Биль Олег Викторович Проект: Лаборатория по исследованию вредоносного программного обеспечения О проблеме Некоторые факты: Число уникальных вредоносных образцов, создаваемых в сутки (в мире) - более 200 000 (http://www.gazeta.ru/business/2013/03/20/5109981.shtml); По данным антивирусных компаний, Казахстан входит в число лидеров по доле зараженных вредоносными программами компьютеров; Высокий уровень распространения в Казахстане специфических видов угроз (целевых атак), в чей функционал входят шпионаж (кража данных с компьютера) и саботаж (скрытное злонамеренное выведение компьютерной системы из штатного состояния). Данные угрозы часто обнаруживаются в системах исследовательских институтов, добывающих компаний, военных, правительственных и дипломатических структурах. Целевые атаки, благодаря малой распространенности, долго не попадают в базы антивирусных продуктов, что приводит к необходимости разработки особых процедур обнаружения и нейтрализации вредоносного кода, используемого в таких атаках. Бурное развитие ИТ в гос. структурах (электронное Правительство, налоговые и иные сервисы), в банках (интернет-банкинг и др.) зачастую сталкивается с низкой квалификацией (в сфере безопасности) как персонала, работающего с этими системами, так и рядовых пользователей, которые, видя преимущества, не осознают опасностей дистанционных форм обслуживания. Все это привело к активизации злоумышленников (часто – высокоорганизованных киберпреступных группировок). Учитывая эти обстоятельства, понятно, что традиционный подход в обеспечении безопасности, с применением только антивируса, уже не может обеспечивать достаточный уровень защиты. Для решения сложных задач в этой сфере нужны специальные экспертные услуги. О проекте Предлагаемый проект лаборатории по исследованию вредоносного программного обеспечения (ПО) направлен на решение описанных выше проблем. Задачи лаборатории: анализ функционала вредоносного ПО, лечение сложных случаев заражения; расследование инцидентов (определение векторов заражения, скомпрометированных ресурсов, алгоритмов лечения, возможной корректировки политик безопасности для недопущения подобных случаев в будущем, разработка механизмов защиты); разработка и проведение курсов по информационной безопасности от программ повышения осведомленности в сфере информационной безопасности (ИБ) - для топменеджмента организаций, до специализированных курсов по экспресс-анализу вредоносных файлов для ИТ подразделений. Потенциальные заказчики: физические лица, частные организации и государственные органы, в ходе проведения работ по нейтрализации заражения, проведении внутренних расследований или подготовки обращения в суды по фактам мошенничества с использованием вредоносного ПО; заказчики курсов по информационной безопасности (от учебных организаций до корпоративных структур); финансовые организации - для создания программ защиты от компьютерного мошенничества, содействия расследованию инцидентов, в которые были вовлечены клиенты, а также материалов для экспресс-обучения клиентов основам ИБ, что поможет укрепить лояльность клиентов и уровень их защиты – это может повысить популярность дистанционных финансовых продуктов. О затратах Для эффективного решения поставленных задач и повышения доверия потенциальных клиентов планируется прохождение признанных курсов повышения квалификации (институт SANS) и получение соответствующего сертификата (GREM). Предполагаемые затраты указаны в таблице 1. Таблица 1. Статьи затрат на создание лаборатории. № Статья затрат Примерная стоимость (тг.) 1 Компьютер (или ноутбук) – 2 шт. * 150 000 2 Основное ПО (VMWare Workstation (2 лицензии), IDA Pro + Hex-Rays (1 лицензия)) 1 000 000 3 Курсы института SANS + сертификация 1 300 000 4 Поездка на курсы (если очно) – Европа или США, 10-12 дней (перелеты, виза, проживание) 5 Продвижение (реклама в печатных СМИ, сети интернет) 1 500 000 Итого: 4 700 000 300 000 600 000 О прибыли и конкурентах В данное время рынок указанных услуг (анализ и разработка специализированных курсов) в Казахстане не очень развит, соответственно, внутренняя конкуренция невелика. Иностранные конкуренты – сильны, но пока слабо представлены в Казахстане и их цены достаточно высоки. К тому же, рост вредоносного ПО, целенаправленность атак, а, значит, и увеличение потенциального ущерба от них, приводит к реальной необходимости в развитии подобного сервиса в Казахстане. Рынок анализа ПО характеризуется высокой степенью закрытости, что затрудняет оценку стоимости подобных услуг. Оценка сделана на основании одного из реальных проектов. В данном проекте была привлечена крупная зарубежная компания для проведения экспертизы ПО. Работа заняла около трех рабочих дней. Ей занимался один эксперт. Цена контракта составила около 8 000 долларов. Средняя стоимость курсов по безопасности в Казахстане – от 200 000 тенге за одного слушателя в неделю (40 часов, при среднем уровне сложности курсов) до 450 000 тенге за слушателя на «продвинутых» курсах. Окупаемость проекта прослеживается даже при самых скромных оценках: при стоимости экспертизы в два раза ниже представленной в примере, получаем около 700 000 тенге, в случае проведения хотя бы одной экспертизы; при наборе одной группы слушателей в 10 человек даже по минимальной цене, получаем 2 000 000 тенге (больше 40% стоимости проекта). Учитывая актуальность темы, полагаю, что выход на окупаемость возможен за один год при оптимистическом сценарии (одна экспертиза в квартал (700 000 тенге * 4), обучение 10 человек в квартал (2 000 000 * 4), итоговая выручка – 10 800 000 в год), либо за два года, при менее благоприятных условиях. Налоги и аренда классов для обучения в городах проведения курсов будут стоить не более 3 000 000 тенге в год. Итоговая прибыль составит 7 800 000 в год при оптимистическом сценарии, что полностью окупает проект. Об авторе Место работы: Костанайский государственный университет им. А. Байтурсынова, г. Костанай, руководитель сектора разработки программного обеспечения; Сфера интересов: IT, информационная безопасность, борьба с компьютерными вирусами (более 10 лет). Основные достижения в сфере ИБ: Принимал участие в проектировании системы безопасности программного продукта, используемого в сфере образования на республиканском уровне; Подготовил троих студентов к участию в конференции по ИБ, проводимой ЗАО «Лаборатория Касперского» (2010-2012 годы) в г. Москва. Результат: два призера (третье и второе места) тура Россия и СНГ (единственные из РК) и участие в международных турах (Польша, Германия); Организовал визит экспертов ЗАО «Лаборатория Касперского» в г. Костанай для тренинга по антивирусной безопасности на базе КГУ (2010) ; Вошел в состав финалистов (21 человек из примерно 2000 участников) конкурса «Инновационный Казахстан» (АО «Самрук-Казына», 2011); Действующий консультант организаций и частных лиц по вопросам, связанным с ИБ; Действующий эксперт по расследованию инцидентов ИБ (идентификация взломщика защищаемого сайта (2012), предотвратил заражение компьютеров университета троянской программой, с использованием которой в РК было похищено более 300 млн. тенге (20132014) и др.). Спасибо за уделенное время! Биль Олег Викторович, e-mail: [email protected]