В структуре исследовательских подразделений ведущих ИТ-компаний ключевую роль обычно играют лаборатории по созданию будущих продуктов, и путь от идеи до рынка, как правило, занимает значительное время. Однако новые угрозы безопасности возникают чуть ли не каждую секунду, что требует от антивирусных экспертов анализа в режиме 24х7х365, а результаты их работы сразу же идут в дело. Работа лабораторий производителей антивирусных средств проходит практически в реальном времени  — именно в таких условиях действуют исследовательские центры компаний ESET и «Лаборатория Касперского», что, однако, не исключает длительных углубленных исследований и разработок, в результате которых появляются новые технологии в области информационной безопасности.

Специфика в изучении сложных угроз

Вирус под микроскопом
АЛЕКСАНДР МАТРОСОВ: «Исследователь в области информационной безопасности — не профессия, а стиль жизни»

Международная структура исследований и разработок компании ESET включает в себя несколько исследовательских центров в Словакии, Польше, США, Канаде, Аргентине, Сингапуре, Чехии и России. О работе центра вирусных исследований и аналитики компании ESET в Москве рассказывает его директор Александр Матросов.

Какими исследованиями занимается центр?

Россия и страны СНГ — крупный регион со своей спецификой распространения вредоносных программ, которые часто сначала появляются именно здесь, а в других регионах либо вовсе отсутствуют, либо «всплывают» несколько позже. Поэтому в 2009 году было принято решение сформировать в этом регионе центр по изучению изменений в ландшафте вирусных угроз.

Первоначально основными направлениями деятельности были мониторинг региона, выделение наиболее явных тенденций распространения вредоносных программ, анализ их влияния на общемировую обстановку, оценка вероятности распространения в других регионах и мониторинг криминальных групп. Сейчас спектр задач расширился: помимо мониторинга региона мы отслеживаем наиболее изощренные и сложные угрозы по всему миру и реализуем механизмы их дезактивации, лечения и т. д.

В чем специфика региона?

Современная тенденция состоит в том, что злоумышленники все чаще интересуются 64-разрядными платформами, — это связано с их активным проникновением как в пользовательский, так и в бизнес-сегмент. Первый руткит (rootkit) — программа, позволяющая злоумышленнику скрыть свое присутствие на компьютере, — TDL4 (Win64/Olmarik) для 64-разрядных систем появился в июле 2010 года, а группа людей, которая его разрабатывала, по нашему мнению, включала в себя достаточно много россиян, потому что наиболее активное распространение этой программы было замечено с серверов, аффилированных с российскими киберкриминальными группировками. Затем в конце весны – начале лета 2011 года появилась еще одна вредоносная программа, Win64/Rovnix, для 64-разрядных систем, которая также имеет российские корни. На мой взгляд, это наиболее сложные на сегодняшний день угрозы, и это говорит о том, что технологический потенциал российских киберпреступников гораздо выше общемирового уровня.

На протяжении последних двух лет нарастала волна распространения в России и СНГ вредоносных программ, нацеленных на мошенничество в области дистанционного банковского обслуживания юридических лиц. В этом направлении работают несколько крупных групп киберпреступников — есть порядка десяти вредоносных программ, которые активно распространяются в нашем и близлежащих регионах и практически не известны за рубежом. Первой мишенью для таких программ являются российские банки. Речь идет о хищениях колоссального масштаба — например, в одном случае за полтора месяца злоумышленники похитили 15 млн долл.

Нам удалось добиться определенного успеха в борьбе с этими угрозами в сотрудничестве с правоохранительными органами, которым давались сведения о работе вредоносной программы. Мы также взаимодействуем с рядом банков, которые предоставляют нам информацию об угрозах, и проводим для них анализ вредоносной программы, помогающий понять, что необходимо предпринимать, чтобы в дальнейшем избежать подобного рода атак.

Как результаты работы реализуются в продуктах ESET?

Центр является исследовательским подразделением — мы не занимаемся промышленным кодированием, а анализируем угрозы информационной безопасности. Одна группа вирусных аналитиков специализируется на низкоуровневых исследованиях, занимаясь вредоносными кодами, которые взаимодействуют с системой на уровне ядра. Другая выполняет анализ более высокого уровня, а есть отдельная группа по банковским троянам. В задачи всех этих групп входят анализ вредоносной программы, восстановление алгоритмов ее работы, реализация способов ее обнаружения и лечения. Для этого используются специализированные программные инструменты — как общедоступные, например Interactive Disassembler, так и внутренние.

