Et af emner af interesse på 7 Tutorials er sikkerhed. Ikke kun skriver vi artikler og vejledninger om, hvordan man har en sikker computeroplevelse, men vi gennemgår også regelmæssigt sikkerhedsprodukter. Et af de ting, vi ønskede at lære mere om, er, hvordan sikkerhedsprodukter fremstilles: hvad er de involverede trin? de vigtigste udfordringer? etc. Luck har det, at vi fik chancen for at mødes med Alexandru Constantinescu - Social Media Manager hos Bitdefender, der straks sagde: "Hej! Hvorfor betaler du ikke os et besøg og lærer mere fra vores team? Vi accepterede invitationen og i dag kan vi dele med dig en omfattende diskussion om, hvordan sikkerhedsprodukter bliver lavet. "
Vores diskussionspartnere
BitDefender er et sikkerhedsselskab, som ikke kræver meget introduktion. Eller i det mindste ikke til vores læsere. De er det førende sikkerhedsselskab i Rumænien, og de udvikler sikkerhedsprodukter, der modtog masser af ros og værdsættelse. Deres produkter vises konstant i lister med de bedste sikkerhedsløsninger.
Vi gik til BitDefender hovedkvarter i Bukarest og havde en lang diskussion med Cătălin Coşoi - Chief Security Researcher (på billedet ovenfor) og Alexandru Bălan - Senior Product Manager. De er både meget kyndige og venlige mennesker, med hvem vi har haft denne samtale.
Hvordan sikkerhedsprodukter fremstilles
Vi spildte ikke meget tid på introduktioner, og vi startede straks vores samtale.
Hvad er de trin, du går igennem, mens du udvikler en ny version af et sikkerhedsprodukt, som f.eks. En Internet Security Suite?
Tilgangen er ikke helt forskellig fra dit typiske softwareudviklingsprojekt. Lad os sige, at vi lige har lanceret 2012-versionen af vores produkter. Så snart lanceringen er færdig, begynder vi at arbejde på 2013-versionen. Først beslutter vi for det sæt af funktioner og ændringer, der vil blive introduceret i denne næste version.
For at identificere de funktioner, der vil have stor indflydelse på den næste version, har vi diskussioner med flere publikum: korrekturlæsere, sikkerhedseksperter, tekniske eksperter og brugere, der kan give os indsigt i hvad der virker, hvad der ikke og hvad kunne fungere godt i den næste version. Derudover giver vores eget tekniske team input baseret på deres ekspertise og visioner om, hvor de gerne vil tage produktet. Vi gør også en markedsanalyse for bedre at forstå retningen (er), hvor andre virksomheder er på vej. Baseret på alle disse indgange, kalder vi på, hvad der bliver inkluderet i den næste version, og hvad der ikke gør.
Derefter har vi udviklingsstadiet, med flere testfaser inkluderet. For det første har vi en intern forhåndsvisning, når vi tester vores pre-beta-software. Dernæst har vi flere beta faser:
- En intern beta - ligesom den interne preview, men med et lidt større publikum, der tester produktet;
- En privat beta - hvor vi vælger en lukket kreds af brugere udefra for at teste produktet. Vi involverer op til et par tusind brugere, og vi vælger folk, hvis feedback vi anser for nyttige. Vi inddrager kyndige brugere, mennesker, som vi havde et længere samarbejde med, tekniske eksperter, hvis mening vi værdsætter osv.
- En offentlig beta - den finder sted 2 til 3 måneder før den faktiske lancering. På nuværende tidspunkt kan alle interesserede hente produktet, teste det og give feedback.
Under beta-stadierne finjusterer vi produktet kontinuerligt, og lige før lanceringen har vi et lille tidsvindue for at få de sidste detaljer. Derefter starter lanceringen, hvor marketing, PR, salg og andre hold er involveret i at lave den nødvendige buzz, mens udviklingsholdet håndterer eventuelle problemer, der måtte opstå.
Faktisk lyder det ikke anderledes end andre softwareudviklingsprojekter. Men er der nogen udfordringer, der er specifikke for denne niche at udvikle sikkerhedssoftware?
Det skulle være behovet for agility i ordets rigtige forstand. Det er nøglen til vores niche, mere end i nogen anden form for softwareudvikling. For at beskytte vores kundes computere, netværk og enheder skal vi være meget hurtige i at reagere på nye trusler. Generelt har du ikke mange nye typer trusler på en dag. De fleste malware er simpelthen en udvikling af ældre malware, og vi finder det generelt nemt at håndtere dette. Men når noget helt nyt kommer op, må vi handle meget hurtigt. På bare et par timer skal du mindst levere en opdatering til dine definitioner eller heuristics, der vil holde dine kunder trygge.
