Сергей Станкевич, Positive Technologies: Мы совершенствуем технологию эмуляции для противодействия сложным киберугрозам
Увеличение числа целевых кибератак, усложнение способов обхода систем защиты и сокращение доступности иностранных решений вынуждают российский рынок антивирусных технологий не просто приспосабливаться, а формировать собственные методологии и разрабатывать инструменты глубокого анализа с упреждающим реагированием. В такой ситуации особую значимость приобретает консолидация профессионального опыта и выработка единой стратегии противодействия вредоносным программам. Для Positive Technologies одним из таких шагов стало создание собственной антивирусной лаборатории — центра экспертизы, объединившего знания, технологические наработки и методы борьбы с вредоносным ПО. В беседе с CNews руководитель антивирусной лаборатории Сергей Станкевич рассказал о предпосылках создания подразделения, его структуре и вкладе в развитие антивирусных решений следующего поколения.
CNews: Поделитесь историей формирования антивирусной лаборатории. Как появилась эта инициатива и в каком виде существовало подразделение до официального открытия?
Сергей Станкевич: За два десятилетия работы Positive Technologies накопила обширный практический опыт в разных сферах информационной безопасности. Мы последовательно разрабатывали и улучшали защитные решения различных категорий, укрепляли компетенции в расследовании киберинцидентов, исследовании угроз и развивали экспертизу в области этичного хакинга. Отдельные наши продукты содержат компоненты выявления вредоносного кода, над которыми работали различные внутренние команды — каждая со своими технологическими подходами.
Со временем для укрепления позиций на рынке ИБ и развития технологий обнаружения вредоносного ПО мы приняли решение объединить ресурсы и собрать команды в единую антивирусную лабораторию. Это позволило сфокусировать экспертный потенциал, структурировать накопленный опыт и сформировать единую методологию для создания перспективных технологий.
CNews: Какие основные цели и направления работы лаборатории?
Сергей Станкевич: Ключевая задача — объединить экспертные знания в сфере исследования вредоносных объектов в едином центре. Практическая цель — повысить качество защитных решений благодаря углублённому изучению образцов. Лаборатория также занимается разработкой стратегии совершенствования антивирусных технологий, включая эмуляционный модуль, создаваемый совместно с «ВИРУСБЛОКАДОЙ» на основе их разработок. Мы систематически пополняем базу знаний, поддерживаем её актуальность и консультируем команду разработчиков. Речь идёт не только о выявлении рисков, но и о создании инновационных решений, их интеграции и постоянном развитии.
CNews: Каков состав антивирусной лаборатории? Какие подразделения и эксперты в неё входят?
Сергей Станкевич: Лаборатория состоит из четырёх направлений. Первое отвечает за аналитику в продукте MaxPatrol EDR, где специалисты изучают поведение вредоносных программ на пользовательских устройствах. Второе направление сконцентрировано на улучшении функциональности песочницы PT Sandbox — изолированного пространства для выявления и анализа активности угроз без воздействия на рабочую инфраструктуру. Сетевая аналитическая группа исследует следы, оставляемые вредоносным кодом в интернет-трафике. Четвёртое подразделение координирует работу с аналитиками «ВИРУСБЛОКАДЫ», контролирует качество антивирусных баз и участвует в наполнении нашей системы защиты конечных точек экспертными данными.
CNews: Какие методы применяются для выявления вредоносных программ?
Сергей Станкевич: Мы используем комплексный подход. Поведенческий анализ предполагает запуск подозрительных образцов в контролируемых условиях с фиксацией их действий. Статический анализ проводится без выполнения кода — с применением сигнатур, байтовых шаблонов, правил YARA и алгоритмов искусственного интеллекта. Эмуляционный метод сочетает преимущества предыдущих: программа исполняется в виртуальной среде, что исключает реальный ущерб.
Дополнительно задействуются репутационные базы файловых и сетевых объектов, автоматизированная обработка данных и сотрудничество с отделом киберразведки. Это даёт нам всестороннее понимание актуальных цифровых угроз.
CNews: Как организован процесс анализа вредоносного ПО после его обнаружения?
Сергей Станкевич: Существует несколько подходов к исследованию вредоносных программ. Первый — ручной, или экспертный метод, при котором аналитик изучает сложные образцы, опираясь на личный опыт, эрудицию и профессиональное чутьё. Такой способ особенно полезен при работе с нестандартными или новыми угрозами. Второй вариант — автоматизированный анализ, который незаменим при обработке огромных массивов данных, ведь общее число вредоносных объектов может достигать сотен миллионов, и вручную их проверить нереально.
