OS. Microsoft очень эффективно и быстро устраняет нарушения безопасности, сразу же, как только они становятся очевидными, и делает это, прежде всего, за счет улучшений в работе системы автоматического обновления Windows и роста доли установок системы Windows 7 на персональных компьютерах.
– Как один из участников разработки некоторых важнейших технологий обеспечения безопасности Windows 8, что ты можешь сказать о главных достижениях в этой области?
– Microsoft имеет большой опыт постоянного улучшения безопасности своих продуктов. Что касается пакета Windows 8, то в этом случае речь не идет о каком-то прорыве (не ждите от данной версии решения всех проблем, связанных с вредоносным ПО). Однако в новой системе имеются интересные функции, которые позволят нам более эффективно бороться с киберпреступниками. Некоторые из них предлагаются впервые, тогда как другие были в значительной степени переработаны по сравнению с прошлой версией.
Первая линия защиты остается прежней. Здесь можно отметить улучшения как в работе средства удаления вредоносных программ (MSRT), так и программы Защитник Windows, причем последний продукт теперь способен обеспечивать защиту в реальном времени без имевшихся в прошлом навязчивых оповещений и уведомлений. В сочетании с технологией SmartScreen (аналогичной сервисам проверки репутации Модуль проверки ссылок и Репутация программы в наших продуктах) и улучшенной функцией BitLocker (средство шифрования диска, доступное для наиболее полных версий Windows 8) они обеспечивают превосходную базовую защиту.
Тем не менее, если вредоносное ПО все же попадет в компьютер, пользователи смогут восстановить операционную систему с помощью сочетания функции безопасной загрузки Secure Boot (собственной проверки последовательности загрузки ОС в системе Windows) и диска восстановления Standalone System Sweeper (аналогичного нашему Диску аварийного восстановления – чистому загрузочному диску для восстановления системы).
– Что-то не похоже на убийственную для рынка лавину новых решений! Как Вы думаете, почему Microsoft все еще продолжает разрабатывать собственные встроенные функции безопасности?
– Я считаю, что в данном случае речь не идет о попытке Microsoft захватить рынок информационной безопасности. Компания очень хорошо понимает, что индустрия ИТ-безопасности (особенно, когда дело касается защиты от вредоносного ПО) является отраслью узкоспециализированных и гибких специалистов. Начиная с антивирусной программы MSAV в 1993 году, корпорация Microsoft предприняла несколько неудачных попыток выхода на этот рынок в качестве поставщика решений. Не думаю, что в ее планы входит повторение этой ошибки.
Заказчики предпочитают решения, предлагаемые специализированными компаниями, работающими в области информационной безопасности, поскольку они обладают необходимым специальным опытом, на накапливание которого порой уходят десятилетия, и способны быстро реагировать на современные компьютерные атаки. Как правило, эти компании предлагают более совершенные возможности обнаружения и удаления вирусов, широкий набор продуктов, плюс необходимые сочетания решений для всевозможных операционных систем и платформ, мобильных устройств, серверов и настольных ПК, не говоря уже о многоуровневой защите и выделенных сервисах поддержки. Быстрота является ключевым фактором в этом бизнесе.
Я считаю, что работа над улучшением безопасности продуктов Microsoft объясняется двумя основными причинами.
Во-первых, заказчики, государственные органы, пресса, отрасль и т.д., – все подталкивали Microsoft к улучшению безопасности своих продуктов, и в этой связи функции защиты Windows 8 являются ответом на данные требования рынка и общества.
Во-вторых, Microsoft и не претендует на обеспечение абсолютной, непробиваемой защиты по аналогии с неприступным хранилищем золотых запасов США на военной базе Форт Нокс. Вместо этого компания предоставляет пользователям крепкую базовую защиту и хорошо продуманную платформу для интеграции продуктов от поставщиков решений в области информационной безопасности.
– Назови, пожалуйста, три наиболее важные функции обеспечения безопасности в системе Windows 8.
– Конечно.
• Это обновленный и расширенный Windows Defender, который тесно интегрирован со средством удаления вредоносных программ;
• Диск восстановления Standalone System Sweeper;
• И наиболее интересная, на мой взгляд, и технологически продвинутая функция безопасной загрузки Secure Boot. Она очень важна для сторонних решений в области защиты, поскольку обеспечивает получение полезных данных на ранних стадиях загрузки ОС и позволяет обнаруживать и предупреждать заражение таким наиболее изощренным вредоносным ПО, как руткиты и буткиты.