Пользователи антивирусов каждые несколько часов получают обновления, в которые включаются различные алгоритмы обнаружения угроз. Если эти угрозы оказываются достаточно сложными и входящими в продукт возможностями их нельзя дезактивировать, разрабатываются специальные модули, которые поставляются пользователям.

Существуют разные классы угроз. Есть простые вредоносные программы, которые неглубоко внедряются в систему и поддаются лечению путем удаления из ветки реестра автозапуска пути к исполняемому файлу. Но есть достаточно серьезные, мы их называем сложными угрозами, которые глубоко интегрируются в систему. Например, относительно недавний вирус для BIOS (Win32/Wapomi) можно отнести к классу сложных угроз — ни одна антивирусная компания сейчас не имеет возможности уничтожать модифицированный BIOS. Специфика нашего центра — сложные угрозы. Так, благодаря нашим исследованиям был выпущен первый отчет по червю Stuхnet в сентябре 2010 года. Stuхnet представлял собой нечто новое с точки зрения киберугроз, и его глубинное исследование помогло получить полное понимание происходящего, а без этого мы не сможем противостоять угрозам, которые ожидают нас в будущем.

Существуют ли механизмы не только выявления, но и прогнозирования угроз?

У нас есть технология ESET Live Grid, которая обеспечивает сбор статистики с компьютеров пользователей, если они дают на это разрешение. Поскольку помимо сбора статистики данный сервис реализует облачное обнаружение угроз, большинство пользователей активируют эту технологию, тем самым повышая свою защиту. С помощью Live Grid мы собираем статистику о распространении угроз по всему миру и количестве проникновений той или иной угрозы в определенном регионе, что позволяет в глобальном масштабе моделировать карту угроз и прогнозировать проникновение в близлежащие регионы. Если пошло распространение угрозы с функционалом червя, то можно по этой карте понять, в какой регион надо экстренно начать поставлять утилиты лечения.

Каков путь от идеи до продукта?

Есть определенные требования рынка к функционалу наших продуктов, и есть разработки, которые мы ведем независимо от потребностей рынка. Так, наша компания одной из первых начала разрабатывать и совершенствовать эвристические методы детектирования угроз, которые теперь стали конкурентным преимуществом наших антивирусных программ. Конкретную угрозу можно определить по некоторому шаблону или признаку, который находится в исполняемом модуле вредоносной программы, но если этот модуль изменится, то обнаружение будет невозможно. Эвристические методы позволяют привязываться к более конкретным характеристикам вредоносной программы, и если программа будет модифицирована, то при сохранении этих характеристик антивирус продолжит обнаруживать угрозы. Преимущество такого рода решений в том, что одно эвристическое детектирование позволяет обнаруживать очень большое количество паттернов.

Проводятся и чисто исследовательские работы, не нацеленные на получение прямой выгоды компанией в ближайшее время. Например, активно ведутся исследования аппаратной виртуализации с точки зрения построения защиты на ее основе.

Каковы источники тем исследований: анализ рынка, идеи сотрудников, перспективные задачи компании?

Симбиоз всех этих факторов. Например, несколько лет назад не было необходимости в антивирусах для Android, а за последнее время очень многие производители презентовали свои антивирусные продукты для этой платформы. Для того чтобы выпустить такие решения, необходимо глубокое понимание того, как работает операционная система, какие риски безопасности для пользователей она несет. Задача исследовательского подразделения антивирусной компании — детально изучить специфику платформы с точки зрения возможных проблем безопасности. Исследования и разработки, позволившие сейчас выпустить антивирус для Android, ведутся с того времени, когда еще не было представления о том, какую популярность приобретет эта платформа. В нашем центре работы над мобильными решениями не ведутся, но мы принимали участие в мозговых штурмах с командой, которая работает над антивирусной платформой для Android.

Вообще, антивирусная индустрия с точки зрения исследований очень динамична — появляются совершенно непредсказуемые вещи, которые в дальнейшем порождают новые направления для изучения. Например, есть ряд вредоносных программ, которые используют для взаимодействия командных центров ботнета и инфицированных машин пиринговые протоколы, что усложняет возможности дезактивации таких центров. И сейчас ведется ряд исследований, в том числе и нами, каким образом эффективно противодействовать таким ботнетам.

