7チュートリアル(7 Tutorials)で関心のあるトピックの1つは、セキュリティです。安全なコンピューティング体験(computing experience)を得る方法についての記事やチュートリアルを書くだけでなく、セキュリティ製品を定期的にレビューしています。私たちがもっと知りたかったことの1つは、セキュリティ製品の製造方法です。関連する手順は何ですか。最も重要な課題は?幸運(Luck)なことに、Bitdefenderのソーシャルメディアマネージャー(Social Media Manager)であるAlexandruConstantinescuと(invite and today)会う機会がありました。彼はすぐに次のように述べました。今日セキュリティ製品の製造方法に関する広範な議論を皆さんと共有することができます。」
ディスカッションパートナー
BitDefenderは、多くの紹介を必要としないセキュリティ会社です。(security company)または、少なくとも私たちの読者には。彼らはルーマニア(Romania)の大手警備会社(security company)であり、多くの賞賛と評価(praise and appreciation)を受けた警備製品を開発しています。彼らの製品は常にトップセキュリティソリューションのリストに表示されています。
私たちはブカレストの(Bucharest)BitDefender本社(BitDefender headquarters)に行き、CătălinCoșoi-チーフセキュリティリサーチャー(Security Researcher)(上の写真)およびAlexandruBălan-シニアプロダクトマネージャー(Product Manager)と長い話し合いをしました。彼らは両方とも非常に知識が豊富でフレンドリーな人々であり、私たちはこの会話を楽しんでいました。
セキュリティ製品の製造方法
紹介に時間を無駄にすることなく、すぐに会話を始めました。
インターネットセキュリティスイートなどのセキュリティ製品の新しいバージョンを開発する際に、どのような段階を経ますか?(What are the stages you go through, while developing a new version of a security product, such as an Internet Security Suite?)
このアプローチは、通常のソフトウェア開発プロジェクト(software development project)とそれほど変わりません。2012年版の製品を発売したとしましょう。発売が終了次第、2013年版の開発を開始します。まず(First)、この次のバージョンで導入される一連の機能と変更を決定します。
次のバージョンに大きな影響を与える機能を特定するために、レビュー担当者、セキュリティエキスパート、技術エキスパート、ユーザーなど、何が機能し、何が機能せず、何が機能するかについての洞察を提供できるユーザーと話し合います。次のバージョンでうまくいく可能性があります。その上、私たち自身の技術チームは、彼らの専門知識と彼らが製品をどこに持ちたいかというビジョン(expertise and vision)に基づいてインプットを提供します。また、他の企業が向かっている方向をよりよく理解するために市場分析を行います。(market analysis)これらすべての入力に基づいて、次のバージョンに含まれるものと含まれないものを呼び出します。
次に、いくつかのテストフェーズを含む開発段階があります。(development stage)まず(First)、プレベータ版ソフトウェアをテストするときに内部プレビューがあります。次に、いくつかのベータ段階があります。
- 内部ベータ–(beta –)内部プレビューと同じですが、製品をテストするオーディエンスが少し多くなります。
- プライベートベータ–(beta –)製品をテストするために社外からユーザーの閉じたサークルを選択します。最大数千人のユーザーが参加し、フィードバックが役立つと思われるユーザーを選択します。知識のあるユーザー、より長いコラボレーションを行った人々、私たちの意見を尊重する技術専門家などが含まれます。
- パブリックベータ–実際のリリースの(beta –)2〜3(place 2)か月前に行われます。現時点では、興味のある人は誰でも製品を手に取り、テストしてフィードバックを提供できます。
ベータ段階では、製品を継続的に微調整し、発売直前に、最終調整を行うための小さな時間枠があります。次に、立ち上げが行われ、マーケティング、PR、営業、その他のチームが必要な話題を作り、開発チーム(development team)が発生する可能性のある問題を処理します。
確かに、それは他のソフトウェア開発プロジェクトと変わらないように聞こえます。しかし、セキュリティソフトウェアを開発するこのニッチに固有の課題はありますか?(Indeed, it doesn't sound different from other software development projects. However, are there any challenges specific to this niche of developing security software?)
