Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Одно интервью из жизни сменного аналитика

lom

Автор lom
в Жизнь «Лаборатории Касперского»

 Поделиться

Рекомендуемые сообщения

lom Профи

lom

Опубликовано
Опубликовано (изменено)

Привет, Хабр!

С наступившим Новым годом! Интересно, скольким из вас пришлось работать в новогоднюю ночь? А представьте себе врачей, милиционеров, транспортников и другие «вахтенные» профессии? У нас тоже есть одна релевантная история, которую мы сегодня расскажем вам. Итак, встречайте Бориса Ямпольского, руководителя отдела сменных аналитиков «Лаборатории Касперского».

 

0_7881c_66dbc4e_M.jpg

 

Боря, можешь рассказать в двух словах, чем отличается работа группы сменных аналитиков от обычных вирусных аналитиков? В чем специфика?

Могу! У сменных аналитиков трудная задача — не пропустить в огромном потоке малвары что-то действительно громкое и опасное. Старшие аналитики из других групп получают уже отобранные файлы, которые требуют внимательного изучения. Всегда должен быть кто-то на страже, одна смена сменяет другую — вот специфика сменных аналитиков. Если антивирус это паровоз, то эти ребята — кочегары, которые круглосуточно подбрасывают уголь в огонь, чтобы паровоз мчался на всех парах.

 

Ты говорил про громкую малвару — а часто приходится отлавливать что-то эдакое? Может, пару примеров из последних?

 

Должен все же сказать, что группа сменных аналитиков далеко не единственная, которая отлавливает громкую малвару, мы просто работаем 24 часа 7 дней в неделю. А вообще что-то особенное отлавливаем примерно раз в месяц. Из последнего эдакого я бы назвал Duqu (Trojan.Win32.Duqu), последняя версия TDSS (Rootkit.Boot.Sst.:), а сегодня (26 декабря — прим.редактора), например, пришѐл Trojan-SMS.AndroidOS.Arspam.a — новый троян под Андроид.

 

График работы у твоих коллег достаточно разнообразен — в общем-то название группы об этом также говорит. Как удается координировать работу такого количества людей с разными графиками?

 

Координировать сменных вирусных аналитиков проще, чем может показаться. Есть дневная и ночная смены. Каждое утро в 10:00 дневная сменяет ночную и каждый вечер в 20:00 ночная приходит на смену дневной. Вообще, система достаточно гибкая. Даже если кто-то болеет, кто-то в отпуске, кому-то надо сегодня в институт — на смене всегда есть вирусные аналитики, которые смогут быстро отреагировать на появление новой угрозы.

 

В твоем подразделении достаточно большое количество младших вирусных аналитиков. Кто у вас берет на себя роль наставника?

 

Наверное, разрушу шаблон, сказав, что у нас нет наставников как таковых. Вернее, он есть первые 2 месяца работы — на испытательном сроке. Это, как правило, старший вирусный аналитик со стажем. Основное же обучение происходит уже в «боевых» условиях на смене. Важно понимать, что меняются не только угрозы, но и наш инструментарий, которым мы пользуемся для борьбы с новыми угрозами. Я знаю многих сотрудников в нашей антивирусной лаборатории и в департаменте исследований и разработок в целом, начавших свой путь в компании в группе сменных аналитиков, но немногие из них смогут прямо сейчас сесть и начать работать на смене. Мы не стоим на месте. У нас каждый день что-то новое.

 

А как вы взаимодействуете с другими подразделениями Департамента?

 

Если говорить про департамент, то максимальное взаимодействие у нас происходит с отделами поддержки инфраструктуры и группой выпуска обновлений. Мы обновляем антивирусные базы, после чего они тестируются и выкладываются на публичные серверы. То есть требуется оперативная и слаженная работа, чтобы между временем обнаружения и созданием обновления проходило реально немного времени. Ну и, разумеется, трудно себе представить нашу работу без всего многообразия утилит и различных сервисов.

 

У вас есть какое-то правило, что аналитики отрабатывают только около 2 лет на смене. А что с ними происходит потом?

 

Не правило, а скорее традиция! Вирусные аналитики, проработавшие больше 2-х лет, осознают свой дальнейший путь в компании. Как правило, это исследование какой-то узкой области индустрии. Часто вирусные аналитики переходят в группы эвристического детектирования, исследования сложных угроз. Некоторые становятся программистами и создают инструментарий для нас. Многие, когда-то начавшие с работы младшими вирусными аналитиками, сегодня выросли до руководителей отделов, ведущих экспертов, генеральных директоров ;). Вот почему я с легкостью принимаю эту традицию, хоть и с некоторой грустью на душе.