Еще одно интересное направление исследований — защита смарт-карт, которые используются, например, для аутентификации доступа к личному кабинету в банковской системе, хранения электронной цифровой подписи при осуществлении банками крупных денежных переводов. Казалось бы, эта технология надежно защищает пользователя от мошеннических действий, однако мы столкнулись с интересными способами обхода защиты смарт-карт. После того как пользователь ввел свой пароль для смарт-карты, программы, которым пользователь даст разрешение, могут работать с этой смарт-картой. У пароля есть время действия, например до следующей перезагрузки компьютера, и в этот период злоумышленники также смогут работать со смарт-картой, используя программные интерфейсы, реализованные в Windows. Мы первыми провели такое исследование и сообщили о существующей уязвимости. Реализовать соответствующую защиту — это уже задача поставщиков смарт-карт.

Какие еще задачи ставит распространение мобильных устройств, в том числе для бизнес-применений?

Лет шесть-семь назад необходимость устанавливать на мобильный телефон антивирусные продукты была неочевидна, а сейчас о мобильных угрозах знают многие и мало кто задается вопросом, зачем нужен антивирус, тем более что антивирус для мобильного устройства дает возможность обнаруживать вредоносные файлы, блокировать нежелательные контакты. В наших продуктах реализована также функция «Блоквор», которая позволяет защитить информацию в случае утери или кражи мобильного телефона. Если в ваш телефон вставили чужую SIM-карту, эта функция даст вам возможность узнать, какой телефонный номер сейчас активен на вашем устройстве, отправив SMS по заранее заданному номеру. Далее вы можете дистанционно послать SMS со специальной командой, которая позволит удалить конфиденциальные либо вообще все данные с вашего телефона.

Ведутся ли в вашем центре исследования в области безопасности облаков?

Абсолютной защиты облачной инфраструктуры не существует — защитные механизмы позволяют только снизить до приемлемого уровня риски безопасности. Мы изучаем возможности удобной и эффективной интеграции наших антивирусных продуктов в различные облачные сервисы: например, для хостинга файлов это может быть проверка файлов, которые размещены в хранилищах, для облачной почты — фильтрация спама и т. д. Ведутся также интересные работы, связанные с интеграцией обнаружения вредоносных ссылок в социальные сервисы. Злоумышленники придумывают все новые ухищрения для взлома кода фильтров, которые установлены в социальных сетях.

Координируют ли производители антивирусов свою деятельность в борьбе с угрозами информационной безопасности?

На рынке антивирусов достаточно жесткая конкуренция, поэтому взаимодействие между производителями встречается крайне редко. В частности, когда началось широкое распространение червя Conficker, была создана группа Conficker Group, объединившая ряд компаний, которые делились между собой информацией, для того чтобы нейтрализовать эту угрозу. Фактором объединения производителей антивирусов является то, что сейчас в рамках одной компании сложно противодействовать крупным ботнетам — хосты и командные центры ботнета могут быть разбросаны по всему миру, и чтобы их нейтрализовать, надо находить общий язык с правоохранительными органами различных стран. Локальному производителю это сделать проще, поэтому сейчас именно в этом направлении наблюдается наибольшая активность объединения сил антивирусных компаний.

Уже более десяти лет идет обмен антивирусными коллекциями — мы, как и другие антивирусные компании, получаем очень большое количество образцов вредоносных программ. При этом возникает некоторое подмножество программ, которых нет у одной компании, но они могут быть у конкурентов. Всем было бы интересно такое подмножество покрыть. Для этого между компаниями заключается соглашение о взаимодействии и на регулярной основе предоставляются антивирусные базы. Такой обмен возможен, поскольку для компании важно, каким образом она обнаруживает вредоносные программы и их дезактивирует, но сами эти программы не представляют собой коммерческой тайны.

Какими знаниями и навыками должны обладать сотрудники центра?

Вузы в принципе не готовят исследователей в области информационной безопасности, причем не только в России, но и по всему миру. Я думаю, что это не профессия, а стиль жизни — требуются глубокие знания, владение очень большим количеством навыков, и при этом надо быть способным мыслить нестандартно. Надо уметь охватывать множество нюансов, связанных с данной задачей, смотреть на нее не только изнутри, но и снаружи. Таких людей найти сложно, потому что, по моему мнению, уровень нашего высшего образования падает с каждым годом. Хорошо, когда люди читают лекции и совмещают это с основной работой в области информационной безопасности. Я сам преподаю на кафедре криптологии и дискретной математики МИФИ, где веду авторский курс по защите программного обеспечения. Но если в вузе будут преподавать только специалисты из разных компаний, то это размоет академическую среду — необходимо найти золотую середину, как это происходит в западных университетах.

