„DO RZECZY”: Czy w dzisiejszych czasach przeciętny użytkownik systemu Windows potrzebuje jeszcze zewnętrznych programów antywirusowych? Przecież ma to w systemie operacyjnym.
GRZEGORZ MICHAŁEK:Potrzebuje, a praktyka pokazuje, że wręcz bardzo potrzebuje. Musimy pamiętać, że z technicznego punktu widzenia w branży cyberbezpieczeństwa Microsoft jest takim samym graczem jak inni producenci. Oczywiście jako producent systemu operacyjnego, ma – handlowo i marketingowo – uprzywilejowaną pozycję, jednak technologicznie zmaga się dokładnie z takimi samymi wyzwaniami i problemami jak pozostali. Musi stale kontrolować cyberprzestrzeń, wyławiać nowe zagrożenia, aktualizować bazy i mechanizmy skanujące. I to wszystko zarówno w skali globalnej, jak i lokalnej. A w zakresie dynamiki zagrożeń pojawiających się lokalnie producenci globalni radzą sobie – w naszej ocenie – w stopniu niedostatecznym. Tutaj ważne jest błyskawiczne wykrycie zagrożenia i jeśli zachodzi taka potrzeba, natychmiastowa aktualizacja produktów, tak aby były w stanie ochronić użytkowników. Nasze codzienne doświadczenia i testy pokazują, że nader często zagrożenia, które my analizujemy „od ręki” zaraz po ich pojawieniu się w polskiej cyberprzestrzeni, przez zagraniczne laboratoria są przetwarzane nawet kilka dni, zanim zaktualizowane bazy zostaną publicznie udostępnione. Jest to istotny czynnik powodujący, że wielu użytkowników, zwłaszcza tych dotkniętych niewykrytą odpowiednio wcześnie infekcją, decyduje się na zmianę swojego dotychczasowego oprogramowania ochronnego na polski pakiet mks_vir.
Program antywirusowy integruje się głęboko z systemem operacyjnym, dajemy mu dostęp do wszystkich naszych plików. Branżowe media pisały jakiś czas temu, że jeden z rosyjskich programów antywirusowych mógł służyć kremlowskim służbom do wykradania danych z 400 mln komputerów. Jak się zabezpieczać, by samemu nie zaprosić do naszych komputerów hakerów?
Faktem jest, że program antywirusowy lub szerzej – pakiet ochronny – ma pełny dostęp do wszystkich danych znajdujących się w systemie operacyjnym. Jest to oczywiście niezbędne do zapewnienia maksymalnie skutecznej ochrony, jednak niesie ze sobą potencjalne ryzyko wycieku (niekoniecznie, co chcemy podkreślić, intencjonalnego) tajnych lub wrażliwych danych i ich utratę na rzecz podmiotów, które mogą je wykorzystać przeciwko osobom lub organizacjom, których te dane dotyczą. Warto przypomnieć nadal jeszcze gorący temat sprzedaży danych użytkowników przez jednego z dostawców darmowego (do wybranych zastosowań) oprogramowania antywirusowego. Ile takich sytuacji ma miejsce? Jakiego zakresu danych mogą dotyczyć? Kto może z tych danych korzystać? Co się stanie, gdy osoby niepowołane uzyskają dostęp do naszych danych? To trudne pytania, jednak warto je zadać przy tworzeniu polityki bezpieczeństwa i wyborze rozwiązań ochronnych. Jesteśmy zawsze otwarci na dialog w tym zakresie.
Zwracanie uwagi na kraj pochodzenia producenta oprogramowania może być zatem szczególnie istotne w przypadku firm i instytucji państwowych?
