Anders

Hoe beveiligingsproducten worden gemaakt - een discussie met Bitdefender

Een van de aandachtspunten bij 7 tutorials is beveiliging. We schrijven niet alleen artikelen en tutorials over hoe we een veilige computerervaring kunnen hebben, maar we evalueren ook regelmatig beveiligingsproducten. Een van de dingen waar we meer over wilden leren, is hoe beveiligingsproducten worden gemaakt: welke stappen zijn er bij betrokken? de belangrijkste uitdagingen? enz. Geluk hebben we de kans gekregen om Alexandru Constantinescu te ontmoeten - Social Media Manager bij Bitdefender, die meteen zei: "Hé, waarom betaal je ons niet een bezoek en leer je meer van ons team? vandaag kunnen we een uitgebreide discussie met u delen over hoe beveiligingsproducten worden gemaakt. "

Onze discussiepartners

BitDefender is een beveiligingsbedrijf dat niet veel van een introductie hoeft te vereisen. Of toch niet voor onze lezers. Zij zijn het toonaangevende beveiligingsbedrijf in Roemenië en zij ontwikkelen beveiligingsproducten die veel lof en waardering ontvangen. Hun producten worden voortdurend weergegeven in lijsten met de beste beveiligingsoplossingen.

We gingen naar het BitDefender-hoofdkantoor in Boekarest en hadden een lange discussie met Cătălin Coşoi - Chief Security Researcher (op de foto hierboven) en Alexandru Bălan - Senior Product Manager. Het zijn beiden zeer deskundige en vriendelijke mensen, met wie we genoten hebben van dit gesprek.

Hoe beveiligingsproducten worden gemaakt

We hebben niet veel tijd verspild aan introducties en we zijn meteen met ons gesprek begonnen.

Welke fasen doorloopt u terwijl u een nieuwe versie van een beveiligingsproduct ontwikkelt, zoals een Internet Security Suite?

De aanpak is niet echt anders dan uw typische softwareontwikkelingsproject. Laten we zeggen dat we zojuist de 2012-versie van onze producten hebben gelanceerd. Zodra de lancering is beëindigd, werken we aan de 2013-versie. Eerst beslissen we over de reeks functies en wijzigingen die in deze volgende versie zullen worden geïntroduceerd.

Om de functies te identificeren die een grote impact zullen hebben op de volgende versie, hebben we discussies met verschillende doelgroepen: reviewers, beveiligingsexperts, technische experts en gebruikers die ons inzichten kunnen geven over wat werkt, wat niet werkt en wat zou goed kunnen werken in de volgende versie. Bovendien geeft ons eigen technische team input op basis van hun expertise en visie over waar ze het product graag willen hebben. We doen ook een marktanalyse om de richting (en) waar andere bedrijven naartoe leiden beter te begrijpen. Op basis van al deze ingangen bellen we wat er in de volgende versie wordt opgenomen en wat niet.

Vervolgens hebben we de ontwikkelingsfase, met verschillende testfasen inbegrepen. Ten eerste hebben we een interne preview wanneer we onze pre-beta software testen. Vervolgens hebben we verschillende bètastadia:

  • Een interne bèta - net als de interne voorvertoning, maar met een iets grotere doelgroep die het product test;
  • Een privé-bètatest - waarbij we een gesloten kring van gebruikers van buiten het bedrijf kiezen om het product te testen. We betrekken tot een paar duizend gebruikers en we kiezen mensen waarvan we de feedback als nuttig beschouwen. We omvatten goed geïnformeerde gebruikers, mensen met wie we een langere samenwerking hadden, technische experts wier mening wij waarderen, enz .;
  • Een openbare bèta - het vindt plaats 2 tot 3 maanden voorafgaand aan de daadwerkelijke lancering. Op dit moment kan iedereen die geïnteresseerd is het product ophalen, testen en feedback geven.