– Твое имя упоминается в списке изобретателей технологии Secure Boot, а сам файл с данными о патентах датирован еще 2006 годом. Что можно сказать о причинах такой важности технологии Secure Boot, и почему ее внедрение в Microsoft заняло столько времени?
– Я уверен, что Secure Boot намного усложняет жизнь киберпреступников. Конечно, нельзя сказать, что эта функция является панацеей. Однако она заставит злоумышленников заново переписать используемые процедуры заражения и заняться поиском новых путей получения контроля над компьютерами. Рано или поздно они найдут такой способ. Вопрос лишь в том, когда, и насколько эффективным он окажется.
И, конечно же, Microsoft потребовалось довольно много времени, чтобы перейти от стадии проверки концепции технологии Secure Boot к этапу готовой для использования функции. Однако необходимо учитывать тот факт, что это был очень сложный проект, в котором прямо с этапа первоначальной разработки участвовало множество различных рабочих групп. Тем не менее, я очень рад, что в Microsoft был дан «зеленый свет» для этой технологии, и она в конце-концов появилась в системе Windows 8.
– Пожалуйста, расскажи подробнее о Secure Boot!
– Технология Secure Boot является частью стандартного процесса загрузки операционной системы. При этом на ранней стадии загрузки происходит проверка каждого драйвера программного обеспечения и тем самым изначально не допускается использование вредоносных драйверов.
Фактически, Secure Boot – это часть программной архитектуры Platform Integrity Architecture (PIA – архитектура целостности платформы), которая также включает в себя два дополнительных компонента: драйвер Early Launch Anti-Malware (ELAM – ранний запуск антивредоносной программы) и функцию Measured Boot Attestation (MBA – измеряемая аттестация загрузки). Архитектура PIA работает в сочетании с другой полезной функцией – диск восстановления Standalone System Sweeper, которая позволяет выполнять глубокий анализ системы. Она может анализировать файлы и содержимое реестра зараженной системы при бездействующей ОС. В целом, это отличное решение для ликвидации последствий сложных атак с использованием вредоносного ПО и удаления скрытых вредоносных программ из последовательности начальной загрузки ОС.
– Какую позицию занимает Microsoft в вопросе прозрачности отношений и сотрудничества с независимыми поставщиками ПО, и в частности, с поставщиками ПО в области информационной безопасности? И еще, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8?
– Мне особенно импонирует открытость, которую Microsoft проявляет в отношении независимых поставщиков ПО. Например, мы в ЛК очень тесно работаем с Microsoft для включения поддержки всех основных функций обеспечения безопасности Windows 8 в наши будущие продукты. И это не просто какой-то разовый случай такого сотрудничества. Мы уже длительное время ведем совместную продуктивную работу и с начала 2000-х годов сотрудничаем по каждому новому выпуску Windows.
Что касается второго вопроса о том, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8. Наша задача заключается в предоставлении поддержки архитектуры PIA сразу после выпуска системы, чтобы обеспечить пользователям возможность полного использования преимуществ ее функций.
Мы начали работать с Microsoft над обеспечением безопасности Windows 8 в 2010 году. Наши разработчики принимали участие в специальных тренингах и семинарах мозгового штурма, чтобы глубже понять особенности платформы и изменения в архитектуре, напрямую и лично беседовали с ребятами из Microsoft.
В целом, я должен сказать, что Microsoft много делает для повышения защищенности своих продуктов, и демонстрирует высокий уровень открытости и стремления к сотрудничеству с независимыми поставщиками ПО. За это я снимаю перед ними шляпу.
– Что могут ожидать пользователи от будущих версий наших продуктов с точки зрения интеграции с новыми функциями обеспечения безопасности в системе Windows 8? В чем заключаются преимущества такой интеграции?
– Мы полностью поддерживаем архитектуру PIA и также интегрируем, где это возможно, наши продукты, предназначенные как для дома, так и для бизнеса, с другими функциями обеспечения безопасности Windows 8.
