Планирует ли Microsoft захватить рынок информационной безопасности с помощью Windows 8?

    Недавняя конференция Build, организованная корпорацией Microsoft, вызвала настоящую сенсацию в отрасли после объявления о появлении в предстоящем выпуске Windows 8 многих новых полезных функций. Хотя главным образом эти особенности связаны с новым пользовательским интерфейсом, вопросами производительности и поддержки нескольких платформ; компания также представила и целый ряд инноваций в области безопасности. Сегодня мы зададим вопросы на эту тему Алексею Полякову, руководителю отдела оперативного решения вирусных инцидентов, нашего консультационного сервиса, который помогает компаниям в расследовании инцидентов с информационно безопасностью и дает рекомендации по улучшению корпоративных политик в данной области. Заметим, ранее он работал в Microsoft, где стоял у истоков разработки информационной безопасности продуктов компании.
    image
    – Алексей, привет! Что ты можешь сказать о безопасности продуктов Microsoft в целом?

    – Корпорация Microsoft известна прежде всего в качестве поставщика самой популярной операционной системы в мире, а также набора бизнес-приложений. К сожалению, очень успешный бизнес компании всегда вызывал интерес киберпреступников, которые пытаются использовать продукты Microsoft в своих незаконных целях.

    Как говорится, такова жизнь. Однако было бы неправильно из-за этого считать Microsoft какой-то зловредной компанией, которая разрабатывает плохое программное обеспечение; речь идет скорее о популярности ее продуктов, которая привлекает такое большое количество киберпреступников.
    В то же время Microsoft много делает для усиления безопасности своего ПО. Я знаю, о чем говорю. В свое время мне выпала честь работать в этой чрезвычайно успешной компании, а также со многими ее партнерами. В этом отношении «Лаборатория Касперского» является показательным примером. Мы опираемся на разумность решений Microsoft, другими словами, на их открытость и прозрачность, чтобы иметь возможности для более удачной интеграции наших продуктов с ПО Microsoft и улучшения защиты заказчиков. Я также должен сказать, что Microsoft очень много делает для того, чтобы мы (и наши заказчики) чувствовали себя комфортно.

    Компания непрерывно улучшает встроенные функции безопасности и делает это эффективно и быстро. И, конечно же, Microsoft активно улучшает свои решения в отличие от компании Apple, которая утверждает, что ее не беспокоит проблема вредоносного ПО, поскольку оно не может существовать в системе Mac OS. Microsoft очень эффективно и быстро устраняет нарушения безопасности, сразу же, как только они становятся очевидными, и делает это, прежде всего, за счет улучшений в работе системы автоматического обновления Windows и роста доли установок системы Windows 7 на персональных компьютерах.

    image
    – Как один из участников разработки некоторых важнейших технологий обеспечения безопасности Windows 8, что ты можешь сказать о главных достижениях в этой области?

    – Microsoft имеет большой опыт постоянного улучшения безопасности своих продуктов. Что касается пакета Windows 8, то в этом случае речь не идет о каком-то прорыве (не ждите от данной версии решения всех проблем, связанных с вредоносным ПО). Однако в новой системе имеются интересные функции, которые позволят нам более эффективно бороться с киберпреступниками. Некоторые из них предлагаются впервые, тогда как другие были в значительной степени переработаны по сравнению с прошлой версией.
    Первая линия защиты остается прежней. Здесь можно отметить улучшения как в работе средства удаления вредоносных программ (MSRT), так и программы Защитник Windows, причем последний продукт теперь способен обеспечивать защиту в реальном времени без имевшихся в прошлом навязчивых оповещений и уведомлений. В сочетании с технологией SmartScreen (аналогичной сервисам проверки репутации Модуль проверки ссылок и Репутация программы в наших продуктах) и улучшенной функцией BitLocker (средство шифрования диска, доступное для наиболее полных версий Windows 8) они обеспечивают превосходную базовую защиту.

    Тем не менее, если вредоносное ПО все же попадет в компьютер, пользователи смогут восстановить операционную систему с помощью сочетания функции безопасной загрузки Secure Boot (собственной проверки последовательности загрузки ОС в системе Windows) и диска восстановления Standalone System Sweeper (аналогичного нашему Диску аварийного восстановления – чистому загрузочному диску для восстановления системы).