Det er endnu sværere, når det for at svare på en ny trussel ikke er nok at opdatere vores definitioner, og vi skal udvikle en ny funktion i vores produkt. Dette påvirker ikke kun de produkter, der aktuelt bruges af vores kunder, men også de nye produkter, vi udvikler.
Lad os tage for eksempel Facebook. Da det voksede i popularitet, blev det et hyppigt værktøj til distribution af spam og malware. Som du kunne forvente, har vi altid haft øje med dette sociale netværk og overvåget, at malwareforbindelserne er spredt igennem den og inkluderet dem i vores sky-database. Vi følte dog behovet for at udvikle et nyt værktøj, der beskæftiger sig med malware på Facebook på en bedre måde. Sådan skabte vi konceptet for BitDefender SafeGo (et produkt gennemgik også på 7 Tutorials ). I efteråret 2010 lancerede vi den første version af dette produkt, og det blev senere en integreret del af vores sikkerhedsprodukter, såsom BitDefender Internet Security Suite 2012.
Faktisk et godt eksempel. Taler om BitDefender SafeGo - har du til hensigt at holde den tilgængelig også som et frit produkt til ikke-betalende kunder, som det er i dag?
Ja, dette produkt vil være tilgængeligt både i vores kommercielle sikkerhedsprodukter og som en gratis Facebook og Twitter app. Det skyldes, at sikkerhedsproblemerne på Facebook fortsat vil eksistere og spredes. Dette produkt hjælper os med at identificere malware hurtigere og beskytte både vores betalende og ikke-betalende kunder. Vi mener også, at at gøre dette værktøj til rådighed gratis hjælper med at øge bevidstheden om BitDefender til kunder, der måske ikke har hørt om os. Hvis de kan lide BitDefender SafeGo, har vi større chance for at overveje andre sikkerhedsprodukter, vi udvikler.
Hvilke andre eksempler på, hvornår der behøves stor agility?
En anden ting, vi gør vores bedste for at gøre, er at prøve at se muligheder for at opfylde andre typer sikkerhedsbehov, som folk har, ikke kun din standardvirusdetektion og beskyttelse. Hvis du f.eks. Husker kontroversen om Carrier IQ - et program, der er installeret af mange mobilleverandører, var det logning af oplysninger som f.eks. Placering uden at underrette brugere eller give dem mulighed for at fravælge. Selv om dette ikke var en del malware og var forudinstalleret på din telefon af din mobiloperatør, ønskede mange mennesker at vide, om de havde installeret den på deres telefoner eller ej. Da vi lærte om det, var det en lørdag. Et medlem af vores team gik til kontoret, brugte omkring 3 til 4 timer og udviklede et gratis produkt fra bunden til Android-brugere. Det hedder Bitdefender Carrier IQ Finder, og det fik Android-brugere hurtigt at vide, om de bliver sporet eller ej.
Lad os tale lidt om cloud computing. Vi ser det bruges mere og mere i sikkerhedsprodukter. Nogle leverandører tilbyder endda kun skybaseret sikkerhed i deres produkter. Hvad synes du om denne tilgang?
Cloud computing har absolut en vigtig rolle inden for sikkerhedsløsninger. Vi mener dog, at en hybrid-tilgang, der bruger både definition databaser og skyen, leverer de bedste resultater. Når kun skyen bruges, er du afhængig af internetforbindelsen. Hvis det er væk, forbliver systemet ubeskyttet. At have en blanding af malware-definitioner og skyen, leverer bedre resultater i de fleste computerscenarier.
Har du planer om at bruge cloud computing endnu mere i fremtiden? Måske endda tage den samme sky-only tilgang?
Ikke rigtig. Vi tror på at bruge de teknologier, der passer bedst til formålet. Hvis vi f.eks. Vil beskytte en brugers webbrowser, bruger vi kun skyen. Ondsindede websteder er de samme, ligeglade med operativsystemerne og browsere, som folk bruger til at få adgang til dem. Også, hvis der ikke er internetadgang, kan brugeren ikke surfe på internettet. Derfor er der ikke noget problem, hvis skybeskyttelsen heller ikke er tilgængelig.
For det antivirus vi mener er det bedst at bruge både klassiske definitioner og skyen. Definitionerne hjælper med at beskytte, når skyen ikke er tilgængelig på grund af en internetforbindelse. De gør også adfærdsmæssige analyser af filer og programmer køre hurtigere end, når man forsøger at bruge skyen til samme formål. Når vores software gør nogen form for adfærdsmæssig og handling analyse, giver definitionerne mere fart end skyen gør.