それは、本当の意味での敏捷性の必要性であるに違いありません。これは、他のどのソフトウェア開発(software development)ラインよりも、私たちのニッチの鍵です。クライアントのコンピューター、ネットワーク、およびデバイスを保護するために、私たちは新しい脅威に非常に迅速に対応する必要があります。一般に、1日に出現する新しいタイプの脅威はそれほど多くありません。ほとんどのマルウェアは単に古いマルウェアの進化形であり、一般的にこれに対処するのは簡単です。しかし、本当に新しいことが起こったとき、私たちは非常に迅速に行動しなければなりません。わずか数時間で、クライアントを安全に保つための定義またはヒューリスティックの更新を少なくとも提供する必要があります。
新しい脅威に対応するために定義を更新するだけでは不十分であり、製品に新しい機能を開発する必要がある場合は、さらに困難になります。これは、お客様が現在使用している製品だけでなく、開発中の新製品にも影響を及ぼします。
Facebookを例にとってみましょう。人気が高まるにつれ、スパムやマルウェア(spam and malware)を配布するための頻繁なツールになりました。ご想像のとおり、私たちは常にこのソーシャルネットワークを監視し、そこを介して拡散しているマルウェアリンクを監視し、クラウドデータベースに含めました。ただし、 Facebook(Facebook)のマルウェアをより適切に処理する新しいツールを開発する必要があると感じました。これが、 BitDefender SafeGo(BitDefender SafeGo)(7つのチュートリアル(7 Tutorials)でもレビューされている製品)のコンセプトを作成した方法です。2010年の秋に、この製品の最初のバージョンをリリースし、その後、 BitDefender Internet SecuritySuite2012(BitDefender Internet Security Suite 2012)などのセキュリティ製品の不可欠な部分になりました。
確かに、素晴らしい例です。BitDefender SafeGoと言えば、今日のように、無料の顧客向けの無料製品としても利用できるようにするつもりですか?(Indeed, a great example. Speaking of BitDefender SafeGo – do you intend to keep it available also as a free product for non-paying customers, as is today?)
はい、この製品は、商用セキュリティ製品と無料のFacebookおよびTwitterアプリ(Facebook and Twitter app)の両方で利用できます。これは、Facebookのセキュリティ問題が引き続き存在し、広がるためです。この製品は、マルウェアをより迅速に識別し、有料と無料の両方の顧客を保護するのに役立ちます。また、このツールを無料で利用できるようにすることで、私たちのことを聞いたことがないかもしれない顧客にBitDefenderについての認識を高めるのに役立つと思います。(BitDefender)彼らがBitDefenderSafeGoを気に入っている場合は、私たちが開発している他のセキュリティ製品を検討する可能性が高くなります。
優れた敏捷性が必要な場合の他の例はありますか?(Any other examples of when great agility is needed?)
私たちが最善を尽くしているもう1つのことは、標準的なウイルスの検出と保護(virus detection and protection)だけでなく、人々が持っている他の種類のセキュリティニーズを満たす機会を見つけることです。たとえば、Carrier IQ(多くのモバイルベンダーによってインストールされたソフトウェアの一部)についての論争を覚えている場合、それはユーザーに通知したりオプトアウトしたりせずに場所などの情報をログに記録していました。これはマルウェアではなく、携帯電話会社によって携帯(mobile carrier)電話にプレインストールされていましたが、多くの人が携帯電話にインストールされているかどうかを知りたがっていました。それを知ったときは土曜日(Saturday)でした。私たちのチームのメンバーがオフィスに行き、約3〜4時間かけて、無料の製品をゼロから開発しました。Androidユーザー。これはBitdefenderCarrierIQ Finderと呼ばれ、 Androidユーザーが追跡されているかどうかをすばやく知ることができます。
クラウドコンピューティングについて少し話しましょう。セキュリティ製品でますます使用されていることがわかります。一部のベンダーは、自社製品にクラウドベースのセキュリティのみを提供しています。このアプローチについてどう思いますか?(Let's talk a bit about cloud computing. We see it used more and more in security products. Some vendors even offer only cloud-based security in their products. What do you think about this approach?)