Специалисты по поиску и анализу уязвимостей должны владеть очень серьезными навыками обратного анализа для той платформы, для которой ведется исследование. На проверке этих навыков базируется сложившийся в нашем центре способ найма сотрудников и стажеров. Им дается задание для обратного анализа: программа, которую требуется проанализировать, содержит внутри себя несколько ключей (некоторых последовательностей), и их необходимо найти. Для того чтобы перейти на следующий уровень поиска, нужно ввести последовательность, найденную на предыдущем уровне. Уровни возрастают по сложности и позволяют проверить достаточно широкий спектр знаний.

 

Инновации — основа успеха

Ведущие ИТ-игроки не мыслят своего существования без специальных лабораторий, проводящих масштабные исследования в самых различных областях.

О мэйнфреймах и не только

Директор московской лаборатории систем и технологий IBM рассказывает о задачах и месте лаборатории в структуре исследовательских подразделений корпорации и в академическом сообществе.

Наталья Дубова

Наука о документах

Исследовательское подразделение Xerox берет свои истоки в знаменитом Xerox PARC, откуда вышли графический пользовательский интерфейс, мышь и Ethernet. Вице-президент Европейского центра Xerox рассказывает о деятельности центра.

Наталья Дубова

На пересечении интеллектуальных пространств

Компания Nokia не только выпускает мобильные телефоны, но и совместно с университетами по всему миру проводит перспективные исследования в сфере ИТ. Как организована исследовательская деятельность компании и каково участие в ней российских ученых?

Наталья Дубова

Идея, исследование, продукт

В основе технологий управления информацией лежит математический аппарат, а российские специалисты славятся высоким уровнем математической подготовки. Именно поэтому лаборатории HP Labs в Санкт-Петербурге, тесно сотрудничающей с ведущими университетами страны, была поручена работа в области управления неструктурированной информацией.

Наталья Дубова

Методики принятия решений при разработке ПО

Санкт-Петербургский центр разработки программных продуктов Motorola был открыт в 1997 году и сегодня ведет работы по четырем основным направлениям: Java-технологии; программное обеспечение для телекоммуникаций; решения и средства удаленного доступа; мультимедийные решения и технологии.

Наталья Дубова

Лидер команды прагматиков

Вопреки распространенному убеждению «либо бизнес, либо наука», Дик Лампман, старший вице-президент по исследованиям компании Hewlett-Packard и директор HP Labs, уверен: можно одновременно заниматься фундаментальными исследованиями и создавать конкурентоспособные продукты для массового рынка.

Дмитрий Волков

 

Быстрота реагирования как основа успеха

Вирус под микроскопом
НИКОЛАЙ ГРЕБЕННИКОВ: «Ключевым фактором развития наших технологий является поведение вредоносных программ»

Департамент исследований и разработки компании «Лаборатория Касперского» был сформирован в 2008 году, и сегодня его сотрудники работают в Москве, Санкт-Петербурге и Новосибирске, а также в офисах компании в США, Англии, Германии и Китае. Об их повседневных и перспективных задачах рассказывает Николай Гребенников, директор по исследованиям и разработке.

Что представляет собой департамент исследований и разработки?

Департамент ведет работы по двум связанным основным направлениям — исследовательскому и производственному. К исследовательскому относятся три лаборатории: антивирусных исследований, контентных технологий и защиты данных, технологий защиты на основе доверенных файлов и облачной инфраструктуры. В силу исторических причин ключевой является антивирусная лаборатория, в которой ведутся исследования возникающих вирусов и более сложных угроз.

Как работает антивирусная лаборатория?

Каждый день появляется порядка 70 тыс. новых вредоносных программ, поэтому очень большое значение для лаборатории имеет автоматизация оперативного получения новых вредоносных файлов посредством анализа интернет-ресурсов, статистики с компьютеров пользователей и файлов, полученных в процессе обмена коллекциями вредоносных файлов между антивирусными компаниями. Далее файлы проходят через «черный ящик», который на выходе выдает вердикт, является ли файл вредоносным. В этом «черном ящике» выделяются атомарные объекты (поскольку исходный файл может быть архивом, инсталлятором или еще каким-либо набором атомарных объектов), извлекаются метаданные файла (размер, способ упаковки, особенности структуры файла и т. д.), из нашей глобальной инфраструктуры Kaspersky Security Network запрашивается статистическая информация о том, насколько распространен этот файл.