    – Что-то не похоже на убийственную для рынка лавину новых решений! Как Вы думаете, почему Microsoft все еще продолжает разрабатывать собственные встроенные функции безопасности?

    – Я считаю, что в данном случае речь не идет о попытке Microsoft захватить рынок информационной безопасности. Компания очень хорошо понимает, что индустрия ИТ-безопасности (особенно, когда дело касается защиты от вредоносного ПО) является отраслью узкоспециализированных и гибких специалистов. Начиная с антивирусной программы MSAV в 1993 году, корпорация Microsoft предприняла несколько неудачных попыток выхода на этот рынок в качестве поставщика решений. Не думаю, что в ее планы входит повторение этой ошибки.

    Заказчики предпочитают решения, предлагаемые специализированными компаниями, работающими в области информационной безопасности, поскольку они обладают необходимым специальным опытом, на накапливание которого порой уходят десятилетия, и способны быстро реагировать на современные компьютерные атаки. Как правило, эти компании предлагают более совершенные возможности обнаружения и удаления вирусов, широкий набор продуктов, плюс необходимые сочетания решений для всевозможных операционных систем и платформ, мобильных устройств, серверов и настольных ПК, не говоря уже о многоуровневой защите и выделенных сервисах поддержки. Быстрота является ключевым фактором в этом бизнесе.

    Я считаю, что работа над улучшением безопасности продуктов Microsoft объясняется двумя основными причинами.

    Во-первых, заказчики, государственные органы, пресса, отрасль и т.д., – все подталкивали Microsoft к улучшению безопасности своих продуктов, и в этой связи функции защиты Windows 8 являются ответом на данные требования рынка и общества.

    Во-вторых, Microsoft и не претендует на обеспечение абсолютной, непробиваемой защиты по аналогии с неприступным хранилищем золотых запасов США на военной базе Форт Нокс. Вместо этого компания предоставляет пользователям крепкую базовую защиту и хорошо продуманную платформу для интеграции продуктов от поставщиков решений в области информационной безопасности.

    – Назови, пожалуйста, три наиболее важные функции обеспечения безопасности в системе Windows 8.

    – Конечно.

    • Это обновленный и расширенный Windows Defender, который тесно интегрирован со средством удаления вредоносных программ;

    • Диск восстановления Standalone System Sweeper;

    • И наиболее интересная, на мой взгляд, и технологически продвинутая функция безопасной загрузки Secure Boot. Она очень важна для сторонних решений в области защиты, поскольку обеспечивает получение полезных данных на ранних стадиях загрузки ОС и позволяет обнаруживать и предупреждать заражение таким наиболее изощренным вредоносным ПО, как руткиты и буткиты.

    – Твое имя упоминается в списке изобретателей технологии Secure Boot, а сам файл с данными о патентах датирован еще 2006 годом. Что можно сказать о причинах такой важности технологии Secure Boot, и почему ее внедрение в Microsoft заняло столько времени?

    – Я уверен, что Secure Boot намного усложняет жизнь киберпреступников. Конечно, нельзя сказать, что эта функция является панацеей. Однако она заставит злоумышленников заново переписать используемые процедуры заражения и заняться поиском новых путей получения контроля над компьютерами. Рано или поздно они найдут такой способ. Вопрос лишь в том, когда, и насколько эффективным он окажется.
    И, конечно же, Microsoft потребовалось довольно много времени, чтобы перейти от стадии проверки концепции технологии Secure Boot к этапу готовой для использования функции. Однако необходимо учитывать тот факт, что это был очень сложный проект, в котором прямо с этапа первоначальной разработки участвовало множество различных рабочих групп. Тем не менее, я очень рад, что в Microsoft был дан «зеленый свет» для этой технологии, и она в конце-концов появилась в системе Windows 8.

    – Пожалуйста, расскажи подробнее о Secure Boot!

    – Технология Secure Boot является частью стандартного процесса загрузки операционной системы. При этом на ранней стадии загрузки происходит проверка каждого драйвера программного обеспечения и тем самым изначально не допускается использование вредоносных драйверов.