クラウド(Cloud)コンピューティングは、セキュリティソリューションの分野で間違いなく重要な役割を果たしています。ただし、定義データベースとクラウドの両方を使用するハイブリッドアプローチが最良の結果をもたらすと私たちは信じています。クラウドのみを使用する場合は、インターネット接続(Internet connection)に依存します。それがなくなった場合、システムは保護されないままになります。マルウェアの定義とクラウドを組み合わせると、ほとんどのコンピューティングシナリオでより良い結果が得られます。
今後、クラウドコンピューティングをさらに活用する予定はありますか?たぶん、同じクラウドのみのアプローチを取るのでしょうか?(Do you plan to use cloud computing even more in the future? Maybe even take the same cloud-only approach?)
あまり。私たちは、目的に最も適したテクノロジーを使用することを信じています。たとえば、ユーザーのWebブラウザーを保護する場合は、クラウドのみを使用します。悪意のあるWebサイトは同じであり、アクセスに使用するオペレーティングシステムやブラウザに関係ありません。また、インターネットにアクセスできない(Internet access)場合、ユーザーはWebを閲覧できません。したがって、クラウド保護(cloud protection)も利用できなくても問題ありません。
アンチウイルスについては、従来の定義とクラウドの両方を使用するのが最善であると考えています。定義は、インターネット接続(Internet connection)のドロップアウトが原因でクラウドが利用できない場合に保護を提供するのに役立ちます。また、同じ目的でクラウドを使用しようとする場合よりも、ファイルとアプリケーションの動作分析を高速に実行できます。私たちのソフトウェアがあらゆる種類の行動および行動分析(action analysis)を行っている場合、定義はクラウドよりも高速になります。
BitDefenderがシステムを保護するために使用するテクノロジーについてもう少し教えてください。(Tell us a bit more about the technologies BitDefender uses to protect a system.)
一般に、BitDefender製品には、システムを保護するために使用される3つの主要なテクノロジーがあります。
- 動作(Behave)–これは、アプリケーションの一般的な動作を監視および学習します。
- Active Virus Control –アプリケーションによって実行されたアクションを監視し、疑わしいまたは意図的でないアクションをブロックします。(application and blocks)
- クラウド(Cloud)–マルウェアに関する多くのソースから情報を収集し、継続的に更新します。クラウドからのデータは、当社の製品に含まれるほぼすべての保護モジュールで使用されます。
新しい形式のマルウェアを見つけて学習するための情報源は何ですか?(What are your sources for finding and learning about new forms of malware?)
新しいウイルスやマルウェア全般について学ぶための多くの情報源があります。
- ハニーポット;
- (BitDefender SafeGo)FacebookとTwitter(Facebook & Twitter)の両方をサポートするBitDefenderSafeGo ;
- 感染や疑わしい活動についてクライアントのコンピューターから送信さ(data sent)れたデータ。
- 他のセキュリティプロバイダーとのコラボレーション。
- パブリックマルウェアデータベース。
ハニーポット。面白そうですね。それらについてもう少し教えてください。それらは正確には何ですか?(Honeypots. That sounds interesting. Tell us a bit more about them. What exactly are they?)
ハニーポット(Honeypots)は、ネットワーク全体に分散したシステムであり、被害者として機能します。彼らの役割は、貴重なデータを持っている脆弱なターゲットのように見えることです。これらのハニーポットを継続的に監視し、あらゆる種類のマルウェアと(malware and information)ブラックハットの活動に関する情報を収集します。
私たちが行うもう1つのことは、インターネット(Internet)からスパマーによって自動的に収集される偽の電子メールアドレスをブロードキャストすることです。次に、これらのアドレスを使用して、スパム、マルウェア、またはフィッシングメールを配布します。これらのアドレスで受信したすべてのメッセージを収集し、分析し、必要なデータを抽出して製品を更新し、ユーザーを安全でスパムのない状態に保ちます。
新しいマルウェアを特定したとしましょう。あなたはそれで何をしますか?それが何をするのか、そしてシステムを最もよく消毒する方法をどのように見つけますか?(Let's assume you just identified a new piece of malware. What do you do with it? How do you find out what it does and how to best disinfect a system?)
