Биль Олег Викторович Проект: Лаборатория по исследованию вредоносного программного обеспечения

Биль Олег Викторович
Проект: Лаборатория по исследованию вредоносного программного
обеспечения
О проблеме
Некоторые факты:
 Число уникальных вредоносных образцов, создаваемых в сутки (в мире) - более 200 000
(http://www.gazeta.ru/business/2013/03/20/5109981.shtml);
 По данным антивирусных компаний, Казахстан входит в число лидеров по доле
зараженных вредоносными программами компьютеров;
 Высокий уровень распространения в Казахстане специфических видов угроз (целевых
атак), в чей функционал входят шпионаж (кража данных с компьютера) и саботаж
(скрытное злонамеренное выведение компьютерной системы из штатного состояния).
Данные угрозы часто обнаруживаются в системах исследовательских институтов,
добывающих компаний, военных, правительственных и дипломатических структурах.
Целевые атаки, благодаря малой распространенности, долго не попадают в базы
антивирусных продуктов, что приводит к необходимости разработки особых процедур
обнаружения и нейтрализации вредоносного кода, используемого в таких атаках.
Бурное развитие ИТ в гос. структурах (электронное Правительство, налоговые и иные
сервисы), в банках (интернет-банкинг и др.) зачастую сталкивается с низкой квалификацией
(в сфере безопасности) как персонала, работающего с этими системами, так и рядовых
пользователей, которые, видя преимущества, не осознают опасностей дистанционных форм
обслуживания. Все это привело к активизации злоумышленников (часто –
высокоорганизованных киберпреступных группировок).
Учитывая эти обстоятельства, понятно, что традиционный подход в обеспечении
безопасности, с применением только антивируса, уже не может обеспечивать достаточный
уровень защиты. Для решения сложных задач в этой сфере нужны специальные экспертные
услуги.
О проекте
Предлагаемый проект лаборатории по исследованию вредоносного программного
обеспечения (ПО) направлен на решение описанных выше проблем.
Задачи лаборатории:
 анализ функционала вредоносного ПО, лечение сложных случаев заражения;
 расследование инцидентов (определение векторов заражения, скомпрометированных
ресурсов, алгоритмов лечения, возможной корректировки политик безопасности для
недопущения подобных случаев в будущем, разработка механизмов защиты);
 разработка и проведение курсов по информационной безопасности от программ
повышения осведомленности в сфере информационной безопасности (ИБ) - для топменеджмента организаций, до специализированных курсов по экспресс-анализу
вредоносных файлов для ИТ подразделений.
Потенциальные заказчики:
 физические лица, частные организации и государственные органы, в ходе проведения
работ по нейтрализации заражения, проведении внутренних расследований или
подготовки обращения в суды по фактам мошенничества с использованием
вредоносного ПО;
 заказчики курсов по информационной безопасности (от учебных организаций до
корпоративных структур);
 финансовые организации - для создания программ защиты от компьютерного
мошенничества, содействия расследованию инцидентов, в которые были вовлечены
клиенты, а также материалов для экспресс-обучения клиентов основам ИБ, что поможет
укрепить лояльность клиентов и уровень их защиты – это может повысить
популярность дистанционных финансовых продуктов.
О затратах
Для эффективного решения поставленных задач и повышения доверия потенциальных
клиентов планируется прохождение признанных курсов повышения квалификации (институт
SANS) и получение соответствующего сертификата (GREM).
Предполагаемые затраты указаны в таблице 1.
Таблица 1. Статьи затрат на создание лаборатории.
№
Статья затрат
Примерная стоимость (тг.)
1
Компьютер (или ноутбук) – 2 шт. * 150 000
2
Основное ПО (VMWare Workstation (2 лицензии),
IDA Pro + Hex-Rays (1 лицензия))
1 000 000
3
Курсы института SANS + сертификация
1 300 000
4
Поездка на курсы (если очно) – Европа или США,
10-12 дней (перелеты, виза, проживание)
5
Продвижение (реклама в печатных СМИ, сети
интернет)
1 500 000
Итого:
4 700 000
300 000
600 000
О прибыли и конкурентах
В данное время рынок указанных услуг (анализ и разработка специализированных
курсов) в Казахстане не очень развит, соответственно, внутренняя конкуренция невелика.
Иностранные конкуренты – сильны, но пока слабо представлены в Казахстане и их цены
достаточно высоки. К тому же, рост вредоносного ПО, целенаправленность атак, а, значит, и
увеличение потенциального ущерба от них, приводит к реальной необходимости в развитии
подобного сервиса в Казахстане.
Рынок анализа ПО характеризуется высокой степенью закрытости, что затрудняет
оценку стоимости подобных услуг. Оценка сделана на основании одного из реальных
проектов. В данном проекте была привлечена крупная зарубежная компания для
проведения экспертизы ПО. Работа заняла около трех рабочих дней. Ей занимался один
эксперт. Цена контракта составила около 8 000 долларов.
Средняя стоимость курсов по безопасности в Казахстане – от 200 000 тенге за одного
слушателя в неделю (40 часов, при среднем уровне сложности курсов) до 450 000 тенге за
слушателя на «продвинутых» курсах.
Окупаемость проекта прослеживается даже при самых скромных оценках: при стоимости
экспертизы в два раза ниже представленной в примере, получаем около 700 000 тенге, в
случае проведения хотя бы одной экспертизы; при наборе одной группы слушателей в 10
человек даже по минимальной цене, получаем 2 000 000 тенге (больше 40% стоимости
проекта). Учитывая актуальность темы, полагаю, что выход на окупаемость возможен за
один год при оптимистическом сценарии (одна экспертиза в квартал (700 000 тенге * 4),
обучение 10 человек в квартал (2 000 000 * 4), итоговая выручка – 10 800 000 в год), либо за
два года, при менее благоприятных условиях. Налоги и аренда классов для обучения в
городах проведения курсов будут стоить не более 3 000 000 тенге в год. Итоговая
прибыль составит 7 800 000 в год при оптимистическом сценарии, что полностью
окупает проект.
Об авторе
Место работы: Костанайский государственный университет
им. А. Байтурсынова, г. Костанай, руководитель сектора разработки
программного обеспечения;
Сфера интересов: IT, информационная безопасность,
борьба с компьютерными вирусами (более 10 лет).
Основные достижения в сфере ИБ:
 Принимал участие в проектировании системы безопасности программного продукта,
используемого в сфере образования на республиканском уровне;
 Подготовил троих студентов к участию в конференции по ИБ, проводимой ЗАО
«Лаборатория Касперского» (2010-2012 годы) в г. Москва. Результат: два призера (третье и
второе места) тура Россия и СНГ (единственные из РК) и участие в международных турах
(Польша, Германия);
 Организовал визит экспертов ЗАО «Лаборатория Касперского» в г. Костанай для тренинга
по антивирусной безопасности на базе КГУ (2010) ;
 Вошел в состав финалистов (21 человек из примерно 2000 участников) конкурса
«Инновационный Казахстан» (АО «Самрук-Казына», 2011);
 Действующий консультант организаций и частных лиц по вопросам, связанным с ИБ;
 Действующий эксперт по расследованию инцидентов ИБ (идентификация взломщика
защищаемого сайта (2012), предотвратил заражение компьютеров университета троянской
программой, с использованием которой в РК было похищено более 300 млн. тенге (20132014) и др.).
Спасибо за уделенное время!
Биль Олег Викторович,
e-mail: [email protected]