Fortæl os lidt mere om de teknologier, BitDefender bruger til at beskytte et system.
Generelt er der i BitDefender-produkter tre hovedteknologier, der bruges til at sikre systemer:
- Behave - dette overvåger og lærer din applikations generelle adfærd
- Aktiv Virus Control - overvåger handlinger, der er taget af et program og blokerer dem, der er mistænkelige eller misforståede.
- Cloud - samler information fra mange kilder om malware og opdaterer sig selv kontinuerligt. Dataene fra skyen bruges af næsten alle beskyttelsesmoduler, der er inkluderet i vores produkter.
Hvad er dine kilder til at finde og lære om nye former for malware?
Vi har mange kilder til at lære om nye vira og malware generelt:
- honeypots;
- BitDefender SafeGo, med sin støtte til både Facebook og Twitter;
- Dataene fra vores kunders computere om infektioner og mistænkelige aktiviteter;
- Vores samarbejde med andre sikkerhedsudbydere;
- Offentlige malware databaser.
Honeypots. Det lyder interessant. Fortæl os lidt mere om dem. Hvad er de præcist?
Honeypots er systemer, vi distribueres på tværs af vores netværk, der fungerer som ofre. Deres rolle er at se ud som sårbare mål, som har værdifulde data om dem. Vi overvåger løbende disse honeypots og indsamler alle former for malware og oplysninger om sort hat aktiviteter.
En anden ting, vi gør, er at sende falske e-mail-adresser, der automatisk indsamles af spammere fra internettet. Derefter bruger de disse adresser til at distribuere spam, malware eller phishing-e-mails. Vi samler alle de meddelelser, vi modtager på disse adresser, analyserer dem og udtræk de nødvendige data for at opdatere vores produkter og holde vores brugere sikre og spamfrie.
Lad os antage, at du lige har identificeret et nyt stykke malware. Hvad gør du med det? Hvordan finder du ud af hvad det gør og hvordan man desinficerer et system bedst?
I det mindste i første omgang er vi ikke interesserede i at lære, hvad den slags malware gør. Vi er interesserede i at lære, om dens adfærd er mistænkelig eller ej, hvis det er en virus eller ej. Dette gør det muligt for vores produkter at handle og gøre ting som skåret adgang til netværket eller placere i karantæne det stykke malware.
Alle de nye stykker malware, der er identificeret, sendes automatisk til vores forskningslaboratorium i Iaşi. Holdet der tager sig af at dekonstruere virusserne, forstå hvad de gør og opdatere vores definitioner database med de relevante oplysninger.
Taler om forskergruppen, fortæl os lidt mere om dem og deres arbejde med "hacking" -virus.
Nå, de er meget specialiserede team, der arbejder i et meget lukket miljø, fra alle perspektiver. For eksempel ønsker vi ikke virus, de arbejder på, for at komme ud i det vilde eller spredes ind i vores eget netværk. Alle er sikkerhedseksperter, der er dygtige i ting, der varierer fra kryptering til at være flydende med flere programmeringssprog (herunder samlingssprog), kendskab til internetprotokoller, hackingsteknikker mv.
De har ansvaret for dekryptering af en viruskode og opdatering af vores definitioner databaser med de relevante oplysninger. Men inden de går på arbejde med at oprette en definitionopdatering alene, skal de gennemgå en langvarig proces med uddannelse og specialisering, der tager 9 måneder. De har ikke lov til at arbejde sammen med vores definition databaser selv, før de har gennemgået al den krævede uddannelse og har bevist, at de ved, hvad de skal gøre.
Vi vil også gerne præcisere en bylegende, hvis du gerne vil kalde det på den måde: Mange mener, at de bedste hackere og virus beslutningstagere bliver ansat af sikkerhedsfirmaer, herunder BitDefender. I det mindste når det kommer til vores virksomhed, er det ikke sandt. Under ansættelsesprocessen filtrerer vi alle de kandidater, der har oprettet malware, eller har gjort nogen form for svindel hacking.
Vi foretrækker at blive tilsluttet af holdmedlemmer, som vi kan stole på. Vi vil have folk til at deltage i os, fordi de nyder en stor sikkerhedsudfordring og ikke bruger deres færdigheder og intelligens til egoistiske formål. Alle i vores forskerhold kan i det mindste oprette deres egen virus, hvis ikke engang hack et mere komplekst system. Men de gør det ikke, fordi de mener, at det ikke er den rigtige ting at gøre, og ikke korrekt brug af deres talenter. Også vores firma ville ikke tolerere denne form for adfærd.
