Eines der Themen von 7 Tutorials ist Sicherheit. Wir schreiben nicht nur Artikel und Tutorials über eine sichere Computererfahrung, sondern überprüfen auch regelmäßig Sicherheitsprodukte. Wir möchten mehr darüber erfahren, wie Sicherheitsprodukte hergestellt werden: Was sind die einzelnen Schritte? die wichtigsten Herausforderungen? usw. Glücklicherweise hatten wir die Chance, uns mit Alexandru Constantinescu - Social Media Manager bei Bitdefender zu treffen, der sofort sagte: "Hey! Warum besuchst du uns nicht und lernst mehr von unserem Team? Wir haben die Einladung angenommen und Heute können wir mit Ihnen eine ausführliche Diskussion darüber führen, wie Sicherheitsprodukte hergestellt werden. "
Unsere Diskussionspartner
BitDefender ist eine Sicherheitsfirma, die nicht viel Einführung erfordern sollte. Zumindest nicht unseren Lesern. Sie sind das führende Sicherheitsunternehmen in Rumänien und entwickeln Sicherheitsprodukte, die viel Lob und Anerkennung erhalten haben. Ihre Produkte tauchen ständig in Listen mit Top-Sicherheitslösungen auf.
Wir gingen zum BitDefender Hauptquartier in Bukarest und hatten eine längere Diskussion mit Cătălin Coşoi - Chief Security Researcher (im Bild oben) und Alexandru Bălan - Senior Product Manager. Sie sind beide sehr kenntnisreiche und freundliche Menschen, mit denen wir diese Unterhaltung genossen haben.
Wie Sicherheitsprodukte hergestellt werden
Wir haben nicht viel Zeit mit Einleitungen verschwendet und wir begannen sofort mit unserem Gespräch.
Welche Phasen durchlaufen Sie bei der Entwicklung einer neuen Version eines Sicherheitsprodukts, z. B. einer Internet Security Suite?
Der Ansatz unterscheidet sich nicht wirklich von Ihrem typischen Softwareentwicklungsprojekt. Nehmen wir an, wir haben gerade die Version 2012 unserer Produkte veröffentlicht. Sobald der Start beendet ist, beginnen wir mit der Arbeit an der Version 2013. Zuerst entscheiden wir uns für die Features und Änderungen, die in dieser nächsten Version eingeführt werden.
Um die Funktionen zu identifizieren, die für die nächste Version von großer Bedeutung sein werden, führen wir Gespräche mit mehreren Zielgruppen: Gutachtern, Sicherheitsexperten, technischen Experten und Benutzern, die uns Einblicke darüber geben können, was funktioniert, was nicht und was könnte in der nächsten Version gut funktionieren. Darüber hinaus gibt unser eigenes technisches Team Input basierend auf ihrer Expertise und Vision, wohin sie das Produkt nehmen möchten. Wir führen auch eine Marktanalyse durch, um die Richtung (en) anderer Unternehmen besser zu verstehen. Basierend auf all diesen Eingaben machen wir einen Aufruf, was in der nächsten Version enthalten ist und was nicht.
Dann haben wir die Entwicklungsphase mit mehreren Testphasen. Zuerst haben wir eine interne Vorschau, wenn wir unsere Pre-Beta-Software testen. Als nächstes haben wir mehrere Beta-Phasen:
- Eine interne Beta - genau wie die interne Vorschau, aber mit einem etwas größeren Publikum, das das Produkt testet;
- Eine private Beta - bei der wir einen geschlossenen Kreis von Benutzern außerhalb des Unternehmens auswählen, um das Produkt zu testen. Wir beziehen bis zu ein paar tausend Nutzer ein und wählen Personen aus, deren Feedback wir für hilfreich halten. Wir umfassen sachkundige Benutzer, Leute, mit denen wir eine längere Zusammenarbeit hatten, technische Experten, deren Meinung wir schätzen usw .;
- Eine öffentliche Beta - sie findet 2 bis 3 Monate vor dem eigentlichen Start statt. Zu diesem Zeitpunkt kann jeder Interessierte das Produkt abholen, testen und Feedback geben.
Während der Beta-Phasen stimmen wir das Produkt kontinuierlich ab, und kurz vor dem Start haben wir ein kleines Zeitfenster, um den letzten Schliff zu geben. Dann findet der Start statt, bei dem Marketing-, PR-, Vertriebs- und andere Teams an dem erforderlichen Buzz beteiligt sind, während das Entwicklungsteam alle Probleme behandelt, die auftreten könnten.