W przypadku firm i instytucji państwowych dobór odpowiednich rozwiązań ochronnych ma szczególne znaczenie. I wcale nie chodzi nam o podejście typu „polska młodzież śpiewa polskie piosenki”. Na to zagadnienie trzeba popatrzeć zdecydowanie szerzej. Po pierwsze, wybór rozwiązań ochronnych, w tym oprogramowania antywirusowego, powinien maksymalizować skuteczność ochrony i jednocześnie minimalizować ryzyko utraty danych na rzecz podmiotów (firm, organizacji, państw) nieuprawnionych. Po drugie, należy się upewnić, że możliwy będzie sprawny i merytoryczny dialog z producentem, np. w przypadku sytuacji wyjątkowych, prób ataków, infekcji itp. Rodzimy producent, skupiony na polskim rynku, ma na tym polu oczywistą przewagę nad firmami, które dysponują jedynie przedstawicielstwami handlowymi. Po trzecie – ścisła współpraca instytucji państwowych z rodzimymi producentami pozwala na stały rozwój i umacnianie narodowego cyberbezpieczeństwa, co ma strategiczne znaczenie w perspektywie kolejnych lat. Prowadzimy szeroko zakrojoną politykę informacyjną, prowadzimy rozmowy z wieloma specjalistami z różnych instytucji i z satysfakcją musimy przyznać, że nasze działania przynoszą zamierzony efekt. Jednak jest tutaj jeszcze dużo pracy do wykonania i dużo strategicznych decyzji do podjęcia.
Jakie są dziś najpoważniejsze zagrożenia, jeśli chodzi o nasze cyberbezpieczeństwo i jak na nie odpowiada wasze oprogramowanie?
Można tutaj nieco przewrotnie powiedzieć, że najpoważniejsze zagrożenia to te jeszcze niewykryte, niepoznane i nieprzeanalizowane. Uważam, że w tym stwierdzeniu kryje się kwintesencja skuteczności współczesnych rozwiązań ochronnych. Dynamika rozwoju szkodliwego oprogramowania i niewiarygodna wprost aktywność i pomysłowość cyberprzestępców nie pozwalają nawet na chwilę wytchnienia. W każdym momencie może się pojawić nowe zagrożenie, nowa forma ataku, nieznana dotychczas podatność lub kolejna, agresywna kampania e-mailowa mająca na celu dystrybucję szkodliwego oprogramowania. Warto wspomnieć, że tego typu kampanie są w większości przypadków precyzyjnie skonstruowane zarówno pod kątem technicznym, jak i socjotechnicznym, dzięki czemu doskonale wykorzystują nasze lokalne realia. My musimy błyskawicznie zareagować, a jest to możliwe dzięki szerokiemu spektrum narzędzi analizujących i ochronnych dostępnych w pakiecie mks_vir. Pełna kontrola potencjalnych ścieżek ataków (pliki, urządzenia USB, poczta elektroniczna, przeglądarki, ruch sieciowy) to klucz do skutecznej ochrony. Tutaj nic nie można przegapić, bo straty mogą być katastrofalne. Współczesne zagrożenia koncentrują się wokół wykradania informacji, szyfrowania danych (często niestety nieodwracalnego), wykorzystania zasobów zainfekowanych komputerów do dalszych przestępczych celów, takich jak akcje spamerskie czy nieuprawnione kopanie kryptowalut utylizujące praktycznie całą moc komputera. Stale obserwujemy również niegasnącą aktywność szkodliwego oprogramowania z rodziny Emotet. To ogromne wyzwanie zarówno dla programu, jak i programistów oraz analityków.
Mówienie o mks_vir „antywirus” to poważne uproszczenie. Czym wyróżnia się wasze oprogramowanie? Specjaliści z branży podkreślają często wagę rozwiązań klasy EDR. Co się kryje pod tym kryptonimem?
