Ett av ämnena av intresse vid 7 Tutorials är säkerhet. Inte bara vi skriver artiklar och handledning om hur man har en säker datorupplevelse, men vi granskar också säkerhetsprodukter regelbundet. En av de saker vi ville lära oss mer om är hur säkerhetsprodukter görs: vad handlar stegen? De viktigaste utmaningarna? etc. Luck har det att vi fick chansen att träffas med Alexandru Constantinescu - Social Media Manager hos Bitdefender, som omedelbart sa: "Hej! Varför betalar du inte ett besök och lär dig mer från vårt lag? Vi accepterade inbjudan och idag kan vi dela med dig en omfattande diskussion om hur säkerhetsprodukter görs. "
Våra diskussionspartners
BitDefender är ett säkerhetsföretag som inte borde kräva mycket av en introduktion. Eller åtminstone inte till våra läsare. De är det ledande säkerhetsföretaget i Rumänien och de utvecklar säkerhetsprodukter som fick mycket beröm och uppskattning. Deras produkter visas hela tiden i listor med de bästa säkerhetslösningarna.
Vi gick till BitDefender huvudkontor i Bukarest och hade en lång diskussion med Cătălin Coşoi - Chief Security Researcher (på bilden ovan) och Alexandru Bălan - Senior Product Manager. De är båda mycket kunniga och vänliga människor, med vilka vi haft det här samtalet.
Hur säkerhetsprodukter görs
Vi slösade inte mycket tid på introduktioner och vi började genast vårt samtal.
Vad är de steg du går igenom, samtidigt som du utvecklar en ny version av en säkerhetsprodukt, till exempel en Internet Security Suite?
Tillvägagångssättet skiljer sig inte riktigt från ditt typiska mjukvaruutvecklingsprojekt. Låt oss säga att vi just lanserade 2012-versionen av våra produkter. Så snart lanseringen slutar börjar vi arbeta med 2013-versionen. Först bestämmer vi för vilken uppsättning funktioner och ändringar som kommer att introduceras i den här nästa versionen.
För att identifiera de funktioner som kommer att ha stor inverkan på nästa version, har vi diskussioner med flera publikgrupper: granskare, säkerhetsexperter, tekniska experter och användare som kan ge oss insikter om vad som fungerar, vad som inte och vad kan fungera bra i nästa version. Utöver det ger vårt eget tekniskt team insatser utifrån sin expertis och vision om var de skulle vilja ta produkten. Vi gör också en marknadsanalys för att bättre förstå den riktning (er) där andra företag är på väg. Baserat på alla dessa ingångar, ringer vi på vad som ingår i nästa version och vad som inte gör det.
Då har vi utvecklingsstadiet, med flera testfaser som ingår. Först har vi en intern förhandsgranskning när vi testar vår pre-beta-programvara. Därefter har vi flera beta-steg:
- En intern beta - precis som den interna förhandsgranskningen, men med en något större publik som testa produkten.
- En privat beta - där vi väljer en sluten användarekrets utanför företaget för att testa produkten. Vi involverar upp till några tusen användare och vi väljer personer vars feedback vi anser vara till hjälp. Vi inkluderar kunniga användare, personer med vilka vi hade ett längre samarbete, tekniska experter vars åsikter vi värderar etc .;
- En offentlig beta - den äger rum 2-3 månader före den faktiska lanseringen. Vid denna tidpunkt kan alla intresserade hämta produkten, testa den och ge feedback.
Under beta-stadierna finjusterar vi produkten kontinuerligt och strax före lanseringen har vi ett litet tidsfönster för att göra de sista detaljerna. Sedan startar lanseringen, där marknadsföring, PR, försäljning och andra lag är inblandade i att göra den nödvändiga buzzen, medan utvecklingsgruppen hanterar eventuella problem som kan uppstå.
Det låter faktiskt inte annorlunda än andra mjukvaruutvecklingsprojekt. Men finns det några utmaningar specifika för denna nisch att utveckla säkerhetsprogram?
Det skulle behöva smidighet i ordets mest förnuftiga mening. Det är nyckeln till vår nisch, mer än i någon annan linje av mjukvaruutveckling. För att skydda kundens datorer, nätverk och enheter måste vi vara väldigt snabba när vi svarar på nya hot. Generellt har du inte många nya typer av hot som uppträder på en dag. De flesta skadliga program är helt enkelt en utveckling av äldre skadliga program och vi finner det generellt lätt att hantera detta. Men när något nytt kommer upp måste vi agera väldigt snabbt. På bara några timmar måste du leverera åtminstone en uppdatering till dina definitioner eller heuristics som kommer att hålla dina kunder säkra.