In der Tat klingt es nicht anders als bei anderen Software-Entwicklungsprojekten. Gibt es jedoch spezielle Herausforderungen für diese Nische der Entwicklung von Sicherheitssoftware?
Das müßte die Agilität im wahrsten Sinne des Wortes sein. Es ist der Schlüssel zu unserer Nische, mehr als in jeder anderen Linie der Softwareentwicklung. Um die Computer, Netzwerke und Geräte unserer Kunden zu schützen, müssen wir sehr schnell auf neue Bedrohungen reagieren. Im Allgemeinen treten an einem Tag nicht viele neue Arten von Bedrohungen auf. Die meiste Malware ist einfach eine Evolution von älterer Malware und wir finden es im Allgemeinen einfach, damit umzugehen. Wenn jedoch etwas wirklich Neues auftaucht, müssen wir sehr schnell handeln. In nur wenigen Stunden müssen Sie mindestens ein Update für Ihre Definitionen oder Heuristiken liefern, die Ihre Kunden schützen.
Noch schwieriger ist es, wenn es nicht ausreicht, unsere Definitionen zu aktualisieren, um auf eine neue Bedrohung zu antworten, und wir müssen eine neue Funktion in unserem Produkt entwickeln. Dies betrifft nicht nur die Produkte, die derzeit von unseren Kunden verwendet werden, sondern auch die neuen Produkte, die wir entwickeln.
Nehmen wir zum Beispiel Facebook. Als es immer beliebter wurde, wurde es zu einem häufigen Tool für die Verbreitung von Spam und Malware. Wie zu erwarten war, haben wir dieses soziale Netzwerk immer im Auge behalten und die Malware-Links, die durch dieses Netzwerk verbreitet werden, überwacht und in unsere Cloud-Datenbank aufgenommen. Wir hatten jedoch das Bedürfnis, ein neues Tool zu entwickeln, das Malware auf Facebook besser behandelt. So haben wir das Konzept für BitDefender SafeGo erstellt (ein Produkt, das auch auf 7 Tutorials überprüft wurde). Im Herbst 2010 lancierten wir die erste Version dieses Produkts und später wurde es ein fester Bestandteil unserer Sicherheitsprodukte wie BitDefender Internet Security Suite 2012.
In der Tat, ein großartiges Beispiel. Apropos BitDefender SafeGo - wollen Sie es auch heute noch als kostenloses Produkt für nicht zahlende Kunden verfügbar halten?
Ja, dieses Produkt wird sowohl in unseren kommerziellen Sicherheitsprodukten als auch als kostenlose Facebook- und Twitter-App verfügbar sein. Das liegt daran, dass Sicherheitsprobleme auf Facebook weiterhin bestehen und sich ausbreiten werden. Dieses Produkt hilft uns, Malware schneller zu erkennen und sowohl unsere zahlenden als auch unsere nicht zahlenden Kunden zu schützen. Wir sind auch der Meinung, dass die kostenlose Bereitstellung dieses Tools dazu beiträgt, BitDefender auf Kunden aufmerksam zu machen, die vielleicht noch nichts von uns gehört haben. Wenn sie BitDefender SafeGo mögen, haben wir eine größere Chance, dass sie andere Sicherheitsprodukte betrachten, die wir entwickeln.
Irgendwelche anderen Beispiele, wenn große Agilität benötigt wird?
Eine andere Sache, die wir tun, ist zu versuchen, Möglichkeiten zu finden, um andere Arten von Sicherheitsbedürfnissen zu erfüllen, die Menschen haben, nicht nur Ihre Standard-Virenerkennung und -schutz. Zum Beispiel, wenn Sie sich an die Kontroverse über Carrier IQ erinnern - ein Stück Software, das von vielen mobilen Anbietern installiert wurde, das Protokollieren von Informationen wie z. B. Standort, ohne Benutzer zu benachrichtigen oder ihnen zu erlauben, sich abzumelden. Obwohl dies keine Malware war und von Ihrem Mobilfunkanbieter auf Ihrem Telefon vorinstalliert war, wollten viele Leute wissen, ob sie es auf ihren Handys installiert hatten oder nicht. Als wir davon erfuhren, war es ein Samstag. Ein Mitglied unseres Teams ging ins Büro, verbrachte ungefähr 3 bis 4 Stunden und entwickelte ein kostenloses Produkt für Android-Nutzer. Es heißt Bitdefender Carrier IQ Finder und erlaubt Android-Nutzern, schnell zu erfahren, ob sie verfolgt werden oder nicht.