Для этих целей мы задействуем системы автоматизации и алгоритмы машинного обучения, что даёт возможность оперативно обрабатывать значительные объёмы информации. Это становится особенно актуально в условиях усложняющихся атак, когда классические методы защиты уже не справляются самостоятельно.
CNews: Какие техники обхода систем защиты используют киберпреступники?
Сергей Станкевич: Многое определяется спецификой конкретной атаки и намерениями злоумышленника. Один из частых приёмов — эксплуатация «слепых пятен» в защитных комплексах, то есть областей, где средства безопасности не срабатывают своевременно или недостаточно эффективны. Также широко применяется мимикрия, когда вредонос маскируется под легальные процессы или приложения, усложняя его обнаружение.
Ещё одна тактика — отсроченное выполнение, известное как time-based evasion. Вредоносный код может оставаться в системе бездействующим до наступления подходящего момента для активации. Кроме того, существует классический метод — троянские схемы, когда внешне безвредная программа или почтовое вложение скрывает в себе опасный код.
Подобные уловки серьёзно осложняют противодействие угрозам. Это напоминает шахматную партию, где мы постоянно пытаемся предвосхитить действия оппонента, анализируем его приёмы и стремимся опередить на несколько ходов, выстраивая упреждающую защиту.
CNews: Как разработки лаборатории способствуют развитию продуктов Positive Technologies?
Сергей Станкевич: Все исследования, проводимые в лаборатории, впоследствии находят применение в продуктах компании. Наши экспертные оценки и аналитические материалы интегрируются в PT Sandbox, MaxPatrol EDR, PT NAD, PT ISIM и PT NGFW. Это гарантирует высокую эффективность выявления угроз и борьбы с ними, а также оперативное совершенствование защитных механизмов.
Помимо этого, мы активно работаем над созданием нового решения для защиты конечных точек. Его цель — обеспечить комплексную превентивную безопасность устройств, включая стандартные рабочие станции и, возможно, специализированное оборудование, такое как промышленные контроллеры. Данная система будет нацелена на упреждающее обнаружение и устранение угроз до того, как они смогут причинить ущерб.
CNews: Что подразумевается под «конечными устройствами» в контексте информационной безопасности?
Сергей Станкевич: По сути, речь идет обо всех устройствах, задействованных в корпоративных рабочих процессах и нуждающихся в обеспечении безопасности. Прежде всего, это стационарные компьютеры, портативные устройства, виртуальные десктопы, а также серверные системы и специализированное оборудование, например, компоненты автоматизации промышленных контуров управления.
Любое оборудование, функционирующее под управлением универсальной операционной системы, представляет собой возможный объект кибератак. Именно по этой причине подобные устройства необходимо обязательно оснащать средствами защиты информации. В этом состоит основное предназначение антивирусных продуктов и комплексных платформ, которые гарантируют безопасность конечных узлов от современных массовых и целенаправленных угроз.
CNews: Каковы ваши стратегические ориентиры по развитию антивирусных технологий на ближайшие 3–5 лет?
Сергей Станкевич: В предстоящие годы мы сосредоточимся на совершенствовании эмуляционных технологий, уже доказавших свою перспективность в противодействии вредоносным программам. Ключевой задачей станет обеспечение бесперебойной работы нового антивирусного ядра в разнообразных операционных средах, включая как распространенные, так и узкоспециализированные платформы.
Дополнительно мы работаем над интеграцией этого ядра в другие системы кибербезопасности, включая наши решения класса NGFW. Такой подход позволит создать целостную систему защиты инфраструктуры.
Одновременно мы будем внедрять новые архитектурные и технологические решения для усиления эффективности антивирусной защиты. Особенность нашей стратегии заключается в движении от B2B-сегмента к решениям для защиты пользовательских устройств. Этот путь открывает уникальные перспективы, поскольку изначально базируется на строгих стандартах корпоративной безопасности и защите бизнеса от современных киберугроз.
■ Рекламаerid:2W5zFGXBBu2Рекламодатель: Акционерное общество «Позитив Текнолоджиз»ИНН/ОГРН: 7718668887/1077761087117Сайт: https://ptsecurity.com/ru-ru