Например, в настоящее время мы в тесном взаимодействии с Microsoft работаем над обеспечением поддержки упомянутой уже функции Early Launch Anti-Malware (ELAM) с целью усиления нашей защиты от руткитов, – возможно самой известной и изощренной технологии, используемой во вредоносном ПО. Функция ELAM позволит нам надежно блокировать руткиты при загрузке ОС и значительно повысит наши возможности по очистке от вирусов уже зараженных компьютеров.
Как уже говорилось, другой полезной функцией Windows 8, которую мы собираемся интегрировать в свои продукты, является аттестация Measured Boot Attestation (MBA). Эта технология выполняет роль своего рода гарантии безопасности на уровне ядра Windows, которая обеспечивает допуск в последовательность начальной загрузки ОС только проверенных и сертифицированных приложений. Тем не менее, в будущей версии KIS/KAV 2013 мы усовершенствуем процесс аттестации и подключим его к основанной на облачных вычислениях сети Kaspersky Security Network ( видео, дополнительная информация). В конечном итоге, в этой функции также будут использованы преимущества нашей технологии составления списка «белых» приложений и достигнута максимальная степень интеграции продуктов Windows и «Лаборатории Касперского», а также их защиты от различных опасностей.
– Отлично! Алексей, большое спасибо за эту беседу и интересный рассказ о будущих функциях обеспечения безопасности системы Windows 8 и наших планах по ее поддержке.
– Алексей, привет! Что ты можешь сказать о безопасности продуктов Microsoft в целом?
– Корпорация Microsoft известна прежде всего в качестве поставщика самой популярной операционной системы в мире, а также набора бизнес-приложений. К сожалению, очень успешный бизнес компании всегда вызывал интерес киберпреступников, которые пытаются использовать продукты Microsoft в своих незаконных целях.
Как говорится, такова жизнь. Однако было бы неправильно из-за этого считать Microsoft какой-то зловредной компанией, которая разрабатывает плохое программное обеспечение; речь идет скорее о популярности ее продуктов, которая привлекает такое большое количество киберпреступников.
В то же время Microsoft много делает для усиления безопасности своего ПО. Я знаю, о чем говорю. В свое время мне выпала честь работать в этой чрезвычайно успешной компании, а также со многими ее партнерами. В этом отношении «Лаборатория Касперского» является показательным примером. Мы опираемся на разумность решений Microsoft, другими словами, на их открытость и прозрачность, чтобы иметь возможности для более удачной интеграции наших продуктов с ПО Microsoft и улучшения защиты заказчиков. Я также должен сказать, что Microsoft очень много делает для того, чтобы мы (и наши заказчики) чувствовали себя комфортно.
Компания непрерывно улучшает встроенные функции безопасности и делает это эффективно и быстро. И, конечно же, Microsoft активно улучшает свои решения в отличие от компании Apple, которая утверждает, что ее не беспокоит проблема вредоносного ПО, поскольку оно не может существовать в системе Mac OS. Microsoft очень эффективно и быстро устраняет нарушения безопасности, сразу же, как только они становятся очевидными, и делает это, прежде всего, за счет улучшений в работе системы автоматического обновления Windows и роста доли установок системы Windows 7 на персональных компьютерах.
– Как один из участников разработки некоторых важнейших технологий обеспечения безопасности Windows 8, что ты можешь сказать о главных достижениях в этой области?
– Microsoft имеет большой опыт постоянного улучшения безопасности своих продуктов. Что касается пакета Windows 8, то в этом случае речь не идет о каком-то прорыве (не ждите от данной версии решения всех проблем, связанных с вредоносным ПО). Однако в новой системе имеются интересные функции, которые позволят нам более эффективно бороться с киберпреступниками. Некоторые из них предлагаются впервые, тогда как другие были в значительной степени переработаны по сравнению с прошлой версией.
Первая линия защиты остается прежней. Здесь можно отметить улучшения как в работе средства удаления вредоносных программ (MSRT), так и программы Защитник Windows, причем последний продукт теперь способен обеспечивать защиту в реальном времени без имевшихся в прошлом навязчивых оповещений и уведомлений. В сочетании с технологией SmartScreen (аналогичной сервисам проверки репутации Модуль проверки ссылок и Репутация программы в наших продуктах) и улучшенной функцией BitLocker (средство шифрования диска, доступное для наиболее полных версий Windows 8) они обеспечивают превосходную базовую защиту.