    Фактически, Secure Boot – это часть программной архитектуры Platform Integrity Architecture (PIA – архитектура целостности платформы), которая также включает в себя два дополнительных компонента: драйвер Early Launch Anti-Malware (ELAM – ранний запуск антивредоносной программы) и функцию Measured Boot Attestation (MBA – измеряемая аттестация загрузки). Архитектура PIA работает в сочетании с другой полезной функцией – диск восстановления Standalone System Sweeper, которая позволяет выполнять глубокий анализ системы. Она может анализировать файлы и содержимое реестра зараженной системы при бездействующей ОС. В целом, это отличное решение для ликвидации последствий сложных атак с использованием вредоносного ПО и удаления скрытых вредоносных программ из последовательности начальной загрузки ОС.

    – Какую позицию занимает Microsoft в вопросе прозрачности отношений и сотрудничества с независимыми поставщиками ПО, и в частности, с поставщиками ПО в области информационной безопасности? И еще, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8?

    – Мне особенно импонирует открытость, которую Microsoft проявляет в отношении независимых поставщиков ПО. Например, мы в ЛК очень тесно работаем с Microsoft для включения поддержки всех основных функций обеспечения безопасности Windows 8 в наши будущие продукты. И это не просто какой-то разовый случай такого сотрудничества. Мы уже длительное время ведем совместную продуктивную работу и с начала 2000-х годов сотрудничаем по каждому новому выпуску Windows.

    Что касается второго вопроса о том, каким образом независимые поставщики ПО могут использовать новые функции обеспечения безопасности в системе Windows 8. Наша задача заключается в предоставлении поддержки архитектуры PIA сразу после выпуска системы, чтобы обеспечить пользователям возможность полного использования преимуществ ее функций.

    Мы начали работать с Microsoft над обеспечением безопасности Windows 8 в 2010 году. Наши разработчики принимали участие в специальных тренингах и семинарах мозгового штурма, чтобы глубже понять особенности платформы и изменения в архитектуре, напрямую и лично беседовали с ребятами из Microsoft.
    В целом, я должен сказать, что Microsoft много делает для повышения защищенности своих продуктов, и демонстрирует высокий уровень открытости и стремления к сотрудничеству с независимыми поставщиками ПО. За это я снимаю перед ними шляпу.

    – Что могут ожидать пользователи от будущих версий наших продуктов с точки зрения интеграции с новыми функциями обеспечения безопасности в системе Windows 8? В чем заключаются преимущества такой интеграции?

    – Мы полностью поддерживаем архитектуру PIA и также интегрируем, где это возможно, наши продукты, предназначенные как для дома, так и для бизнеса, с другими функциями обеспечения безопасности Windows 8.

    Например, в настоящее время мы в тесном взаимодействии с Microsoft работаем над обеспечением поддержки упомянутой уже функции Early Launch Anti-Malware (ELAM) с целью усиления нашей защиты от руткитов, – возможно самой известной и изощренной технологии, используемой во вредоносном ПО. Функция ELAM позволит нам надежно блокировать руткиты при загрузке ОС и значительно повысит наши возможности по очистке от вирусов уже зараженных компьютеров.

    Как уже говорилось, другой полезной функцией Windows 8, которую мы собираемся интегрировать в свои продукты, является аттестация Measured Boot Attestation (MBA). Эта технология выполняет роль своего рода гарантии безопасности на уровне ядра Windows, которая обеспечивает допуск в последовательность начальной загрузки ОС только проверенных и сертифицированных приложений. Тем не менее, в будущей версии KIS/KAV 2013 мы усовершенствуем процесс аттестации и подключим его к основанной на облачных вычислениях сети Kaspersky Security Network ( видео, дополнительная информация). В конечном итоге, в этой функции также будут использованы преимущества нашей технологии составления списка «белых» приложений и достигнута максимальная степень интеграции продуктов Windows и «Лаборатории Касперского», а также их защиты от различных опасностей.

    – Отлично! Алексей, большое спасибо за эту беседу и интересный рассказ о будущих функциях обеспечения безопасности системы Windows 8 и наших планах по ее поддержке.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Comments 4

      +3
      Мелкомягкие закриптовали загрузик, выпустили лайвсиди, поправили баги в Windows Defender. Зачем ради изложения этих трёх фактов нужна такая стена текста, не вполне ясно.
      • UFO just landed and posted this here
          0
          Товарищ, мы переслали вопрос Алексею, и вот ответ:

          Есть несколько продуктов в линейке MS ForeFront. Первое — это ForeFront for Exchange.