Со всей этой информацией начинают работать модули процессирования. Эвристический модуль реализует эвристический анализ собранных на предыдущем этапе данных и принимает решение о вероятности того, что файл вредоносный. Модули анализа похожести поведения исполняемого файла сравнивают вновь пришедший файл с нашей базой, содержащей несколько миллионов вредоносных файлов. В результате всей этой работы определяется, что это точно вредоносный или «белый» файл, либо выносится вердикт, что решение не может быть принято автоматически и файл должен быть передан аналитикам. Согласно данным последней статистики, только 1,7% записей нашей антивирусной базы создается вручную. Ручная обработка потока файлов в лаборатории ведется круглосуточно.

Какие инструменты используются для автоматизации?

Стандартных инструментов нет, применяются специально написанные для этих целей средства, разработанные сотрудниками нашей инфраструктурной группы. Это, например, система автоматического детектирования на основе похожести, рабочее место вирусного аналитика, краулеры для анализа по ссылкам в Интернете и др. Каждый производитель антивирусов решает задачу автоматизации по-своему, и конкретные подходы можно считать конкурентным преимуществом. Ряд технологий запатентованы, а каждый производитель держит в секрете свои наработки — любая утечка позволяет злоумышленникам понять, как будут анализироваться их творения, и придумать способы обойти систему анализа.

Как в продуктах компании используются результаты работы департамента?

Новые антивирусные записи каждый час выкладываются в распределенную по всему миру систему серверов обновлений, а раз в несколько минут данные от вирусной лаборатории и лаборатории технологий защиты на основе доверенных файлов и облачной инфраструктуры попадают на серверы KSN. Антивирус на машине конечного пользователя автоматически или по расписанию обращается к серверам обновлений. Информация с серверов KSN запрашивается каждый раз, когда пользователь переходит в браузере на какой-либо сайт, запускает новое приложение или скачивает файлы. Это позволяет очень быстро реагировать на новые угрозы, не создавая окна уязвимости.

Наши технологии работают на четырех стадиях проникновения вредоносного кода на машину пользователя: попытка проникновения, попытка закрепиться на локальной машине, попытка запуска и, если она успешна, запуск. Попытка проникновения может быть через Интернет, с USB-устройства, через письмо в электронной почте. Для блокирования вредоносных ссылок используется URL-фильтр, который поддерживает лаборатория контентной фильтрации, а также новая технология Web-контроля, реализованная в наших корпоративных продуктах, — она проводит антивирусную проверку по категориям и типам контента. Контроль USB-устройств позволяет запретить исполнение файлов с устройств, незарегистрированных в общем реестре организации. Специальные перехватчики для электронной почты и других средств коммуникаций анализируют попытки скачивания файлов «на лету».

Если вирус преодолел стадию проникновения, то его ждет основной антивирусный движок, включающий эвристический анализатор, а при попытке запуска делается запрос в KSN о репутации файла. На стадии запуска контролируются ограничения, а также работает сложная технология behavioral stream signatures, позволяющая в реальном времени отслеживать поведение программы.

Если говорить о технологиях защиты на основе доверенных файлов, то с точки зрения сбора данных и доставки информации на конечные машины все происходит очень похоже на антивирусную функциональность. Специфика есть для корпоративного продукта, где реализуется концепция защиты на основе списков доверенных приложений. Со стороны системных администраторов и специалистов по безопасности мы получали много запросов реализовать возможность ограничивать запуск программ только разрешенным списком приложений. Все остальные программы, включая вредоносные, просто не запустятся. Однако распространение этого подхода сдерживается из-за объема легитимного ПО и его постоянной обновляемости. Учитывать в белых списках все обновления для всех приложений вручную очень сложно, и проблема только усугубляется с ростом размеров организации. Мы облегчаем задачу администраторов, предоставляя не просто список «белого» ПО, а список по категориям (версии файлов, производитель, тип), что позволяет просто и гибко настраивать систему защиты. Особое значение имеют так называемые golden images — категории, которые содержат файлы, необходимые для запуска операционной системы.