Det är ännu svårare när vi, för att svara på ett nytt hot, inte räcker till att uppdatera våra definitioner och vi måste utveckla en ny funktion i vår produkt. Det påverkar inte bara de produkter som för närvarande används av våra kunder utan även de nya produkterna vi utvecklar.
Låt oss ta till exempel Facebook. När det växte i popularitet blev det ett vanligt verktyg för distribution av skräppost och skadlig kod. Som du kan förvänta dig har vi alltid haft ett öga på detta sociala nätverk och övervakat att skadliga programlänkar sprids genom det och inkluderade dem i vår molndatabas. Vi kände emellertid behovet av att utveckla ett nytt verktyg som behandlar malware på Facebook på ett bättre sätt. Så här skapade vi konceptet för BitDefender SafeGo (en produkt som också granskades på 7 Tutorials ). Hösten 2010 lanserade vi den första versionen av den här produkten och blev senare en integrerad del av våra säkerhetsprodukter, till exempel BitDefender Internet Security Suite 2012.
Faktum är ett bra exempel. Talar om BitDefender SafeGo - har du för avsikt att hålla den tillgänglig också som en fri produkt för icke betalande kunder, som idag?
Ja, den här produkten kommer att finnas tillgänglig både i våra kommersiella säkerhetsprodukter och som en gratis Facebook- och Twitter-app. Det beror på att säkerhetsproblem på Facebook fortsätter att existera och sprida sig. Den här produkten hjälper oss att identifiera skadlig kod snabbare och skydda både våra betalande och icke betalande kunder. Vi tycker också att att göra detta verktyg tillgängligt gratis hjälper till att öka medvetenheten om BitDefender till kunder som kanske inte hört talas om oss. Om de gillar BitDefender SafeGo har vi en högre chans att de överväger andra säkerhetsprodukter vi utvecklar.
Några andra exempel på när stor smidighet behövs?
En annan sak som vi gör vårt bästa för att göra är att försöka hitta möjligheter att möta andra typer av säkerhetsbehov som människor har, inte bara din vanliga virusdetektering och skydd. Om du till exempel kommer ihåg kontroversen om Carrier IQ - en mjukvara som installerats av många mobilleverantörer, loggade den information som plats utan att anmäla användare eller låta dem välja bort. Även om detta inte var en del skadlig kod och var förinstallerad på din mobil av din mobiloperatör, ville många människor veta om de hade det installerat på sina telefoner eller ej. När vi lärde oss om det var det en lördag. En medlem av vårt team gick till kontoret, tillbringade cirka 3 till 4 timmar och utvecklat en fri produkt från början för Android-användare. Det heter Bitdefender Carrier IQ Finder och det fick Android-användare att snabbt lära sig om de spåras eller inte.
Låt oss prata lite om cloud computing. Vi ser att den används mer och mer i säkerhetsprodukter. Vissa leverantörer erbjuder även enbart molnbaserad säkerhet i sina produkter. Vad tycker du om detta tillvägagångssätt?
Cloud computing har definitivt en viktig roll när det gäller säkerhetslösningar. Vi tror emellertid att ett hybrid-tillvägagångssätt som använder både definitiondatabaser och molnet, ger de bästa resultaten. När bara molnet används, är du beroende av Internetanslutningen. Om det är borta kvarstår systemet oskyddat. Med en blandning av malwaredefinitioner och molnet, ger bättre resultat i de flesta datascenarier.
Planerar du att använda cloud computing ännu mer i framtiden? Kanske även ta samma moln-bara tillvägagångssätt?
Inte riktigt. Vi tror på att använda den teknik som bäst passar syftet. Om vi till exempel vill skydda en användares webbläsare använder vi bara molnet. Skadliga webbplatser är desamma, likgiltiga med operativsystem och webbläsare som folk använder för att komma åt dem. Om det inte finns någon internetåtkomst kan användaren inte surfa på webben. Därför finns det inga problem om molnskyddet inte är tillgängligt.
För det antivirus vi tror är det bäst att använda både klassiska definitioner och molnet. Definitionerna bidrar till att skydda när molnet inte är tillgängligt på grund av en utlösning för Internet-anslutning. De gör också beteendeanalysen av filer och program körs snabbare än när man försöker använda molnet för samma ändamål. När vår mjukvara gör någon form av beteende- och åtgärdsanalys, ger definitionerna mer fart än molnet gör.