          Этот продукт был преобразован из купленной Микрософтом компании Subari в 2005 (точно не помню дату). Компания Subari, занималась проверкой почтового траффика.

          Суть идеи проста — есть десяток сканеров, включая сканер от Касперского. Весь почтовый трафик перенаправлялся через сервера Subari. Таким образом, Subari смогла стать успешной на рынке ИТ. После покупки Микрософтом, деятельность компании не претерпела изменений. Офис так и остался на Логн-Айленд, штат Нью-Йорк. Только поменялась вывеска. Конечно, некоторые АВ вендоры ушли от МС по причинам конкуренции. Это самый, наверное, успешный опыт МС в сфере ИТ безопасности. Основная причина успеха — Subari была успешной и самодостаточной компанией. Даже после покупки, они остались независимыми.

          Очень часто внешние эксперты имееют ввиду именно этот проект, когда говорят про ForeFront security. Но это не единственный проект под маркой ForeFront.

          Есть еще ForeFront for SharePoint. Далее еще одно подразделение, которое предоставляет сервис, подобный Subari, но только покупатель получает не возможность перенаправлять траффик через сервеса Subari, а некотрый продукт, который работает и фильтруем спам и вредоносы прямо на Exchange серверах клиента.

          Еще есть ForeFront Client Security (внутреннее наименование — Stirling). Этот прямой конкурент Kaspersky EndPoint 8. Этот проект успешно завалился после почти 5-и летних усилий. После выхода первой версии (которая была просто провальной, так как количество клиентов, купивших ее можно сосчитать пальцами на руке) компания МС вложила еще 3 года разработки с возможностью выпуска версии 2. К сожалению, через 3 года было принято решение прекратить работу над этим проектом и закрыть направление весной 2010 года. Это было связано с низким качеством и неконкурентностью продукта.

          Как видно на сайте, FCS так и остался в стадии бета-версии с 2009 года. В 2010 году группа была ликвидированна, а проект закрыт в ноябре 2009.

          По ценовой политике, ForeFront Client Security (FCS) предлагался бесплатно в рамках корпоративного предложения, как нагрузка к Windwos Server, Echange и пр. То есть сам FCS — бесплатный!

          В настоящее время компания МС пытается сделать что-то более простое и соединить Enterprise AV solution с System Center. FCS был переименован в Forefront Endpoint Protection 2010. Не уверен, что после стольких неудач МС сможет преодолеть накопившиеся проблемы.

          www.zdnet.com/blog/microsoft/microsofts-forefront-stirling-security-suite-faces-yet-another-setback/5968
          “As part of this strategy, we already announced that Forefront Endpoint Protection 2010 will be built on System Center Configuration Manager and the newly announced Windows Intune follows this same approach of converging endpoint management and security for mid-sized companies.”

          Если вспомнить первональный платный антивирус OneCare, который так же завершился полным провалом. Взамен появился лишь Windows Essentials (чисто маркетинговая утилита, предназначенная для успокоения домохозяек), сделанный на основе Windows Defender. Кстати, Windows Defender (переименован из MS Antispyware) так же целиком основан на покупке компании Giant в 2004-2005 году. Сам по себе Essencial не в состоянии бороться с вредоносами так же эффективно, как и продукты других специальзированных вендоров. Достаточно посмотреть на уровень детекции пассивных и активных вредоносов (Virus Bulletin, AV-test.org, и других). Я не буду говорить про качество защиты, скажу что Essentials имеет наименьшее количество уровней защиты, что вполне подходит для бесплатного антивируса.

          Еще раз повторю. Самое главно качество любой защиты — это понимание состояния современных угроз и способность оперативно отвечать на них в продукте. Специализированные компании скорее всего более эффективно решают эти вопросы.

          Спасибо,
          АП
          0
          «И, конечно же, Microsoft активно улучшает свои решения в отличие от компании Apple, которая утверждает, что ее не беспокоит проблема вредоносного ПО, поскольку оно не может существовать в системе Mac OS.»

          Ага, если верить задору автора, то Apple только и делает, что ухудшает свои решения, в отличии от святой Microsoft :)

          Only users with full accounts can post comments. Log in, please.