Zgadza się. Określenie „antywirus” to pozostałość poprzedniej epoki, które nadal funkcjonuje jako dobrze rozpoznawalna nazwa kategorii nawet bardzo rozbudowanych narzędzi ochronnych. Sam klasyczny antywirus to jedynie jeden z elementów takich pakietów. Podobnie jest w przypadku rozwiązań mks_vir, które wykorzystują mechanizmy kontrolujące wszystkie obszary zarówno systemu operacyjnego, jak i aktywności użytkownika. Kontrolowane są pliki, urządzania podłączane do komputera, dane pobierane przez przeglądarki, poczta elektroniczna, wszystkie nawiązywane połączenia sieciowe. „Pod maską” pakietu pracują dwa niezależne silniki antywirusowe, z których jeden jest ukierunkowany na zagrożenia charakterystyczne dla polskiej cyberprzestrzeni, a drugi skupia się na zagrożeniach globalnych. Do dyspozycji administratorów jest również rozbudowany moduł administracyjny pozwalający na zarządzanie bezpieczeństwem sieci z poziomu jednej konsoli. Szczególnie dumni jesteśmy z naszych mechanizmów klasy EDR, które już wielokrotnie wykazały swoją skuteczność, błyskawicznie tłamsząc epidemie w dużych sieciach. Mechanizm EDR, czyli Endpoint Detection and Response, odpowiada za wykrywanie i analizę nietypowych zachowań i aktywności w systemach operacyjnych i w sieciach. Wdrożony przez nas RoundKick EDR potrafi zestawiać ze sobą zdarzenia z różnych warstw systemu, poddać je wspólnej analizie i podjąć decyzję albo o natychmiastowej interwencji, albo o przekazaniu informacji o potencjalnie szkodliwym oprogramowaniu do naszego laboratorium. Wkraczamy tym samym na kolejny obszar wsparcia użytkowników obejmujący, przynajmniej częściowo, tzw. MSS (czyli Managed Security Services), w którym nasze laboratorium odpowiada za analizę incydentów, co przekłada się na aktualizację baz i samego programu o nowe wzorce zachowań i nowe sygnatury.
mks_vir to na polskim rynku marka legendarna, która rodziła się razem z całą branżą IT nad Wisłą. Zapewne w swojej historii gasiliście niejeden „pożar”.
To prawda – mks_vir chroni polską cyberprzestrzeń od ponad 30 lat. Nie były to lata łatwe, ale bez wahania mogę powiedzieć, że były bardzo ciekawe. Pożary gasimy cały czas. W tym kontekście jako „cyberstrażacy” jesteśmy praktycznie cały czas „w terenie”. Wielokrotnie zdarza nam się instalować nasze oprogramowanie w zainfekowanych, niedostatecznie dotychczas chronionych sieciach i usuwać szkodliwe oprogramowanie z kilkuset stacji. Jednak gdybym miał wskazać w całej naszej historii zdarzenie lub incydent, który najbardziej zapadł mi w pamięć, to wskazałbym epidemię wirusa Czarnobyl (znanego również jako CIH), który pod koniec lat 90. zainfekował kilkaset tysięcy komputerów na całym świecie, w tym również w Polsce. Wirus był na tyle dobrze napisany, że rozprzestrzeniał się w zastraszającym tempie i nawet pionierskie mechanizmy detekcji miały problemy z zatrzymaniem epidemii. Wirus występował w kilku odmianach, jednak większość z nich aktywowała swoje destru-kcyjne działania 26 kwietnia, czyli w rocznicę katastrofy w Czarnobylu. Zainfekowane systemy nie uruchamiały się, a dostęp do zapisanych na nich danych był odcięty. Pod naszą firmą stała wtedy dosłownie kolejka zdesperowanych ludzi z różnych firm, biur, instytucji, banków, którzy utracili dorobek często wielu lat pracy. Dla firmy księgowej czy projektowej, która zazwyczaj nie dysponowała jakąkolwiek kopią zapasową, taka utrata danych to był de facto wyrok śmierci. Na szczęście na podstawie analizy zachowań wirusa udało nam się znakomitą większość uszkodzonych dysków uratować i przywrócić dostęp do danych. Przyznaję, że niejeden doktorat wtedy ocaliliśmy. Patrząc na współczesne wydarzenia w zakresie bezpieczeństwa komputerowego i analizując ataki np. typu ransomware, często wspominam tamte dni, ponieważ mimo dzielących je lat zauważam tutaj pełną analogię do współczesności.
mks_vir to najstarszy polski i jeden z najstarszych na świecie programów antywirusowych. Specjaliści nieprzerwanie kontrolują sytuację zarówno w polskiej, jak i ogólnoświatowej cyberprzestrzeni, aby zagwarantować użytkownikom pakietu mks_vir najwyższy poziom ochrony. https://mks-vir.pl
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy tygodnika Do Rzeczy.
Regulamin i warunki licencjonowania materiałów prasowych.