少なくとも最初は、そのマルウェアが何をするのかを知ることにそれほど興味はありません。ウイルスであるかどうかにかかわらず、その動作が疑わしいかどうかを知りたいと思っています。これにより、当社の製品は、ネットワーク(network or place)へのアクセスを遮断したり、マルウェアを隔離したりするなどの行動をとることができます。
識別されたすべての新しいマルウェアは、ヤシの研究所に自動的に送信さ(Iaşi)れ(research lab)ます。そこでのチームは、ウイルスの分解、ウイルスの機能の理解、および適切な情報で定義データベースの更新を行います。
研究チームと言えば、彼らとウイルスの「ハッキング」に関する彼らの取り組みについてもう少し教えてください。(Speaking of the research team, tell us a bit more about them and their work on "hacking" viruses.)
ええと、彼らはあらゆる観点から、非常に閉鎖的な環境で働く非常に専門的なチームです。たとえば、ウイルスが作用したり、野外に出たり、独自のネットワークに拡散したりすることは望ましくありません。(wild or spread)それらはすべて、暗号化から複数のプログラミング言語(アセンブリ言語(Assembly language)を含む)に堪能であること、インターネットプロトコルの知識、ハッキング技術などに精通したセキュリティの専門家です。
彼らはウイルスのコードを解読し、適切な情報で定義データベースを更新する責任があります。ただし、自分で定義の更新(definition update)を作成する前に、9か月かかるトレーニングと専門(training and specialization)化の長いプロセスを経る必要があります。必要なトレーニングをすべて受け、自分たちが何をしなければならないかを知っていることを証明するまで、彼らは自分たちで定義データベースを操作することはできません。
また、都市伝説をそのように呼びたい場合は、明確にしておきたいと思います。多くの人が、最高のハッカーやウイルスメーカーがBitDefenderを含むセキュリティ会社に雇われると信じています。少なくとも私たちの会社に関しては、これは真実ではありません。採用プロセス(hiring process)では、マルウェアを作成した、またはあらゆる種類のブラックハットハッキングを行ったすべての候補者を除外します。
私たちは信頼できるチームメンバーが参加することを望んでいます。私たちは、人々が大きなセキュリティ上の課題(security challenge)を楽しんでおり、自分のスキルやインテリジェンスを利己的な目的に使用していないため、私たちに参加してもらいたいと考えています。私たちの研究チーム(research team)の誰もが、より複雑なシステムをハッキングしなくても、少なくとも独自のウイルスを作成することができます。しかし、彼らはそれが正しいことではなく、彼らの才能の正しい使い方ではないと信じているので、それをしません。また、当社はこのような行為を容認しません。
製品はどのくらいの頻度でサーバー上で新しい定義を探しますか?(How often do your products look for new definitions on your servers?)
45〜60分に1回。新しい定義をできるだけ早く提供することは私たちにとって非常に重要です。特定の状況で必要な場合は、プッシュ通知も送信することがあります。これにより、セキュリティ製品はすぐに更新され、スケジュールされた更新が行われるのを待たなくなります。何か新しいことを学んだらすぐにデータを送れるようにしたいと思っています。ただし、これは技術的な観点からは実現不可能であり、ユーザーのコンピューティングエクスペリエンスを損なうことになります。そのため、プッシュ通知と更新を最小限に抑え、本当に意味のある場合にのみ使用します。
他の企業と協力して、最新のセキュリティ脅威に関する知識と情報を共有していますか?(Do you collaborate with other companies and share knowledge and information about the latest security threats?)
はい、そうです。F-SecureやG-Data(F-Secure or G-Data)など、テクノロジーのライセンスを取得したパートナーを含め、他の6社と協力しています。ただし、他社の名称は開示いたしかねます。
システムのセキュリティの強化に必ずしも貢献しない、より二次的な機能にいくら投資しますか?ペアレンタルコントロール、ファイルバックアップ、ファイル同期など、主にTotalSecuritySuitesに含まれている機能について言及しています。(How much do you invest in the more secondary features, that don't necessarily contribute to enhancing the security of a system? I'm referring to features included mostly in Total Security Suites, such as: Parental Controls, File Backup, File Synchronization, etc.)