Lassen Sie uns ein wenig über Cloud Computing sprechen. Wir sehen, dass es immer mehr in Sicherheitsprodukten verwendet wird. Einige Anbieter bieten in ihren Produkten sogar nur Cloud-basierte Sicherheit an. Was denkst du über diesen Ansatz?
Cloud Computing hat definitiv eine wichtige Rolle im Bereich der Sicherheitslösungen. Wir glauben jedoch, dass ein hybrider Ansatz, der sowohl Definitionsdatenbanken als auch die Cloud verwendet, die besten Ergebnisse liefert. Wenn nur die Cloud verwendet wird, sind Sie auf die Internetverbindung angewiesen. Wenn das weg ist, bleibt das System ungeschützt. Eine Mischung aus Malware-Definitionen und der Cloud liefert in den meisten Computerszenarien bessere Ergebnisse.
Planen Sie, Cloud Computing in Zukunft noch stärker zu nutzen? Vielleicht sogar denselben Cloud-only-Ansatz?
Nicht wirklich. Wir glauben an die Verwendung der Technologien, die am besten zu diesem Zweck passen. Wenn wir beispielsweise den Webbrowser eines Benutzers schützen wollen, verwenden wir nur die Cloud. Schädliche Websites sind die gleichen, gleichgültig welche Betriebssysteme und Browser sie verwenden, um auf sie zuzugreifen. Wenn kein Internetzugang verfügbar ist, kann der Benutzer das Internet nicht durchsuchen. Daher gibt es kein Problem, wenn der Cloud-Schutz ebenfalls nicht verfügbar ist.
Für das Antivirenprogramm halten wir es für das Beste, sowohl klassische Definitionen als auch die Cloud zu verwenden. Die Definitionen bieten Schutz, wenn die Cloud aufgrund eines Ausfalls der Internetverbindung nicht verfügbar ist. Außerdem führen sie dazu, dass die Verhaltensanalyse von Dateien und Anwendungen schneller ausgeführt wird, als wenn versucht wird, die Cloud für denselben Zweck zu verwenden. Wenn unsere Software irgendeine Verhaltens- und Handlungsanalyse durchführt, bieten die Definitionen mehr Geschwindigkeit als die Cloud.
Erzählen Sie uns ein wenig mehr über die Technologien, die BitDefender zum Schutz eines Systems einsetzt.
Im Allgemeinen gibt es in BitDefender-Produkten drei Haupttechnologien, die zum Sichern von Systemen verwendet werden:
- Verhalten - überwacht und lernt das allgemeine Verhalten Ihrer Anwendungen;
- Active Virus Control - überwacht die von einer Anwendung ausgeführten Aktionen und blockiert verdächtige oder unlautere Aktionen.
- Cloud - sammelt Informationen aus vielen Quellen über Malware und aktualisiert sich kontinuierlich. Die Daten aus der Cloud werden von fast allen in unseren Produkten enthaltenen Schutzmodulen genutzt.
Was sind Ihre Quellen, um neue Formen von Malware zu finden und zu erlernen?
Wir haben viele Quellen zum Lernen über neue Viren und Malware im Allgemeinen:
- Honigtöpfe;
- BitDefender SafeGo, mit seiner Unterstützung für Facebook und Twitter;
- Die Daten, die von den Computern unserer Kunden über Infektionen und verdächtige Aktivitäten gesendet werden;
- Unsere Zusammenarbeit mit anderen Sicherheitsanbietern;
- Öffentliche Malware-Datenbanken
Honigtöpfe. Das hört sich interessant an. Erzähl uns ein bisschen mehr über sie. Was genau sind sie?
Honeypots sind Systeme, die wir über unser Netzwerk verteilen, die als Opfer agieren. Ihre Rolle besteht darin, wie gefährdete Ziele auszusehen, die über wertvolle Daten verfügen. Wir überwachen diese Honeypots kontinuierlich und sammeln alle Arten von Malware und Informationen über Black-Hat-Aktivitäten.
Eine andere Sache, die wir tun, ist gefälschte E-Mail-Adressen, die automatisch von Spammern aus dem Internet gesammelt werden. Dann verwenden sie diese Adressen, um Spam, Malware oder Phishing-E-Mails zu verteilen. Wir sammeln alle Nachrichten, die wir über diese Adressen erhalten, analysieren sie und extrahieren die erforderlichen Daten, um unsere Produkte zu aktualisieren und unsere Benutzer sicher und frei von Spam zu halten.
