Hlavní navigace

Palo Luka (ESET): Antivirus není mrtvý, lokální hráči se konsolidují

14. 10. 2016
Doba čtení: 10 minut

Sdílet

 Autor: ESET
Technologický ředitel ESETu v rozhovoru pro Lupu mluví o tom, co se aktuálně děje na trhu s antiviry.

Slovenská antivirová společnost ESET má dlouhodobé ambice dostat se mezi tři největší hráče na trhu. A to v době, kdy se spojují Avast a AVG, probíhá konsolidace a hledají se cesty, jak vydělávat na mobilních zařízeních.

Technologický ředitel firmy Palo Luka v rozhovoru pro Lupu popisuje, co se na trhu děje či jak důležitá je a bude umělá inteligence.

Avast a AVG se spojují, trh se konsoliduje, jsou zde i další pohyby. Co se podle vás na antivirovém trhu děje?

Dá se pozorovat určitá míra konsolidace. Když naši zakladatelé v roce 1987 udělali první antivirus, dalších 10 let vznikalo dost různých lokálních hráčů. V Česku byly dvě firmy, na Slovensku byla jedna, v Polsku další, v Maďarsku byla, v Rusku… pomalu v každé zemi bylo něco. 

Tehdy bylo výhodné být lokálním hráčem, viry se šířily dost pomalu a měly takový lokální charakter. Na Slovensku jsme třeba měli velký lokální vir, který byl dost problém, ale antivir Dr. Solomon ve Velké Británii o něm týdny a týdny vůbec nevěděl, vir tam nebyl relevantní. Tohle se změnilo, hrozby začaly být globální, svět je propojený. Nyní je výhodnější být větší firma působící na celém světě.

Na druhou stranu je pro trh dobré, když existuje více výrobců antivirů. Myslím si, že tady konsolidace nedojde tak daleko, jako třeba v případě mobilních operačních systémů. Že by zbyly jenom dvě obří firmy, to se asi nestane.

Je zde ještě prostor pro mladé začínající firmy?

Má smysl se zabývat bezpečností, tento problém tu prostě bude, jen se mění technologie.

A jak je to tedy s tím antivirem, je mrtvý?

Nejdříve je třeba si říci, co je to antivirus a které technologie jsou mrtvé. Věci jako vzorky, které se používaly před dvaceti lety, dnes už nejsou příliš účinné. Ale říci, že antivirové firmy používají pouze tuto starou technologii a nic jiného, a proto jsou na nic, to je příliš veliké zjednodušení. 

Ve skutečnosti nejenom my, ale každá velká antivirová firma, máme hned několik vrstev různých technologií. Samozřejmě, žádná detekce nefunguje na sto procent, to dokonce někdo matematicky dokázal, že to nejde. 

V poslední době se objevilo několik firem, které si vzaly určitou část bezpečnostní oblasti a dělají kolem toho rozruch a PR. Tvrdí, že klasické antiviry už jsou mrtvé a že ony zachraňují situaci. Budoucnost ukáže, zda tato tvrzení jsou pravdivá, nebo ne. Například Gartner už je ale na takováto prohlášení opatrný.

Podobných vln už antivirový průmysl zažil několik. Už jsme v byznysu dlouho, prošli jsme mnohým a máme mnoho technologií, které lze často pouze trochu upravit a když někdo vymyslí nějakou specialitku, umíme to velmi rychle a lehce dodělat. Udělat dnes kompletní řešení, které nabízíme my a další, není jednoduché, nejde to udělat za rok. Panuje i názor, že do tohoto byznysu už se ani nedá dostat.

Takže o nás jako firmu nemáme strach. Jsou společnosti, které na to jdou přes marketing a přehání. Ale to jsou věci, které fungují krátkodobě. My jsme vždy dělali věci s dlouhodobým výhledem, chceme zde být i za 50 let a déle. Neděláme věci, aby přinesly rychlé peníze a výsledky na úkor budoucnosti.

Palo Luka, technologický ředitel společnosti ESET.
Autor: ESET

Palo Luka, technologický ředitel společnosti ESET.

Je antivirus dobrým nástrojem proti cíleným útokům?

Těžká otázka. Zase to závisí na definici toho, co je antivirus. Když půjde o tradiční end-point řešení, to proti cíleným útokům až tak účinné není. Při cíleném útoku stačí útočníkovi uspět jednou. Taháme trochu za kratší konec, protože útočníci mají naše technologie k dispozici a umí si své věci testovat a ladit tak dlouho, až je přestaneme chytat. Proto se snažíme před útočníky stále více schovávat karty. Na cílené útoky se snažíme vyvinout nové vlastní řešení. Je to nejzajímavější projekt, co tu teď máme. Ale ještě o něm nemůžeme více mluvit.

Jak vám do toho všeho, co děláte, promluvila mobilní zařízení?

