Зміна способу боротьби зі шкідливим програмним забезпеченням

Microsoft сидить на абсолютній золотій шахті інформації. Засіб видалення зловмисного програмного забезпечення (MSRT), що працює на мільярдах комп’ютерів по всьому світу, і кожен процес оновлення Windows надсилає тону неперсональної телеметрії назад до Microsoft Central. Ці дані можуть допомогти антивірусним компаніям та академічним дослідникам розробити кращі способи боротьби зі шкідливим програмним забезпеченням. У своєму виступі під час 9-ї міжнародної конференції IEEE щодо шкідливого та небажаного програмного забезпечення (короткочасне програмне забезпечення 2014 року) Деніс Батчелдер від Microsoft пояснив, що планує зробити гігант програмного забезпечення з усіма цими даними - і це не те, що ви можете очікувати.

Обмін є добрим

На минулорічній конференції Batchelder як директор із досліджень Центру захисту від шкідливих програм Microsoft детально розказав про те, що саме Microsoft може визначити з величезного кешу даних, що надходять з MSRT. Значна частина поточної діяльності його команди була натхнена дискусією, що виникла з цього виступу.

Batchelder поглибився в тему, зосередившись на шкідливих програм та антивірусних екосистемах. Синдикати злочинців конкурують за гроші та закупівлю технологій у квазілегальних постачальників - експлуатуйте набори, ботнети, все, що їм потрібно. Постачальники антимасових програм мають власну підтримку дослідників, Команди з готовності до надзвичайних ситуацій (CERT), правоохоронних органів тощо.

Проблема, зауважила Бетчелдер, полягає в тому, що хороші хлопці працюють не ефективно разом. Він детально розробив низку напрямків тертя, а також проекти, які Microsoft розробила для підвищення ефективності антисистемної екосистеми.

Цифрова витяжка

Дослідження визначили, які наркотики популярні в різних містах, проаналізувавши вміст каналізації, сказав Бетчелдер. На щастя для нас, відповідний проект Digital Exhaust не так вже й огидний. Batchelder пропонує розширити захист та виявлення шляхом пошуку партнерів, чиї зусилля вже виробляють інформацію про шкідливу діяльність як побічний ефект, і перетворюючи цю інформацію на щось більше.

Одним із прикладів партнера в цій ініціативі може бути група захисту від шахрайства в банку чи фінансовій установі. Ці групи вже мають розроблені алгоритми, які допомагають їм зрозуміти, чи справді ви несподівана плата у відпустці, чи ваш звіт зламали. Microsoft пропонує команді шахраїв поділитися своїми висновками, а натомість отримати відповідні дані з тієї золотої шахти телеметрії, про яку я згадав. Серед партнерів, які готуються до Майкрософт, - Yahoo, Яндекс, Facebook та Amazon.

Чистий союз програмного забезпечення

Чи повідомляв ваш антивірус про "потенційно небажану програму"? Microsoft викреслила слово "потенційно", оскільки майже всім користувачам це справді небажано. Найбільшими винуватцями їх поширення є упаковки для завантаження. Ви хочете завантажити інструмент, можливо, WinZip. Але при спробі ви отримуєте п'ять-шість пропозицій для панелі інструментів, плагіна, кодека, чогось іншого, ніж те, що ви хотіли.

Замість того, щоб писати підписи та знищувати ці небажані програми, Microsoft Clean Software Alliance - це план заохотити цих упаковщиків очистити свою діяльність. Ті, хто погодиться припинити додавати тіньові програми, можуть відображати логотип Clean Software Alliance. Із 75 таких постачальників, визначених корпорацією Майкрософт, 47 з них зв’язалися, 44 з них погодилися брати участь, сказав Бетчелдер.

Ця програма - це не те, на що Microsoft може погодитися, відзначив Batchelder. Компанія знайшла бажаного партнера в Організації стандартів тестування проти зловмисних програм (AMTSO). За підтримки Microsoft, AMTSO тепер керує ініціативою CSA.

Координоване усунення зловмисних програм

Правоохоронні організації та великі охоронні організації відслідковують міжнародні кільця злочинів та ботнети, які впливають на користувачів у всьому світі. Іноді у них достатньо доказів та посилань, щоб насправді зняти поганих хлопців. І іноді вони наступають на ноги один одного. Батчелдер вказав на кілька неприємних випадків, коли успіх Майкрософт у знищенні шкідливої ​​мережі пошкодив роботу інших груп.

Рішення? Координоване усунення зловмисних програм. На даний момент Microsoft та партнери працюють над декількома скоординованими заходами для різних мереж шпигунства та шахрайства. Batchelder з нетерпінням чекає одночасного запуску 10 або 15 таких проектів.

Вивчення даних

Бетчелдер пояснив, що не має інтересу в тому, щоб зробити Microsoft найбільшим, найкращим чи єдиним рішенням антивірусного програмного забезпечення. Власний аналіз компанії показує, що найкращий спосіб захисту від зловмисного програмного забезпечення - це різноманітна колекція рішень щодо безпеки. "Моя робота - не просувати наш антивірус", - підсумував Бетчелдер. "Моя робота - захистити Windows та всіх користувачів Windows."

Це, безумовно, благородні настрої. І ідея всіх хороших хлопців, які спільно працюють над боротьбою зі шкідливим програмним забезпеченням, - це, безумовно, ковток свіжого повітря. Я точно буду стежити за проектами Digital Exhaust, Clean Software Alliance та координованим викоріненням зловмисних програм. Щодо тих академічних дослідників, які присутні на цій та подібній конференції, вони тепер можуть отримати доступ до всієї телеметричної бази даних Microsoft. Немає жодних відомостей про те, які нові і корисні результати вони отримають від передачі цих даних через аналітичну викрутку.