明らかに、ウイルス対策、ファイアウォール、スパム対策などのセキュリティスイートの従来の機能は、私たちのチームの作業の主な焦点であり、会社の開発リソースのほとんどを受け取ります。(security suite)ただし、製品で提供する2次機能ごとに専用のチームがあり、これらのモジュールの保守に必要な作業量に応じて、必要に応じてスタッフが配置されます。ウイルス対策保護エンジンほど多くの人が(antivirus protection engine)ペアレンタルコントロール(Parental Controls)に取り組んでいる必要はないことを想像できます。
BitDefenderには、BitDefender Antivirus、Internet Security Suite、Total Security Suite、Sphereなどのクラシックな製品ラインアップがあります。これは、サポートする任意のプラットフォームで、提供する最高のセキュリティスイートを使用できる最大3人のユーザーにライセンスを提供します。デバイスの数に制限はありません。これらの概念のうち、ユーザーに最も人気のあるものはどれですか?彼らは、トータルセキュリティスイートまたはより古典的なセキュリティ製品の追加機能を好みますか?(BitDefender has a classic line-up of products: BitDefender Antivirus, Internet Security Suite, Total Security Suite and Sphere, which offers a license for up to 3 users that can use the top security suite you provide, on any platform you support, on an unlimited number of devices. Which of these concepts is most popular with your users? Do they prefer the added features of a Total Security suite or the more classic security products?)
BitDefender Internet Security Suiteは、間違いなく私たちの最も人気のある製品です。Total Security Suite(Security Suite)の追加機能を楽しんでいる人もいますが、少数派です。しかし、新しいBitDefenderSphere製品(BitDefender Sphere product)に対して受け取った成功と肯定的なフィードバックにはうれしい驚きがありました。多くの人が、PC、Mac(Macs)、Androidベースのスマートフォンまたはタブレットを保護できる統合セキュリティソリューションを楽しんでいるようです。(security solution)彼らは、自宅のすべてのコンピューティングデバイスを保護するために、もう1つの手頃なライセンスを購入するという柔軟性を非常に楽しんでいます。
最後になりましたが、Windows8とその新しいMetroインターフェイスについて少しお話ししましょう。新しいタッチインターフェイス用に設計されたセキュリティソリューションを提供する予定はありますか?Windows 8タブレット用に個別のセキュリティ製品を提供しますか?(Last but not least, let's talk a bit about Windows 8 and its new Metro interface. Do you plan to offer security solutions designed for the new touch interface? Will you provide separate security products for Windows 8 tablets?)
私たちは間違いなく、 Windows8(Windows 8)と新しいMetroインターフェース(Metro interface)にいくつかのエキサイティングな製品を提供することに取り組んでいます。Metroの課題は、アプリケーションが制限と制限された権限で実行されることです。デスクトップ(Desktop)アプリケーションのように、システムに完全にアクセスすることはできません。したがって、それを回避し、効果的な保護を提供する方法を見つける必要があります。
ただし、残念ながら、 Windows8用(Windows 8)のセキュリティ製品を使用して計画の詳細について話し合うことは自由ではありません。Windows 8が完成し、利用可能になるまでの間に、より多くの情報(information closer)を提供できるようになります。
結論
この議論からわかるように、優れたセキュリティソリューション(security solution)の開発は簡単な作業ではありません。これには、多くの作業、コンピューティング、ネットワーキング、およびセキュリティ(networking and security)のさまざまな側面に関する知識が含まれます。この会話が(conversation interesting)、関連するプロセス全体についてさらに学ぶのに興味深く、役立つことを願っています。
この記事を閉じる前に、この招待状を送ってくれたBitDefenderに感謝し、彼らの最高のスペシャリストと非常に興味深い会話をする機会を与えてくれました。
How Security Products Are Made - A Discussion with Bitdefender
One of the topics of interest at 7 Tutorials is security. Not only we write articles and tutorials about how to have a safe computing experience but we also review security products on a regular basis. One of the things we wanted to learn more about, is how security products are made: what are the steps involved? the most important challenges? etc. Luck has it that we got the chance to meet with Alexandru Constantinescu - Social Media Manager at Bitdefender, who immediately said: "Hey! Why don't you pay us a visit and learn more from our team? We accepted the invite and today we can share with you an extensive discussion about how security products are made."