Решить проблему изменчивости «белого» ПО помогает наша технология доверенных модулей обновления, которая не имеет аналогов. Мы проанализировали и составили список модулей обновления для ключевых приложений, таких как Firefox, Internet Explorer, Adobe Reader и др., и реализовали обработку всей цепочки вызовов, которая происходит при обновлениях. В результате установка обновлений ПО пройдет максимально просто и не потребует вмешательства администратора. «Черная» база включает сейчас порядка 40 млн записей, и в нее добавляется около 70 тыс. в день, тогда как «белая» база сейчас содержит 300 млн записей и увеличивается ежедневно на миллион новых объектов. Насколько я знаю, ни у кого из наших конкурентов нет цельной инфраструктуры формирования белых списков. В этом мы имеем серьезное преимущество даже перед большими американскими компаниями. Лаборатория, в которой разрабатываются эти технологии, также поддерживает облачную инфраструктуру по предоставлению средств защиты.

Какие новые задачи ставит широкое распространение мобильных устройств?

Сейчас для мобильных устройств, в первую очередь на платформе Android, появляется все больше вредоносных программ, которые делают примерно то же, что и вирусы для Windows, но есть и своя специфика. Пользователи мобильных устройств пока редко выполняют в Интернете финансовые транзакции, да и сами устройства не настолько мощные, чтобы их было интересно вовлекать в ботнет-сети. Зато через них проходит популярная в России оплата с помощью SMS, чем активно пользуются злоумышленники. При этом мы наблюдаем, что вредоносные программы для мобильных устройств активно перенимают опыт, накопленный в больших системах.

Ведутся ли у вас работы в области безопасности облаков?

Пока никто не предлагает серьезных технических решений для обеспечения безопасности облаков, и прежде надо достичь общего понимания, что это такое, и принять ряд мер на законодательном уровне. Мы работаем над безопасностью решений виртуализации, ведь виртуальная машина может содержать вредоносный код, который будет атаковать другую виртуальную машину или гипервизор, чтобы получить доступ ко всем остальным машинам, хотя пока серьезных примеров таких угроз мы не знаем.

Интересной задачей является оптимизация нагрузки — установка антивируса на каждую виртуальную машину создает большую нагрузку на систему. Идея в том, чтобы одну машину считать безопасным процессинговым центром и на нее установить антивирус и все базы, а на остальных машинах будет работать легкий агент, посылающий запросы к центральной машине. Мы работаем над реализацией этой идеи в решении Kaspersky Security for Virtualization, позволяющем использовать в виртуальных инфраструктурах все необходимые антивирусные технологии с минимальным влиянием на производительность.

Еще одна важная задача — защита в социальных сетях. Мы разрабатываем специальное приложение, которое при инсталляции на Facebook будет проверять на вредоносность по нашей базе все приходящие вам ссылки. Кроме того, мы пытаемся убедить провайдеров социальных сетей уделять больше внимания безопасности, например, сейчас в Facebook по умолчанию включен протокол https.

Мы также намерены серьезно заниматься проблемой приватности в социальных сетях. Например, при размещении фотографий надо быть готовым к тому, что кто-нибудь, скачав фото специальным средством просмотра, сможет получить его метаданные, а все современные камеры в мобильных телефонах указывают GPS-координаты.

Координируют ли производители антивирусов свою деятельность?

Уже давно существует договоренность об обмене антивирусными коллекциями. Правда, некоторые производители предоставляют их либо не все, либо не вовремя, для того чтобы достичь каких-то преимуществ, например, перед важными внешними тестами. Есть также международные антивирусные конференции, на которых собираются эксперты со всего мира и делятся идеями.

Можно ли говорить о региональной специфике?

Вирусные угрозы универсальны, и, возможно, поэтому антивирусные решения в основном коробочные. Можно выделить три региона, где наиболее активно создаются вредоносные программы: Китай, Бразилия и Россия. В Китае превалируют игровые троянские программы и ботнеты, в Бразилии — атаки на банки, а в России большое разнообразие угроз.

Откуда вы берете кадры?

В российских университетах нет системного подхода к подготовке антивирусных экспертов и разработчиков защитного ПО. Возможно, это слишком узкая область, однако на сегодняшний день найти квалифицированного специалиста очень сложно, поэтому мы активно сотрудничаем с различными вузами, ищем таланты, но процесс обучения происходит уже непосредственно у нас. Мы смотрим, насколько человек открыт, активен и имеет желание что-то узнавать. Если все это присутствует, то успех почти обеспечен — отечественная система образования пока дает хорошую базу в области математики и информатики.