Тем не менее, если вредоносное ПО все же попадет в компьютер, пользователи смогут восстановить операционную систему с помощью сочетания функции безопасной загрузки Secure Boot (собственной проверки последовательности загрузки ОС в системе Windows) и диска восстановления Standalone System Sweeper (аналогичного нашему Диску аварийного восстановления – чистому загрузочному диску для восстановления системы).
– Что-то не похоже на убийственную для рынка лавину новых решений! Как Вы думаете, почему Microsoft все еще продолжает разрабатывать собственные встроенные функции безопасности?
– Я считаю, что в данном случае речь не идет о попытке Microsoft захватить рынок информационной безопасности. Компания очень хорошо понимает, что индустрия ИТ-безопасности (особенно, когда дело касается защиты от вредоносного ПО) является отраслью узкоспециализированных и гибких специалистов. Начиная с антивирусной программы MSAV в 1993 году, корпорация Microsoft предприняла несколько неудачных попыток выхода на этот рынок в качестве поставщика решений. Не думаю, что в ее планы входит повторение этой ошибки.
Заказчики предпочитают решения, предлагаемые специализированными компаниями, работающими в области информационной безопасности, поскольку они обладают необходимым специальным опытом, на накапливание которого порой уходят десятилетия, и способны быстро реагировать на современные компьютерные атаки. Как правило, эти компании предлагают более совершенные возможности обнаружения и удаления вирусов, широкий набор продуктов, плюс необходимые сочетания решений для всевозможных операционных систем и платформ, мобильных устройств, серверов и настольных ПК, не говоря уже о многоуровневой защите и выделенных сервисах поддержки. Быстрота является ключевым фактором в этом бизнесе.
Я считаю, что работа над улучшением безопасности продуктов Microsoft объясняется двумя основными причинами.
Во-первых, заказчики, государственные органы, пресса, отрасль и т.д., – все подталкивали Microsoft к улучшению безопасности своих продуктов, и в этой связи функции защиты Windows 8 являются ответом на данные требования рынка и общества.
Во-вторых, Microsoft и не претендует на обеспечение абсолютной, непробиваемой защиты по аналогии с неприступным хранилищем золотых запасов США на военной базе Форт Нокс. Вместо этого компания предоставляет пользователям крепкую базовую защиту и хорошо продуманную платформу для интеграции продуктов от поставщиков решений в области информационной безопасности.
– Назови, пожалуйста, три наиболее важные функции обеспечения безопасности в системе Windows 8.
– Конечно.
• Это обновленный и расширенный Windows Defender, который тесно интегрирован со средством удаления вредоносных программ;
• Диск восстановления Standalone System Sweeper;
• И наиболее интересная, на мой взгляд, и технологически продвинутая функция безопасной загрузки Secure Boot. Она очень важна для сторонних решений в области защиты, поскольку обеспечивает получение полезных данных на ранних стадиях загрузки ОС и позволяет обнаруживать и предупреждать заражение таким наиболее изощренным вредоносным ПО, как руткиты и буткиты.
– Твое имя упоминается в списке изобретателей технологии Secure Boot, а сам файл с данными о патентах датирован еще 2006 годом. Что можно сказать о причинах такой важности технологии Secure Boot, и почему ее внедрение в Microsoft заняло столько времени?
– Я уверен, что Secure Boot намного усложняет жизнь киберпреступников. Конечно, нельзя сказать, что эта функция является панацеей. Однако она заставит злоумышленников заново переписать используемые процедуры заражения и заняться поиском новых путей получения контроля над компьютерами. Рано или поздно они найдут такой способ. Вопрос лишь в том, когда, и насколько эффективным он окажется.
И, конечно же, Microsoft потребовалось довольно много времени, чтобы перейти от стадии проверки концепции технологии Secure Boot к этапу готовой для использования функции. Однако необходимо учитывать тот факт, что это был очень сложный проект, в котором прямо с этапа первоначальной разработки участвовало множество различных рабочих групп. Тем не менее, я очень рад, что в Microsoft был дан «зеленый свет» для этой технологии, и она в конце-концов появилась в системе Windows 8.