Berätta lite mer om tekniken BitDefender använder för att skydda ett system.
I allmänhet finns det i BitDefender-produkter tre huvudteknologier som används för att säkra system:
- Behave - det här övervakar och lär dig det allmänna beteendet hos dina applikationer;
- Aktiv viruskontroll - övervakar åtgärder som tagits av en applikation och blockerar de som är misstänkta eller misstänkta.
- Cloud - samlar information från många källor om skadlig kod och uppdaterar sig kontinuerligt. Uppgifterna från molnet används av nästan alla skyddsmoduler som ingår i våra produkter.
Vilka är dina källor för att hitta och lära sig om nya former av skadlig kod?
Vi har många källor för att lära oss om nya virus och skadlig kod i allmänhet:
- honeypots;
- BitDefender SafeGo, med stöd för både Facebook och Twitter;
- De data som skickas från våra kunders datorer om infektioner och misstänkta aktiviteter.
- Vårt samarbete med andra säkerhetsleverantörer;
- Offentliga malware databaser.
Honeypots. Det låter intressant. Berätta lite mer om dem. Vad exakt är de?
Honeypots är system vi distribuerade över vårt nätverk, som fungerar som offer. Deras roll är att se ut som sårbara mål, som har värdefulla uppgifter om dem. Vi övervakar kontinuerligt dessa honeypots och samlar in alla typer av skadlig kod och information om aktiviteter med svart hatt.
En annan sak vi gör är att sända falska e-postadresser som automatiskt samlas in av spammare från Internet. Sedan använder de dessa adresser för att distribuera spam, skadlig kod eller phishing-e-post. Vi samlar alla meddelanden vi mottar på dessa adresser, analyserar dem och tar ut de nödvändiga uppgifterna för att uppdatera våra produkter och hålla våra användare säkra och spamfria.
Låt oss anta att du bara identifierat en ny del av skadlig kod. Vad gör du med det? Hur får du reda på vad det gör och hur man desinficerar ett system bäst?
Åtminstone initialt är vi inte intresserade av att lära oss vad den här skadan gör. Vi är intresserade av att lära oss om dess beteende är misstänkt eller inte, om det är ett virus eller inte. Detta gör det möjligt för våra produkter att agera och göra saker som att skära åtkomst till nätverket eller placera i karantän den delen av skadlig kod.
Alla nya bitar av skadlig kod som identifieras skickas automatiskt till vårt forskningslaboratorium i Iaşi. Teamet där tar hand om att dekonstruera virusen, förstår vad de gör och uppdaterar vår definitiondatabas med lämplig information.
Tala om forskargruppen, berätta lite mer om dem och deras arbete med "hacking" -virus.
Jo, de är ett mycket specialiserat team som arbetar i en mycket stängd miljö, från alla perspektiv. Till exempel vill vi inte ha virus som de arbetar på, att komma ut i naturen eller sprida sig i vårt eget nätverk. Alla är säkerhetsexperter som är skickliga i saker som skiljer sig från kryptering till att vara flytande med flera programmeringsspråk (inklusive sammansättningsspråk), kunskap om internetprotokoll, hackteknik etc.
De har ansvaret för dekryptering av viruskoden och uppdatering av våra definitioner databaser med lämplig information. Men innan de börjar arbeta för att skapa en definitionuppdatering på egen hand, måste de genomgå en långvarig utbildning och specialisering som tar 9 månader. De får inte arbeta med våra definitiondatabaser på egen hand tills de har gått igenom all nödvändig utbildning och bevisat att de vet vad de ska göra.
Vi vill också förtydliga en urban legend om du skulle vilja ringa det så: många tror att de bästa hackarna och virusmakarna blir anställda av säkerhetsföretag, inklusive BitDefender. Åtminstone när det gäller vårt företag är detta inte sant. Under anställningsprocessen filtrerar vi bort alla kandidater som har skapat skadlig kod eller har gjort någon form av svarthatthackning.
Vi föredrar att vara med i gruppmedlemmar som vi kan lita på. Vi vill att människor ska gå med i oss eftersom de tycker om en stor säkerhetsutmaning och inte använder sina färdigheter och intelligens för själviska ändamål. Alla i vårt forskargrupp kan åtminstone skapa sitt eget virus om inte ens hacka ett mer komplext system. Men de gör det inte för att de anser att det inte är rätt sak att göra och inte rätt användning av sina talanger. Dessutom skulle vårt företag inte tolerera denna typ av beteende.