Our Discussion Partners
BitDefender is a security company which should not require much of an introduction. Or at least not to our readers. They are the leading security company in Romania and they develop security products which received lots of praise and appreciation. Their products are constantly showing up in lists with top security solutions.
We went to the BitDefender headquarters in Bucharest and had a lengthy discussion with Cătălin Coșoi - Chief Security Researcher (in the picture above) and Alexandru Bălan - Senior Product Manager. They are both very knowledgeable and friendly people, with whom we enjoyed having this conversation.
How Security Products are Made
We did not waste a lot of time on introductions and we immediately started our conversation.
What are the stages you go through, while developing a new version of a security product, such as an Internet Security Suite?
The approach is not really different from your typical software development project. Let's say we just launched the 2012 version of our products. As soon as the launch ends, we start working on the 2013 version. First, we decide on the set of features and changes that will be introduced in this next version.
In order to identify the features that will have a great impact for the next version, we have discussions with several audiences: reviewers, security experts, technical experts and users who are able to give us insights on what works, what doesn't and what could work well in the next version. On top of that, our own technical team gives input based on their expertise and vision of where they would like take the product. We also do a market analysis to better understand the direction(s) where other companies are heading. Based on all these inputs, we make a call on what gets included in the next version and what doesn't.
Then, we have the development stage, with several test phases included. First, we have an internal preview when we test our pre-beta software. Next, we have several beta stages:
- An internal beta – just like the internal preview, but with a slightly bigger audience testing the product;
- A private beta – where we choose a closed circle of users from outside the company to test the product. We involve up to a few thousand users and we choose people whose feedback we consider helpful. We include knowledgeable users, people with whom we had a longer collaboration, technical experts whose opinion we value, etc.;
- A public beta – it takes place 2 to 3 months prior to the actual launch. At this time, anyone interested can pick up the product, test it and provide feedback.
During the beta stages we fine-tune the product on a continuous basis and, just before launch, we have a small time-window to make the final touches. Then the launch takes place, where marketing, PR, sales and other teams are involved in making the required buzz, while the development team handles any issues that might come up.
Indeed, it doesn't sound different from other software development projects. However, are there any challenges specific to this niche of developing security software?
That would have to be the need for agility in the truest sense of the word. It is key to our niche, more than in any other line of software development. In order to protect our client's computers, networks and devices, we must be very fast in responding to new threats. Generally, you don't have many new types of threats appearing in a day. Most malware is simply an evolution of older malware and we find it generally easy to deal with this. However, when something truly new comes up, we must act very fast. In only a few hours you have to deliver at least an update to your definitions or heuristics that will keep your clients safe.
It is even harder when, in order to answer to a new threat, it is not enough to update our definitions and we must develop a new feature in our product. This impacts not only the products currently used by our customers but also the new products we are developing.
Let's take for example Facebook. As it grew in popularity, it became a frequent tool for distributing spam and malware. As you would expect, we always had an eye on this social network and monitored the malware links being spread through it and included them in our cloud database. However, we felt the need to develop a new tool that deals with malware on Facebook in a better way. This is how we created the concept for BitDefender SafeGo (a product reviewed also on 7 Tutorials). In the autumn of 2010 we launched the first version of this product and later, it became an integral part of our security products, such as BitDefender Internet Security Suite 2012.
Indeed, a great example. Speaking of BitDefender SafeGo – do you intend to keep it available also as a free product for non-paying customers, as is today?