Už se něco změnilo a změní se to ještě více. Největší bezpečnostní problémy jsou stále na tradičních počítačích, to je platforma, kterou hodně lidí stále používá a kterou kriminálníci dobře znají, mají na útoky nástroje. Peníze se „rejžují“ hlavně odsud. Nyní čím dál více lidí používá mobilní stroje a kriminálníci začali trend kopírovat. V mobilním světě ještě situace není tak zlá. Důvod je v tom, že i ti kriminálníci jsou lidi a jsou leniví – jdou po nízko visícím ovoci. Když investovali čas, peníze a energii do počítačových nástrojů, budou se z toho snažit těžit co nejvíce.

Je klidně možné, že mobilní svět nakonec ten počítačový převálcuje a že počítače budou používat spíše profesionálové a běžní uživatelé poběží na mobilech a v cloudu. To bude ten moment, kdy kriminálníkům vyschne pramen, a budou se muset přizpůsobit.

Máte už vymyšleno, jak v tomhle novém světě vydělávat? Zdá se, že tradiční modely tam úplně nefungují.

Částečně ano. Na vzdálenou budoucnost si budeme muset počkat. Ale odpověděl bych trochu genericky. Náš byznys spočívá v tom, že víme, co se děje, umíme sledovat trendy, co špatné se v digitálním světě děje. Na to jsme schopní rychle reagovat a tím pádem uživatelům dát nějakou přidanou hodnotu. A pokud si tuto schopnost udržíme, stále budeme mít byznys.

Jaká je dnes role tradičních signatur?

Tradiční signatury, že vezmeme hash z nějakého souboru a na základě toho něco chytáme, to příliš nepoužíváme. Není to příliš praktické řešení. Používáme něco, čemu říkáme DNA sekvence. Ty popisují chování souborů. Z určitého pohledu je to také taková signatura, ale komplikovaná. Funguje na více souborů. 

Teď hodně frčí strojové učení. Jeho základem je nějaký model, do kterého nasypete spousty souborů, určíte dobré a zlé a algoritmus si vytvoří nějaký model. To je také nějaký popis, lze to také nazvat signaturou. Rozdíl mezi tímto a nejzákladnějšími signaturami je ten, že ty základní signatury fungují pouze na jeden soubor, více pokročilé modely pak fungují na větší škálu souborů. 

Také ale jsou pouze nějakou reakcí na něco. Nevím o tom, že by se někomu podařilo vyvinout technologii, která by bez jakýchkoliv aktualizací uměla reagovat na měnící se prostředí. Osobně si myslím, že pokud někdo s něčím takovým přijde, bude to taková ta umělá inteligence, které je možné se i bát, protože vyhladí lidstvo (smích).

A lze očekávat, že skutečně bude nějaká AI, kterou vypustíme do sítě, a ona bude schopná velice přesně odhalovat anomálie?

Heuristikou a schopností hledat viry ne na základě vzorků, ale na základě odhalování neznámých souborů, na tomto děláme už od devadesátých let. Když byla éra červů, kteří se šířili přes e-maily, tam jsme měli úspěšnost odhalování úplně nových věcí na 85 procentech. To bylo tehdy dost dobré, to nám ostatní firmy záviděly. 

Problém je, že útočníci svůj přístup velice rychle mění. Například začnou řešit šíření virů pomocí Twitteru. Jak nějaká AI přijde na to, že tohle je ten špatný kód? S tímto je dost velký problém. Umělá inteligence a všelijaké ty deep learningy, to jsou fajn záležitosti, ale prostředí se rychle mění a nedá se předvídat. A druhým problémem je to, že když někdo chce škodit, umí najít nové finty, aby tu AI či model nějakým způsobem oblafnul.

Kolik konkrétně ESET odhalí nákaz pomocí lidské práce a kolik pomocí strojů? Lze nějak definovat poměr?

Spočítané to nemáme. Když to vezmeme do důsledku, skoro vždy je to výsledek lidské práce, protože někdo musel alespoň napsat ten algoritmus. Ale když se bavíme o tom, kolik detekcí uděláme ručně a kolik za nás udělá nějaká automatizace, většinu dělá ta automatizace. Respektive se snažíme detekce dělat tak, aby jedna detekce, kterou udělá člověk, toho dokázala zachytit hodně.

Šéf Avastu mi nedávno na dotaz, proč se jeho firma spojila s AVG, mimo jiné odpověděl, že potřebují data a že antivir je v podstatě senzor, který tyto informace dodá a vše se pak kombinuje. Je tedy dnes masa dat skutečně tak důležitá?

Pomáhá to, ale nemyslím si, že by to bylo tak kritické. My máme třeba technologii pro antispam, která neustále vyhrává testy. Tam nepracujeme s tak obřím množstvím dat jako konkurence. Kdybychom měli velkou masu, bylo by to asi ještě lepší, ale i tak jsme schopní z informací vytěžit maximum. Mít přístup k velkému množství dat je ale samozřejmě dobrá věc. Ale stejně důležité jsou způsoby, jakým se data analyzují. Nepotřebujeme vidět každý soubor na každém počítači na světě.

Kolik denně zpracujete dat?