Tijdens de bètastadia kunnen we het product op continue basis afstemmen en vlak voor de lancering hebben we een klein tijdvenster om de laatste hand te leggen. Vervolgens vindt de lancering plaats, waarbij marketing, PR, verkoop en andere teams betrokken zijn bij het maken van de vereiste buzz, terwijl het ontwikkelteam eventuele problemen oplost.

Inderdaad, het klinkt niet anders dan andere softwareontwikkelingsprojecten. Zijn er echter specifieke uitdagingen voor deze niche van het ontwikkelen van beveiligingssoftware?

Dat zou de behoefte aan behendigheid in de ware zin van het woord moeten zijn. Het is de sleutel tot onze niche, meer dan in elke andere lijn van softwareontwikkeling. Om de computers, netwerken en apparaten van onze client te beschermen, moeten we heel snel reageren op nieuwe bedreigingen. Over het algemeen verschijnen er niet veel nieuwe typen bedreigingen op een dag. De meeste malware is gewoon een evolutie van oudere malware en we vinden het over het algemeen gemakkelijk om hiermee om te gaan. Wanneer er echter iets echt nieuws opduikt, moeten we heel snel handelen. In slechts een paar uur moet u op zijn minst een update van uw definities of heuristieken leveren om uw klanten veilig te houden.

Het is nog moeilijker om, om een ​​nieuwe dreiging te beantwoorden, niet genoeg om onze definities bij te werken en we moeten een nieuwe functie in ons product ontwikkelen. Dit heeft niet alleen invloed op de producten die momenteel door onze klanten worden gebruikt, maar ook op de nieuwe producten die we ontwikkelen.
Laten we bijvoorbeeld Facebook nemen. Naarmate het populairder werd, werd het een frequent hulpmiddel voor het verspreiden van spam en malware. Zoals je zou verwachten, hadden we altijd een oogje op dit sociale netwerk en volgden we de malwarekoppelingen die erin verspreid werden en namen we ze op in onze clouddatabase. We voelden echter de behoefte om een ​​nieuwe tool te ontwikkelen die op een betere manier met malware op Facebook omgaat. Dit is hoe we het concept voor BitDefender SafeGo hebben gemaakt (een product dat ook in 7 zelfstudies wordt besproken). In het najaar van 2010 lanceerden we de eerste versie van dit product en later werd het een integraal onderdeel van onze beveiligingsproducten, zoals BitDefender Internet Security Suite 2012.

Inderdaad, een geweldig voorbeeld. Over BitDefender SafeGo gesproken - bent u van plan het ook beschikbaar te houden als gratis product voor niet-betalende klanten, zoals vandaag?

Ja, dit product zal zowel beschikbaar zijn in onze commerciële beveiligingsproducten als als een gratis Facebook- en Twitter-app. Dat komt omdat beveiligingsproblemen op Facebook blijven bestaan ​​en verspreiden. Met dit product kunnen we malware sneller identificeren en zowel onze betalende als niet-betalende klanten beschermen. We denken ook dat het gratis beschikbaar maken van deze tool bijdraagt ​​tot het vergroten van het bewustzijn van BitDefender voor klanten die misschien nog nooit van ons hebben gehoord. Als ze van BitDefender SafeGo houden, hebben we een grotere kans dat ze andere beveiligingsproducten overwegen die we ontwikkelen.

Nog andere voorbeelden van wanneer grote behendigheid nodig is?

Een ander ding dat we ons best doen, is het ontdekken van mogelijkheden om te voldoen aan andere soorten beveiligingsbehoeften die mensen hebben, niet alleen uw standaard virusdetectie en -bescherming. Als u zich bijvoorbeeld de controverse over Carrier IQ herinnert, een softwarepakket dat door veel mobiele leveranciers is geïnstalleerd, was dat het registreren van informatie zoals locatie zonder gebruikers op de hoogte te stellen of hen de mogelijkheid te geven zich af te melden. Hoewel dit geen malware was en vooraf door je mobiele provider op je telefoon was geïnstalleerd, wilden veel mensen weten of ze het op hun telefoon hadden geïnstalleerd of niet. Toen we erover vernomen hadden, was het zaterdag. Een lid van ons team ging naar het kantoor, bracht ongeveer 3 tot 4 uur door en ontwikkelde een volledig gratis product voor Android-gebruikers. Het wordt Bitdefender Carrier IQ Finder genoemd en het stelde Android-gebruikers in staat snel te leren of ze worden bijgehouden of niet.