Nehmen wir an, Sie haben gerade eine neue Malware entdeckt. Was machst du damit? Wie finden Sie heraus, was es tut und wie man ein System am besten desinfiziert?
Zumindest sind wir anfangs nicht daran interessiert, zu erfahren, was diese Art von Malware tut. Wir sind daran interessiert zu erfahren, ob sein Verhalten verdächtig ist oder nicht, ob es ein Virus ist oder nicht. Auf diese Weise können unsere Produkte z. B. den Zugriff auf das Netzwerk beschränken oder Malware in Quarantäne verschieben.
Alle neuen Malware-Elemente, die identifiziert werden, werden automatisch an unser Forschungslabor in Iaşi gesendet. Das dortige Team kümmert sich darum, die Viren zu dekonstruieren, zu verstehen, was sie tun und unsere Definitionsdatenbank mit den entsprechenden Informationen zu aktualisieren.
Sprechen wir von dem Forschungsteam, erzählen Sie uns ein bisschen mehr über sie und ihre Arbeit an "Hacking" Viren.
Nun, sie sind ein sehr spezialisiertes Team, das in einer sehr geschlossenen Umgebung arbeitet, aus allen Perspektiven. Zum Beispiel wollen wir nicht, dass Viren, an denen sie arbeiten, in freier Wildbahn landen oder sich in unser eigenes Netzwerk verbreiten. Alle von ihnen sind Sicherheitsexperten, die sich mit Dingen beschäftigen, die von Verschlüsselung bis hin zu fließenden Programmiersprachen (einschließlich Assemblersprache), Kenntnissen von Internetprotokollen, Hacking-Techniken usw. reichen.
Sie sind dafür verantwortlich, den Code eines Virus zu entschlüsseln und unsere Definitionsdatenbanken mit den entsprechenden Informationen zu aktualisieren. Bevor sie jedoch selbst an der Erstellung eines Definitionsupdates arbeiten, müssen sie einen langen Prozess der Schulung und Spezialisierung durchlaufen, der 9 Monate dauert. Sie dürfen nicht mit unseren Definitionsdatenbanken allein arbeiten, bis sie alle erforderlichen Schulungen absolviert haben und nachweisen, dass sie wissen, was sie zu tun haben.
Wir möchten auch eine urbane Legende erklären, wenn Sie es so nennen wollen: Viele glauben, dass die besten Hacker und Virenhersteller von Sicherheitsfirmen, einschließlich BitDefender, eingestellt werden. Zumindest wenn es um unser Unternehmen geht, ist das nicht wahr. Während des Einstellungsprozesses filtern wir alle Kandidaten aus, die Malware erstellt oder Black Hat-Hacking durchgeführt haben.
Wir ziehen es vor, von Teammitgliedern begleitet zu werden, denen wir vertrauen können. Wir möchten, dass Menschen sich uns anschließen, weil sie eine große Sicherheitsherausforderung haben und ihre Fähigkeiten und Intelligenz nicht für selbstsüchtige Zwecke einsetzen. Jeder in unserem Forschungsteam kann zumindest einen eigenen Virus erstellen, wenn nicht sogar ein komplexeres System hacken. Sie tun es jedoch nicht, weil sie glauben, dass es nicht das Richtige ist und nicht den richtigen Gebrauch ihrer Talente. Auch unser Unternehmen würde diese Art von Verhalten nicht tolerieren.
Wie oft suchen Ihre Produkte nach neuen Definitionen auf Ihren Servern?
Einmal alle 45 bis 60 Minuten. Es ist sehr wichtig für uns, so bald wie möglich neue Definitionen zu liefern. Manchmal, wenn es eine bestimmte Situation erfordert, senden wir auch Push-Benachrichtigungen, damit sich unsere Sicherheitsprodukte sofort selbst aktualisieren und nicht auf das geplante Update warten. Wir möchten Daten senden können, sobald wir etwas Neues lernen. Dies ist jedoch aus technischer Sicht nicht durchführbar und würde die Computererfahrung unserer Benutzer ruinieren. Deshalb halten wir Push-Benachrichtigungen und Updates auf ein Minimum und verwenden sie nur, wenn es wirklich Sinn macht.