– Пожалуйста, расскажи подробнее о Secure Boot!
– Технология Secure Boot является частью стандартного процесса загрузки операционной системы. При этом на ранней стадии загрузки происходит проверка каждого драйвера программного обеспечения и тем самым изначально не допускается использование вредоносных драйверов.
Фактически, Secure Boot – это часть программной архитектуры Platform Integrity Architecture (PIA – архитектура целостности платформы), которая также включает в себя два дополнительных компонента: драйвер Early Launch Anti-Malware (ELAM – ранний запуск антивредоносной программы) и функцию Measured Boot Attestation (MBA – измеряемая аттестация загрузки). Архитектура PIA работает в сочетании с другой полезной функцией – диск восстановления Standalone System Sweeper, которая позволяет выполнять глубокий анализ системы. Она может анализировать файлы и содержимое реестра зараженной системы при бездействующей ОС. В целом, это отличное решение для ликвидации последствий сложных атак с использованием вредоносного ПО и удаления скрытых вредоносных программ из последовательности начальной загрузки ОС.
– Какую позицию занимает Microsoft в вопросе прозрачности отношений и сотрудничества с независимыми поставщиками ПО, и в частности, с поставщиками ПО в области информационной безопасности? И еще, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8?
– Мне особенно импонирует открытость, которую Microsoft проявляет в отношении независимых поставщиков ПО. Например, мы в ЛК очень тесно работаем с Microsoft для включения поддержки всех основных функций обеспечения безопасности Windows 8 в наши будущие продукты. И это не просто какой-то разовый случай такого сотрудничества. Мы уже длительное время ведем совместную продуктивную работу и с начала 2000-х годов сотрудничаем по каждому новому выпуску Windows.
Что касается второго вопроса о том, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8. Наша задача заключается в предоставлении поддержки архитектуры PIA сразу после выпуска системы, чтобы обеспечить пользователям возможность полного использования преимуществ ее функций.
Мы начали работать с Microsoft над обеспечением безопасности Windows 8 в 2010 году. Наши разработчики принимали участие в специальных тренингах и семинарах мозгового штурма, чтобы глубже понять особенности платформы и изменения в архитектуре, напрямую и лично беседовали с ребятами из Microsoft.
В целом, я должен сказать, что Microsoft много делает для повышения защищенности своих продуктов, и демонстрирует высокий уровень открытости и стремления к сотрудничеству с независимыми поставщиками ПО. За это я снимаю перед ними шляпу.
– Что могут ожидать пользователи от будущих версий наших продуктов с точки зрения интеграции с новыми функциями обеспечения безопасности в системе Windows 8? В чем заключаются преимущества такой интеграции?
– Мы полностью поддерживаем архитектуру PIA и также интегрируем, где это возможно, наши продукты, предназначенные как для дома, так и для бизнеса, с другими функциями обеспечения безопасности Windows 8.
Например, в настоящее время мы в тесном взаимодействии с Microsoft работаем над обеспечением поддержки упомянутой уже функции Early Launch Anti-Malware (ELAM) с целью усиления нашей защиты от руткитов, – возможно самой известной и изощренной технологии, используемой во вредоносном ПО. Функция ELAM позволит нам надежно блокировать руткиты при загрузке ОС и значительно повысит наши возможности по очистке от вирусов уже зараженных компьютеров.
Как уже говорилось, другой полезной функцией Windows 8, которую мы собираемся интегрировать в свои продукты, является аттестация Measured Boot Attestation (MBA). Эта технология выполняет роль своего рода гарантии безопасности на уровне ядра Windows, которая обеспечивает допуск в последовательность начальной загрузки ОС только проверенных и сертифицированных приложений. Тем не менее, в будущей версии KIS/KAV 2013 мы усовершенствуем процесс аттестации и подключим его к основанной на облачных вычислениях сети Kaspersky Security Network ( видео, дополнительная информация). В конечном итоге, в этой функции также будут использованы преимущества нашей технологии составления списка «белых» приложений и достигнута максимальная степень интеграции продуктов Windows и «Лаборатории Касперского», а также их защиты от различных опасностей.
– Отлично! Алексей, большое спасибо за эту беседу и интересный рассказ о будущих функциях обеспечения безопасности системы Windows 8 и наших планах по ее поддержке.