Laten we een beetje praten over cloud computing. We zien dat het steeds meer wordt gebruikt in beveiligingsproducten. Sommige leveranciers bieden zelfs alleen op de cloud gebaseerde beveiliging in hun producten. Wat denk je van deze aanpak?

Cloud computing heeft zeker een belangrijke rol in de ruimte van beveiligingsoplossingen. Wij zijn echter van mening dat een hybride aanpak die zowel definitiedatabases als de cloud gebruikt, de beste resultaten oplevert. Wanneer alleen de cloud wordt gebruikt, ben je afhankelijk van de internetverbinding. Als dat weg is, blijft het systeem onbeschermd. Het hebben van een combinatie van malware-definities en de cloud, levert betere resultaten op in de meeste computerscenario's.

Ben je van plan om cloud computing in de toekomst nog meer te gebruiken? Misschien zelfs dezelfde benadering van de cloud alleen?

Niet echt. Wij geloven in het gebruik van die technologieën die het best bij het doel passen. Als we bijvoorbeeld de webbrowser van een gebruiker willen beschermen, gebruiken we alleen de cloud. Schadelijke websites zijn hetzelfde, onverschillig voor de besturingssystemen en browsers die mensen gebruiken om toegang te krijgen tot deze websites. Als er geen internettoegang is, kan de gebruiker ook niet surfen op internet. Daarom is er geen probleem als de cloudbescherming ook niet beschikbaar is.

Voor de antivirus vinden we dat het het beste is om zowel klassieke definities als de cloud te gebruiken. De definities bieden bescherming wanneer de cloud niet beschikbaar is vanwege een uitval van een internetverbinding. Bovendien maken ze de gedragsanalyse van bestanden en applicaties sneller dan wanneer ze de cloud voor hetzelfde doel proberen te gebruiken. Wanneer onze software enige gedrags- en actie-analyse uitvoert, bieden de definities meer snelheid dan de cloud.

Vertel ons iets meer over de technologieën die BitDefender gebruikt om een ​​systeem te beveiligen.

Over het algemeen zijn er in BitDefender-producten drie belangrijke technologieën die worden gebruikt om systemen te beveiligen:

  • Gedragen - dit monitort en leert het algemene gedrag van uw applicaties;
  • Actief virusbeheer - bewaakt de acties die door een toepassing worden ondernomen en blokkeert die acties die verdacht of kwaadwillend zijn.
  • Cloud - verzamelt informatie uit vele bronnen over malware en werkt zichzelf voortdurend bij. De gegevens uit de cloud worden gebruikt door bijna alle beveiligingsmodules in onze producten.

Wat zijn uw bronnen voor het vinden en leren van nieuwe vormen van malware?

We hebben veel bronnen om meer te leren over nieuwe virussen en malware in het algemeen:

  • honeypots;
  • BitDefender SafeGo, met zijn ondersteuning voor zowel Facebook als Twitter;
  • De gegevens die zijn verzonden vanaf de computers van onze klanten over infecties en verdachte activiteiten;
  • Onze samenwerking met andere beveiligingsproviders;
  • Openbare malwaredatabases.

Honeypots. Dat klinkt interessant. Vertel ons iets meer over hen. Wat zijn ze precies?

Honeypots zijn systemen die we via ons netwerk verspreiden en die als slachtoffers fungeren. Hun rol is om eruit te zien als kwetsbare doelen, die waardevolle gegevens over hen hebben. We controleren deze honeypots continu en verzamelen allerlei soorten malware en informatie over black hat-activiteiten.