Yes, this product will be available both in our commercial security products and as a free Facebook and Twitter app. That's because security problems on Facebook will continue to exist and spread. This product helps us identify malware faster and protect both our paying and non-paying customers. Also, we think that making this tool available for free helps raise awareness about BitDefender to customers who might not have heard about us. If they like BitDefender SafeGo, we have a higher chance of them considering other security products we develop.
Any other examples of when great agility is needed?
Another thing we do our best to do, is try to spot opportunities for meeting other types of security needs people have, not only your standard virus detection and protection. For example, if you remember the controversy about Carrier IQ – a piece of software installed by many mobile vendors, that was logging information such as location without notifying users or allowing them to opt-out. Even though this was not a piece of malware and was preinstalled on your phone by your mobile carrier, many people wanted to know if they had it installed on their phones or not. When we learned about it, it was a Saturday. A member of our team went to the office, spent about 3 to 4 hours and developed a free product from scratch, for Android users. It is called Bitdefender Carrier IQ Finder and it allowed Android users to quickly learn if they are being tracked or not.
Let's talk a bit about cloud computing. We see it used more and more in security products. Some vendors even offer only cloud-based security in their products. What do you think about this approach?
Cloud computing definitely has an important role in the space of security solutions. However, we believe that a hybrid approach which uses both definition databases and the cloud, delivers the best results. When only the cloud is used, you are dependent on the Internet connection. If that's gone, the system remains unprotected. Having a mix of malware definitions and the cloud, delivers better results in most computing scenarios.
Do you plan to use cloud computing even more in the future? Maybe even take the same cloud-only approach?
Not really. We believe in using those technologies that best fit the purpose. For example, if we want to protect the web browser of a user, then we use only the cloud. Malicious websites are the same, indifferent of the operating systems and browsers people use to access them. Also, if there is no Internet access, the user cannot browse the web. Therefore, there is no problem if the cloud protection is also unavailable.
For the antivirus we believe it is best to use both classic definitions and the cloud. The definitions help provide protection when the cloud is not available due to an Internet connection drop-out. Also, they make the behavioral analysis of files and applications run faster than when trying to use the cloud for the same purpose. When our software is doing any kind of behavioral and action analysis, the definitions provide more speed than the cloud does.
Tell us a bit more about the technologies BitDefender uses to protect a system.
In general, in BitDefender products there are three main technologies that are used to secure systems:
- Behave – this monitors and learns the general behavior of your applications;
- Active Virus Control – monitors the actions taken by an application and blocks those which are suspicious or mal-intentioned.
- Cloud – gathers information from lots of sources about malware and updates itself continuously. The data from the cloud is used by almost all protection modules included in our products.
What are your sources for finding and learning about new forms of malware?
We have many sources for learning about new viruses and malware in general:
- Honeypots;
- BitDefender SafeGo, with its support for both Facebook & Twitter;
- The data sent from our clients' computers about infections and suspicious activities;
- Our collaboration with other security providers;
- Public malware databases.
Honeypots. That sounds interesting. Tell us a bit more about them. What exactly are they?
Honeypots are systems we distributed across our network, that act as victims. Their role is to look like vulnerable targets, which have valuable data on them. We monitor these honeypots continuously and collect all kinds of malware and information about black hat activities.
Another thing we do, is broadcast fake e-mail addresses that are automatically collected by spammers from the Internet. Then, they use these addresses to distribute spam, malware or phishing e-mails. We collect all the messages we receive on these addresses, analyze them and extract the required data to update our products and keep our users secure and spam free.
Let's assume you just identified a new piece of malware. What do you do with it? How do you find out what it does and how to best disinfect a system?
At least initially we are not that interested in learning what that piece of malware does. We are interested to learn if its behavior is suspicious or not, if it is a virus or not. This allows our products to act and do things such as cut access to the network or place into quarantine that piece of malware.
All the new pieces of malware that are identified get sent automatically to our research lab in Iaşi. The team there takes care of deconstructing the viruses, understanding what they do and updating our definitions database with the appropriate information.
Speaking of the research team, tell us a bit more about them and their work on "hacking" viruses.