Arbeiten Sie mit anderen Unternehmen zusammen und teilen Sie Wissen und Informationen über die neuesten Sicherheitsbedrohungen?
Ja das tun wir. Wir arbeiten mit 6 anderen Unternehmen zusammen, einschließlich unserer Partner, für die wir unsere Technologie lizenziert haben, wie z. B. F-Secure oder G-Data. Wir können jedoch die Namen der anderen Unternehmen nicht bekannt geben.
Wie viel investieren Sie in die sekundären Funktionen, die nicht unbedingt zur Erhöhung der Sicherheit eines Systems beitragen? Ich verweise auf Funktionen, die hauptsächlich in Total Security Suites enthalten sind, wie zum Beispiel: Jugendschutz, Dateisicherung, Dateisynchronisierung usw.Offensichtlich stehen die klassischen Funktionen einer Sicherheits-Suite wie Antivirus, Firewall, Antispam usw. im Mittelpunkt der Arbeit unseres Teams und erhalten die meisten Entwicklungsressourcen unseres Unternehmens. Wir haben jedoch engagierte Teams für jede der sekundären Funktionen, die wir in unseren Produkten anbieten, und sie werden nach Bedarf besetzt, abhängig von der Menge an Arbeit, die für die Wartung dieser Module erforderlich ist. Sie können sich vorstellen, dass nicht so viele Personen an der Kindersicherung arbeiten müssen wie an der Antivirenschutz-Engine.
BitDefender bietet ein klassisches Produktsortiment: BitDefender Antivirus, Internet Security Suite, Total Security Suite und Sphere, das eine Lizenz für bis zu 3 Benutzer bietet, die die von Ihnen zur Verfügung gestellte Sicherheitssuite auf jeder von Ihnen unterstützten Plattform nutzen können unbegrenzte Anzahl von Geräten. Welches dieser Konzepte ist bei deinen Nutzern am beliebtesten? Bevorzugen sie die zusätzlichen Funktionen einer Total Security-Suite oder der eher klassischen Sicherheitsprodukte?
BitDefender Internet Security Suite ist definitiv unser beliebtestes Produkt. Es gibt Leute, die die zusätzlichen Funktionen einer Total Security Suite genießen, aber sie sind in der Minderheit. Wir waren jedoch positiv überrascht von dem Erfolg und dem positiven Feedback, das wir für unser neues BitDefender Sphere-Produkt erhalten haben. Es scheint, dass viele Menschen eine einheitliche Sicherheitslösung genießen, die ihre PCs, Macs und Android-basierten Smartphones oder Tablets schützen kann. Sie genießen die Flexibilität, nur eine erschwingliche Lizenz zu erwerben, um alle Computergeräte in ihren Häusern zu schützen.
Lassen Sie uns noch ein wenig über Windows 8 und seine neue Metro-Schnittstelle sprechen. Haben Sie vor, Sicherheitslösungen für die neue Touch-Oberfläche anzubieten? Werden Sie separate Sicherheitsprodukte für Windows 8-Tablets bereitstellen?
Wir arbeiten definitiv daran, einige aufregende Produkte für Windows 8 und die neue Metro-Schnittstelle bereitzustellen. Die Herausforderung bei Metro besteht darin, dass Anwendungen mit Einschränkungen und eingeschränkten Berechtigungen ausgeführt werden. Sie haben keinen vollständigen Zugriff auf das System wie Desktop- Anwendungen. Deshalb müssen wir Wege finden, um dies zu umgehen und wirksamen Schutz zu bieten.
Leider steht es uns jedoch nicht frei, mit unseren Sicherheitsprodukten für Windows 8 genauer über unsere Pläne zu sprechen. Wir werden mehr Informationen bereitstellen können, die näher an Windows 8 liegen, das finalisiert und verfügbar gemacht wird.
Fazit
Wie Sie aus dieser Diskussion sehen können, ist die Entwicklung einer guten Sicherheitslösung keine leichte Aufgabe. Es beinhaltet viel Arbeit, Wissen über verschiedene Aspekte von Computing, Networking und Sicherheit. Wir hoffen, dass Sie dieses Gespräch interessant und nützlich fanden, um mehr über den gesamten Prozess zu erfahren.
Bevor wir diesen Artikel schließen, möchten wir uns bei BitDefender bedanken, dass er uns diese Einladung geschickt hat und uns die Gelegenheit gegeben hat, ein sehr interessantes Gespräch mit einigen ihrer besten Spezialisten zu führen.