Een ander ding dat we doen, is het uitzenden van valse e-mailadressen die automatisch worden verzameld door spammers van het internet. Vervolgens gebruiken ze deze adressen om spam, malware of phishing-e-mails te verspreiden. We verzamelen alle berichten die we ontvangen op deze adressen, analyseren deze en halen de vereiste gegevens op om onze producten bij te werken en onze gebruikers veilig en spamvrij te houden.

Laten we aannemen dat je zojuist een nieuw stuk malware hebt geïdentificeerd. Wat doe je ermee? Hoe kom je erachter wat het doet en hoe je een systeem het beste kunt desinfecteren?

Tenminste in eerste instantie zijn we niet zo geïnteresseerd in het leren van wat dat stukje malware doet. We willen graag weten of het gedrag verdacht is of niet, of het een virus is of niet. Hierdoor kunnen onze producten handelen en dingen doen zoals het verwijderen van toegang tot het netwerk of het in quarantaine plaatsen van dat stukje malware.

Alle nieuwe malware die wordt geïdentificeerd, wordt automatisch naar ons onderzoekslaboratorium in Iaşi gestuurd. Het team daar zorgt voor het deconstrueren van de virussen, begrijpt wat ze doen en actualiseert onze definitiesdatabase met de juiste informatie.

Over het onderzoeksteam gesproken, vertel ons iets meer over hen en hun werk over het "hacken" van virussen.

Welnu, ze zijn zeer gespecialiseerd team dat in een zeer gesloten omgeving werkt, vanuit alle perspectieven. We willen bijvoorbeeld geen virussen waar ze aan werken, in het wild weggaan of zich verspreiden naar ons eigen netwerk. Allemaal beveiligingsdeskundigen die bekwaam zijn in dingen die variëren van codering tot vloeiend zijn met meerdere programmeertalen (inclusief assembly-taal), kennis van internetprotocollen, hacktechnieken, enz.

Zij zijn verantwoordelijk voor het decoderen van de code van een virus en het bijwerken van onze definities-databases met de juiste informatie. Voordat ze zelf aan de slag gaan met het maken van een definitie-update, moeten ze echter een langdurig proces van training en specialisatie doorlopen dat 9 maanden in beslag neemt. Ze mogen alleen met onze definitiedatabases werken totdat ze alle vereiste trainingen hebben doorlopen en hebben bewezen dat ze weten wat ze moeten doen.

We willen ook een stedelijke legende verduidelijken, als je het zo wilt noemen: velen zijn van mening dat de beste hackers en virusmakers worden ingehuurd door beveiligingsbedrijven, waaronder BitDefender. Tenminste als het gaat om ons bedrijf, is dit niet waar. Tijdens het sollicitatieproces filteren we alle kandidaten die malware hebben gemaakt of black-hat hacking hebben gedaan.

We geven er de voorkeur aan samen te werken met teamleden die we kunnen vertrouwen. We willen dat mensen zich bij ons voegen omdat ze een grote beveiligingsuitdaging genieten en hun vaardigheden en intelligentie niet gebruiken voor egoïstische doeleinden. Iedereen in ons onderzoeksteam kan op zijn minst een eigen virus maken, zelfs zonder een complexer systeem te hacken. Ze doen het echter niet omdat ze denken dat het niet het juiste is om te doen en niet het juiste gebruik van hun talenten. Ook zou ons bedrijf dit soort gedrag niet tolereren.

Hoe vaak zoeken uw producten naar nieuwe definities op uw servers?

Een keer per 45 tot 60 minuten. Het is erg belangrijk voor ons om zo snel mogelijk nieuwe definities te hebben. Soms, als een bepaalde situatie dit vereist, sturen we ook pushmeldingen, zodat onze beveiligingsproducten zichzelf onmiddellijk updaten en niet wachten tot de geplande update plaatsvindt. We zouden graag gegevens kunnen verzenden zodra we iets nieuws leren. Dat is echter technisch niet haalbaar en zou de computerervaring van onze gebruikers verpesten. Daarom houden we pushmeldingen en updates tot een minimum beperkt en gebruiken ze alleen als het echt zinvol is.

Werkt u samen met andere bedrijven en deelt u kennis en informatie over de nieuwste beveiligingsrisico's?