Hur ofta ser dina produkter efter nya definitioner på dina servrar?
En gång var 45 till 60 minuter. Det är väldigt viktigt att vi levererar nya definitioner så snart som möjligt. Ibland, om en given situation kräver det, skickar vi även push-meddelanden, så att våra säkerhetsprodukter uppdaterar sig omedelbart och inte väntar på att den schemalagda uppdateringen ska ske. Vi skulle vilja kunna skicka data så fort vi lär oss något nytt. Det är emellertid inte möjligt från ett tekniskt perspektiv och det skulle förstöra användarnas datorupplevelse. Det är därför vi håller på att trycka på meddelanden och uppdateringar till ett minimum och bara använda dem när det verkligen är vettigt.
Samarbetar du med andra företag och delar kunskap och information om de senaste säkerhetshoten?
Ja det gör vi. Vi samarbetar med 6 andra företag, inklusive våra partners som vi licensierade vår teknik, till exempel F-Secure eller G-Data. Vi kan emellertid inte avslöja namnen på de andra företagen.
Hur mycket investerar du i de mer sekundära funktionerna, som inte nödvändigtvis bidrar till att öka säkerheten för ett system? Jag hänvisar till funktioner som oftast ingår i Total Security Suites, till exempel: Föräldrakontroll, Filbackup, Filsynkronisering etc.Självklart är de klassiska funktionerna i en säkerhetspaket, som antivirus, brandvägg, antispam, etc., huvudfokus för vårt lagarbete och tar emot de flesta av vårt företags utvecklingsresurser. Vi har dock dedikerade team för alla sekundära funktioner som vi erbjuder i våra produkter och de är bemannade efter behov, beroende på hur mycket arbete som krävs för att behålla dessa moduler. Du kan tänka dig att vi inte behöver så många som arbetar med föräldrakontroll som på antivirusskyddsmotorn.
BitDefender har en klassisk sortiment av produkter: BitDefender Antivirus, Internet Security Suite, Total Security Suite och Sphere, som erbjuder en licens för upp till 3 användare som kan använda den bästa säkerhetspaketet du tillhandahåller, på vilken plattform du stöder, på en obegränsat antal enheter. Vilket av dessa begrepp är mest populära hos dina användare? Föredrar de de extra funktionerna i en Total Security-svit eller de mer klassiska säkerhetsprodukterna?
BitDefender Internet Security Suite är definitivt vår mest populära produkt. Det finns människor som åtnjuter de extra funktionerna i en Total Security Suite men de är i minoritet. Vi har dock blivit positivt överraskad av den framgång och den positiva feedback vi fick för vår nya BitDefender Sphere-produkt. Det verkar som om många tycker om att ha en enhetlig säkerhetslösning som kan skydda sina datorer, Mac och Android-baserade Smartphones eller Tabletter. De njuter mycket av flexibiliteten att köpa bara en mer överkomlig licens för att skydda alla datorer i sina hem.
Sist men inte minst, låt oss prata lite om Windows 8 och dess nya Metro-gränssnitt. Planerar du att erbjuda säkerhetslösningar avsedda för det nya touchgränssnittet? Kommer du att tillhandahålla separata säkerhetsprodukter för Windows 8-tabletter?
Vi arbetar definitivt med att erbjuda några spännande produkter för Windows 8 och det nya Metro-gränssnittet. Utmaningen med Metro är att applikationerna körs med begränsningar och begränsade behörigheter. De har inte full tillgång till systemet som skrivbordsprogram gör. Därför måste vi hitta sätt att komma runt det och ge ett effektivt skydd.
Tyvärr kan vi dock inte diskutera mer specifika om våra planer med säkerhetsprodukter för Windows 8. Vi kommer att kunna tillhandahålla mer information närmare Windows 8 som slutförts och görs tillgänglig.
Slutsats
Som du kan se från den här diskussionen är det inte lätt att utveckla en bra säkerhetslösning. Det innebär mycket arbete, kunskap om olika aspekter av dator, nätverk och säkerhet. Vi hoppas att du hittade det här samtalet intressant och användbart för att lära dig mer om hela processen.
Innan vi stänger denna artikel vill vi tacka BitDefender för att skicka oss denna inbjudan och ge oss möjlighet att ha en mycket intressant konversation med några av deras bästa specialister.