Denně k nám chodí statisíce souborů. Jsou věci, které sbíráme interně, další jsou součástí výměn s jinými firmami. V této oblasti se dost spolupracuje – jsme sice konkurenti, ale na technické úrovni je spolupráce značná. To asi vychází z dřívějších časů, kdy bylo třeba spolupracovat, aby se problém s malwarem dal vyřešit. To stále pomáhá a míra spolupráce je v našem průmyslu vysoká.

Kde ty informace skladujete a zpracováváte?

Máme cloud, který v reálném čase komunikuje se samotnými nainstalovanými antiviry. Snažíme se ale, aby antivir byl soběstačný i bez cloudu, jádro je dobré i samo o sobě. Cloud nahání další procenta. Důležitá je rychlost, útoky a kampaně někdy trvají velice krátkou dobu. Data v cloudu skladujeme v různých NoSQL databázích, Hadoop, Cassandra a podobně. Cloud máme vlastní, používáme vlastní servery. Už používáme také veřejné cloudy typu Amazon Web Services (na webové portály a podobně – poznámka redakce), ale především běžíme na vlastním hardwaru v různých datacentrech. Počet serverů i s virtuálkami jsou nízké tisíce. Využíváme zpracování v paměti a na SSD discích.

Při této velikosti, přemýšleli jste o tom, že byte si vyvíjeli vlastní servery, nebo to nedává smysl?

To zatím příliš smysl nedává. Ale máme takové věci, kterým říkáme replikátory. To jsou počítače, na kterých běží automatizované analýzy, a ty jsme si vyráběli sami. Ale toho nemáme nějaké obří množství, jde o desítky kusů.

Prosazují se ve vaší branži ve větší míře nějaké nové programovací jazyky, nebo je to stále především o „céčku“ a spol.?

To hlavní se dělá v C a C++. Ale v produktech už se používají různé vyšší jazyky. Správcovská konzole je celá webová, takže tam funguje nějaký ten JavaScript a další věci. Rozhraní v našem tradičním produktu je postavené na takovém kvazi HTML frameworku. Na back-endu běží všechno možné, Ruby, Python, klasika.

Jak se vám shání lidé, kteří umí dělat back-end? Hodně mladých vývojářů se jím ne vždy zabývá, neumí pak psát úplně efektivní kód.

Šikovní lidé se obecně shánějí velice těžko. Na Slovensku s tím konkrétně máme značný problém. Potřebujeme rozšířit naše řady a není to vůbec jednoduché. Trh je nějaký vylovený (smích). Populace Slovenska je malá, nabídka na trhu je pořád stejná, ale my rosteme. Navíc na trhu je konkurence a lidi mají i další možnosti, kam jít. Kvůli tomuto se snažíme expandovat i v jiných zemích, ostatně máme vývoj i v Česku. Působíme také v Polsku a tam jsme zatím na limity nepřišli.

A co se týká toho, v čem se lidi vyznají, je jasné, že C a C++ trochu vychází z módy. Všichni frčí na těch super vysokých jazycích. Mně osobně se to zase tolik nelíbí. Nemám nic proti vysokým jazykům, pokud se použijí rozumně. Ale nato, aby to šlo, musí mít člověk hluboké znalosti. Musí znát, jak to funguje na každé vrstvě. A všímám si, že to už lidé příliš nevědí. Umí používat nějakou vrstvu a myslí si, že ji používají správně, ale ve skutečnosti píší velmi neefektivní aplikace, protože nevědí, co se děje pod tím. Tento trend mi trochu vadí, ale je to asi daň za to, že je velká poptávka po programátorech. Svět chce appky, používat počítače, internet. A není dost lidí, aby to dělali nejlépe.

Když se neumí psát efektivní kód a využít výpočetní výkon na maximum – myslíte, že svět obecně výpočetním výkonem plýtvá?

Myslím si, že ano. Například mobilní telefony by možná dokázaly vydržet delší dobu na baterku, kdyby kód byl lepší. Přesně nad tímto jsem také přemýšlel. Kdyby se věci dělaly tak, jako se dělaly před dvaceti lety, bylo by jich výrazně méně. Dnes se optimalizuje na množství aplikací a rychlost doručení na trh. Ale neoptimalizuje se na výkon.

Lákáte na Slovensko i lidi ze zahraničí? Je pro ně Bratislava atraktivní místo?

BRAND24

Ano, zkoušíme to. Na Slovensku je to ale těžší než například v Polsku. Zejména z legislativního pohledu – jak sem člověka dostat, udělat všechna povolení a tak dále. To je v Polsku jednodušší. Tam můžeme třeba člověka přijmout a papíry se vyřeší v průběhu. Na Slovensku jsou pro tyto věci bariéry.

A jestli je Bratislava atraktivní místo pro cizince, těžko říci. Máme tu několik lidí zvenku, ale neumím posoudit, jestli se sem hrnou nějak ve velkém. Ale třeba Krakov v Polsku je určitě populárnější destinace.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).