Hvor ofte søger dine produkter efter nye definitioner på dine servere?
En gang hver 45 til 60 minutter. Det er meget vigtigt for os at få nye definitioner afleveret hurtigst muligt. Nogle gange, hvis en given situation kræver det, sender vi også push notifikationer, så vores sikkerhedsprodukter opdaterer sig med det samme og venter ikke på, at den planlagte opdatering finder sted. Vi vil gerne kunne sende data, så snart vi lærer noget nyt. Det er imidlertid ikke muligt ud fra et teknisk perspektiv, og det ville ødelægge vores brugeres databehandling. Derfor holder vi push notifikationer og opdateringer til et minimum, og brug dem kun, når det virkelig giver mening.
Samarbejder du med andre virksomheder og deler viden og information om de seneste sikkerhedstrusler?
Ja vi gør. Vi samarbejder med 6 andre virksomheder, herunder vores partnere, som vi har licens til vores teknologi, såsom F-Secure eller G-Data. Vi kan dog ikke oplyse navnene på de andre selskaber.
Hvor meget investerer du i de mere sekundære funktioner, der ikke nødvendigvis bidrager til at øge systemets sikkerhed? Jeg henviser til funktioner, der hovedsagelig er inkluderet i Total Security Suites, såsom: Forældrekontrol, File Backup, Filsynkronisering osv.Det er klart, at de klassiske træk ved en sikkerhedssuite som f.eks. Antivirus, firewall, antispam osv. Er hovedfokus for vores teams arbejde og modtager de fleste af vores virksomheds udviklingsressourcer. Vi har dog dedikerede hold til hver af de sekundære funktioner, vi tilbyder i vores produkter, og de er bemandet efter behov, afhængigt af mængden af arbejde, der kræves for at opretholde disse moduler. Du kan forestille dig, at vi ikke har brug for så mange som arbejder på forældrekontrol som på antivirusbeskyttelsesmotoren.
BitDefender har en klassisk sortiment af produkter: BitDefender Antivirus, Internet Security Suite, Total Security Suite og Sphere, som tilbyder en licens til op til 3 brugere, der kan bruge den øverste sikkerhedssuite, du leverer, på enhver platform, du understøtter, på en ubegrænset antal enheder. Hvilke af disse begreber er mest populære hos dine brugere? Foretrækker de de ekstra funktioner i en Total Security-suite eller de mere klassiske sikkerhedsprodukter?
BitDefender Internet Security Suite er absolut vores mest populære produkt. Der er mennesker, der nyder de ekstra funktioner i en Total Security Suite, men de er i mindretal. Vi har imidlertid været glædeligt overrasket over den succes og positive feedback, vi modtog for vores nye BitDefender Sphere-produkt. Det ser ud til, at mange mennesker nyder at have en samlet sikkerhedsløsning, som kan beskytte deres pc'er, Macs og Android-baserede smartphones eller tabletter. De nyder meget fleksibilitet ved at købe en mere overkommelig licens til at beskytte alle computerenheder i deres hjem.
Sidst men ikke mindst, lad os tale lidt om Windows 8 og dens nye Metro-grænseflade. Planlægger du at tilbyde sikkerhedsløsninger designet til den nye touch-grænseflade? Vil du give separate sikkerhedsprodukter til Windows 8 tabletter?
Vi arbejder helt sikkert på at tilbyde nogle spændende produkter til Windows 8 og den nye Metro-grænseflade. Udfordringen med Metro er, at applikationerne kører med begrænsninger og begrænsede tilladelser. De har ikke fuld adgang til systemet som Desktop applikationer gør. Derfor er vi nødt til at finde måder at omgå og sikre effektiv beskyttelse.
Desværre har vi ikke mulighed for at diskutere flere specifikationer om vores planer med sikkerhedsprodukter til Windows 8. Vi vil være i stand til at levere flere oplysninger tættere på Windows 8, der afsluttes og stilles til rådighed.
Konklusion
Som du kan se fra denne diskussion, er det ikke nogen nem opgave at udvikle en god sikkerhedsløsning. Det indebærer masser af arbejde, viden om forskellige aspekter af computing, netværk og sikkerhed. Vi håber du fandt denne samtale interessant og nyttigt for at lære mere om hele processen.
Før vi lukker denne artikel, vil vi gerne takke BitDefender for at sende os denne invitation og give os mulighed for at have en meget interessant samtale med nogle af deres bedste specialister.