 

И последний, пожалуй, вопрос: Какие у вас требования при приеме на работу?

 

Ну наконец-то! Кандидат многое получает при устройстве к нам (помимо соцпакета и бесплатных обедов): это бесценный опыт, общение с экспертами, возможность изучать самые свежие угрозы. Поэтому и требования высоки. Главное требование — быть фанатиком в хорошем смысле этого слова. По-настоящему интересоваться индустрией. Не бояться некоторой рутины, с которой неизбежно придется столкнуться при анализе потока подозрительных самплов. Разумеется, есть базовые требования по техническим навыкам: это знание ОС Windows и знание Assembler-а. Ну и напоследок — готовность работать в ночь. Обычно это требование останавливает от работы у нас девушек и семейных кандидатов.

 

Спасибо большое за интервью! И до встреч в новом году!

Изменено пользователем lom
Ссылка на комментарий
Поделиться на другие сайты
Yakovlev Постоялец

Yakovlev

Опубликовано
Опубликовано

С трудом поверится ,что вирусный аналитик будет давать интервью таксе по имени lom . Может все таки ссылку на первоисточник дадите? ;)

Ссылка на комментарий
Поделиться на другие сайты
lom Профи

lom

Опубликовано
  • Автор
Опубликовано (изменено)
С трудом поверится ,что вирусный аналитик будет давать интервью таксе по имени lom . Может все таки ссылку на первоисточник дадите? :)

;) Да ... беда. Да не мне он его давал! Поиск по Хабру юзаем: http://habrahabr.ru/company/kaspersky/blog/136163/

Изменено пользователем lom
Ссылка на комментарий
Поделиться на другие сайты
Skarbovoy Ветеран

Skarbovoy

Опубликовано
Опубликовано
С трудом поверится ,что вирусный аналитик будет давать интервью таксе по имени lom . Может все таки ссылку на первоисточник дадите? ;)

Линк.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shvedko
      Смена шлюза соединения
      Автор Shvedko
      Коллеги, добрый день!
      У меня появилась задача развернуть новый сервер администрирвоания. В замен старого. Но я никак не могу отыскать как можно изменить настройки шлюза соединения в агенте?
      Подскажите где можно произвести эту настройку.
    • Данил Зиндуль
      Предложение участия в исследовательском интервью
      Автор Данил Зиндуль
      Добрый день! Меня зовут Данил Зиндуль. Я студент Высшей школы экономики, учусь на направлении "Медиакоммуникации" и для своей курсовой работы провожу исследование.
      Я пытаюсь понять, как технологические компании (или IT-подразделения внутри крупных российских брендов) используют инструмент создания сообществ с целью формирования бренда работодателя или приверженности продукту. Для этого я провожу интервьюирование специалистов по работе с комьюнити и построению hr-бренда, а также стратегов-маркетологов.
      Я хочу узнать, есть ли у вас в компании профильный специалист/ы, который смог бы принять участие в онлайн-интервью и ответить на примерно 15 вопросов по теме в течение 30-35 минут? Благодарю за уделенное время! 
    • kingring1978
      Смена языка в kwts
      Автор kingring1978
      Добрый день! Не пинайте сильно, в линуксе новичок, да и в kwts тоже...Развернул debian 12 с графическим интерфейсом, установил kwts, по условиям установки необходимо перед этим:
      Если вы используете Debian или Ubuntu не на английском языке, вам требуется изменить язык операционной системы перед запуском первоначальной настройки программы.
      Сменил locales по-умолчанию на  en_US.UTF-8, установил kwts, но теперь при запуске веб-интерфейса kwts на ангийском языке, возможности переключить на русский язык нет. Как вернуть русский язык в kwts?
      P.s. сменил региональные настройки, вернул locales на русский язык по-умолчанию, не помогло...
       
    • Nikita123
      Проблема со сменой языка на kaspersky endpoint 12.7.0
      Автор Nikita123
      Кто-нибудь  знает как сменить KES, на английский? Варианты shift+F12-временный не подходит. И как возможно было бы централизованно через KSC, сменить язык для endpoint. Вариант с переустановкой менее интересный, хотелось бы не такой радикальный.
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
×
×
  • Создать...