Well, they are very specialized team that works in a very closed environment, from all perspectives. For example, we don't want viruses they work on, to get out in the wild or spread into our own network. All of them are security experts skilled in things that vary from encryption to being fluent with multiple programming languages (including Assembly language), knowledge of internet protocols, hacking techniques, etc.
They are in charge of decrypting the code of a virus and updating our definitions databases with the appropriate information. However, before they get to work on creating a definition update on their own, they must go through a lengthy process of training and specialization that takes 9 months. They are not allowed to work with our definition databases on their own until they have gone through all the required training and have proven that they know what they have to do.
Also, we would like to clarify an urban legend, if you would like to call it that way: many believe that the best hackers and virus makers get hired by security companies, including BitDefender. At least when it comes to our company, this is not true. During the hiring process, we filter out all the candidates who have created malware or have done any kind of black-hat hacking.
We prefer to be joined by team members whom we can trust. We want people to join us because they enjoy a great security challenge and do not use their skills and intelligence for selfish purposes. Everyone in our research team can at least create their own virus if not even hack a more complex system. However, they don't do it because they believe it is not the right thing to do and not the correct use of their talents. Also, our company would not tolerate this kind of behavior.
How often do your products look for new definitions on your servers?
Once every 45 to 60 minutes. It is very important for us to have new definitions delivered as soon as possible. Sometimes, if a given situation requires it, we also send push notifications, so that our security products update themselves immediately and don't wait for the scheduled update to take place. We would like to be able to send data as soon as we learn something new. However, that is not feasible from a technical perspective and it would ruin the computing experience of our users. That's why we keep push notifications and updates to a minimum and use them only when it really makes sense.
Do you collaborate with other companies and share knowledge and information about the latest security threats?
Yes, we do. We collaborate with 6 other companies, including our partners to which we licensed our technology, such as F-Secure or G-Data. However, we cannot disclose the names of the other companies.
How much do you invest in the more secondary features, that don't necessarily contribute to enhancing the security of a system? I'm referring to features included mostly in Total Security Suites, such as: Parental Controls, File Backup, File Synchronization, etc.
Obviously, the classic features of a security suite such as antivirus, firewall, antispam, etc are the main focus of our team's work and receive most of our company's development resources. However, we do have dedicated teams for each of the secondary features we offer in our products and they are staffed as needed, depending on the amount of work required to maintain these modules. You can imagine that we don't need as many people working on Parental Controls as on the antivirus protection engine.
BitDefender has a classic line-up of products: BitDefender Antivirus, Internet Security Suite, Total Security Suite and Sphere, which offers a license for up to 3 users that can use the top security suite you provide, on any platform you support, on an unlimited number of devices. Which of these concepts is most popular with your users? Do they prefer the added features of a Total Security suite or the more classic security products?
BitDefender Internet Security Suite is definitely our most popular product. There are people who enjoy the added features of a Total Security Suite but they are in minority. However, we've been pleasantly surprised by the success and positive feedback we received for our new BitDefender Sphere product. It seems many people enjoy having a unified security solution that can protect their PCs, Macs and Android-based Smartphones or Tablets. They very much enjoy the flexibility of purchasing just one more affordable license to protect all the computing devices in their homes.
Last but not least, let's talk a bit about Windows 8 and its new Metro interface. Do you plan to offer security solutions designed for the new touch interface? Will you provide separate security products for Windows 8 tablets?
We are definitely working on providing some exciting products for Windows 8 and the new Metro interface. The challenge with Metro is that applications run with restrictions and limited permissions. They don't have full access to the system as Desktop applications do. Therefore we need to find ways to get around that and provide effective protection.
Unfortunately though, we are not at liberty to discuss more specifics about our plans with security products for Windows 8. We will be able to provide more information closer to Windows 8 being finalized and made available.
Conclusion
As you can see from this discussion, developing a good security solution is no easy task. It involves lots of work, knowledge of different aspects of computing, networking and security. We hope you found this conversation interesting and useful in learning more about the whole process involved.
Before we close this article, we would like to thank BitDefender for sending us this invitation and giving us the opportunity to have a very interesting conversation with some of their best specialists.