Ja dat doen we. We werken samen met 6 andere bedrijven, waaronder onze partners waaraan we onze technologie hebben gelicentieerd, zoals F-Secure of G-Data. We kunnen de namen van de andere bedrijven echter niet bekendmaken.

Hoeveel investeer je in de meer secundaire functies die niet noodzakelijkerwijs bijdragen aan het verbeteren van de beveiliging van een systeem? Ik verwijs naar functies die voornamelijk in Total Security Suites zijn opgenomen, zoals: ouderlijk toezicht, bestandsback-up, bestandssynchronisatie, enz.

Uiteraard zijn de klassieke kenmerken van een beveiligingspakket zoals antivirus, firewall, antispam, enz. De belangrijkste focus van het werk van ons team en ontvangen we de meeste ontwikkelingshulpmiddelen van ons bedrijf. We hebben echter toegewijde teams voor elk van de secundaire functies die we aanbieden in onze producten en deze worden waar nodig bemand, afhankelijk van de hoeveelheid werk die nodig is om deze modules te onderhouden. Je kunt je voorstellen dat we niet zoveel mensen nodig hebben die aan ouderlijk toezicht werken als aan de antivirusbeschermingsengine.

BitDefender heeft een klassieke reeks producten: BitDefender Antivirus, Internet Security Suite, Total Security Suite en Sphere, die een licentie biedt voor maximaal 3 gebruikers die de beste beveiligingssuite die u aanbiedt, op elk platform dat u ondersteunt, kan gebruiken op een onbeperkt aantal apparaten. Welke van deze concepten is het populairst bij uw gebruikers? Geven ze de voorkeur aan de extra functies van een Total Security-suite of de meer klassieke beveiligingsproducten?

BitDefender Internet Security Suite is zonder twijfel ons populairste product. Er zijn mensen die genieten van de extra functies van een Total Security Suite, maar ze zijn in minderheid. We zijn echter aangenaam verrast door het succes en de positieve feedback die we hebben ontvangen voor ons nieuwe BitDefender Sphere-product. Het lijkt erop dat veel mensen graag een uniforme beveiligingsoplossing hebben die hun pc's, Macs en Android-gebaseerde smartphones of tablets kan beschermen. Ze genieten enorm van de flexibiliteit om slechts één meer betaalbare licentie te kopen om alle computerapparatuur in hun huizen te beschermen.

Last but not least, laten we een beetje praten over Windows 8 en zijn nieuwe Metro-interface. Bent u van plan om beveiligingsoplossingen te bieden die zijn ontworpen voor de nieuwe aanraakinterface? Levert u afzonderlijke beveiligingsproducten voor Windows 8-tablets?

We zijn absoluut bezig met het aanbieden van een aantal opwindende producten voor Windows 8 en de nieuwe Metro-interface. De uitdaging met Metro is dat applicaties worden uitgevoerd met beperkingen en beperkte machtigingen. Ze hebben geen volledige toegang tot het systeem zoals Desktop- applicaties dat doen. Daarom moeten we manieren vinden om dat te omzeilen en effectieve bescherming bieden.

Helaas hebben we niet de vrijheid om meer details over onze plannen te bespreken met beveiligingsproducten voor Windows 8. We zullen in staat zijn om meer informatie te bieden die dichter bij Windows 8 staat en die wordt gefinaliseerd en beschikbaar wordt gemaakt.

Conclusie

Zoals u uit deze discussie kunt opmaken, is het ontwikkelen van een goede beveiligingsoplossing geen eenvoudige taak. Het gaat om veel werk, kennis van verschillende aspecten van informatica, netwerken en beveiliging. We hopen dat je dit gesprek interessant en nuttig hebt gevonden om meer over het hele proces te weten te komen.
Voordat we dit artikel sluiten, willen we BitDefender bedanken dat ze ons deze uitnodiging hebben gestuurd en ons de mogelijkheid hebben geboden om een ​​zeer interessant gesprek te hebben met enkele van hun beste specialisten.