Задай вопрос Максиму Щелованову!

[MiStr]

Мы продолжаем цикл интервью с экспертами "Лаборатории Касперского". Четвёртым в сезоне интервью 2021 года будет Максим Щелованов – руководитель сменных вирусных аналитиков в Anti-Malware Research. @Максим Щелованов готов ответить на вопросы участников клуба по 16 июля 2021 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос по его мнению, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.

 

 

Цитата

Краткая биография Максима Щелованова

 

В 2010 году окончил 8 факультет Московского авиационного института по специальности «инженер-математик». Первая работа – СЕО специалист в туристической фирме. Начал работать с 3 курса института.

После окончания института сменил направление деятельности и устроился на должность младшего системного инженера в ПК «Аквариус». В «Лабораторию Касперского» пришел в 2011 году на должность системного администратора.

 

За время работы в «Лаборатории Касперского» (суммарно почти 10 лет) прошел путь от системного администратора группы экспертной ИТ поддержки до руководителя сменных вирусных аналитиков в подразделении AMR (Anti-Malware Research). В должности руководителя «дятлов» работает последние 3 года.

 

За время работы участвовал в различных проектах, связанных с поддержкой сотрудников и клиентов компании: внедрение новой системы мониторинга ИТ инфраструктуры компании, интеграция систем обработки обращений в AMR и Global Support и т. д.

В свободное время проводит время с семьей, занимается вокалом, регулярно тренируется в тренажерном зале (КМС по жиму лежа).

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

[Friend]

Здравствуйте, @Максим Щелованов,

Просматриваете ли Вы или Ваши коллеги тему вирусного лечения на форуме?

Почему антивирус Касперского не может удалить HEUR:Trojan.Win64.Miner.gen уже вторую неделю? Часто ли такое происходит?

Чем Вы увлекаетесь в свободное время? Какое у Вас хобби?

[oit]

Здравствуйте.

@Максим ЩеловановЩелованов, вы зарегистрировались 9 июня - вы уже знали, что будете интервьюируемым?

Судя по вашей должности, вы всё-таки знали о существовании форума клуба?

Кого из форумчан вы знаете?

[Swift]

Здравствуйте!

Опишите пожалуйста как проходит ваш (или вашего подразделения) обычный рабочий день?

Какие требования к соискателям работы, чтобы попасть к вам на работу?

[7Glasses]

Доброго дня! были ли Вы на смене, когда wannacry начал свое черное дело? какие были первые мысли/чувства?

[ska79]

Здравствуйте.

Расскажите как отбираются образцы вредоносных программ отправленых пользователями через https://opentip.kaspersky.com/ ?

Сколько вирусных аналитиков работает одновременно?

Почему на некоторые отправленные вредоносные файлы детект появляется только спустя 3 недели и после обращения в техническую поддержку Лаборатории Касперского (личный опыт)?

[Максим Щелованов]

18 часов назад, Friend сказал:

Здравствуйте, @Максим Щелованов,

Просматриваете ли Вы или Ваши коллеги тему вирусного лечения на форуме?

Почему антивирус Касперского не может удалить HEUR:Trojan.Win64.Miner.gen уже вторую неделю? Часто ли такое происходит?

Чем Вы увлекаетесь в свободное время? Какое у Вас хобби?

Привет!

Очень редко мы просматриваем форум по собственной инициативе. Чаще всего аналитики заходят сюда в том случае, если в какой-либо заявке есть ссылка на форум с описанием той проблемы, которую нас просят решить. Просто наша работа построена так (и загрузка по заявкам от клиентов такая), что почти в каждый момент времени у аналитика есть бэклог сэмплов/ссылок на анализ.

 

По поводу майнера, который не пролечивается до конца. Такие ситуации бывают нечасто, но, к сожалению, бывают. Возникаю они тогда, когда не удается быстро раскурить всю цепочку родительских файлов, которые в итоге и дропают тот child-файл, который мы начинаем детектить раньше. Как раз в данный момент аналитики занимаются подготовкой дженериковых детектов для всей цепочки родителей.

 

Свободное время чаще всего провожу с семьей, но также стараюсь заниматься вокалом и тренажерным залом по мере возможностей. Иногда могу купить какую-нибудь новую игрушку (типа Call of Duty), и за вечер ее пройти:)

 

11 часов назад, oit сказал:

Здравствуйте.

@Максим ЩеловановЩелованов, вы зарегистрировались 9 июня - вы уже знали, что будете интервьюируемым?

Судя по вашей должности, вы всё-таки знали о существовании форума клуба?

Кого из форумчан вы знаете?

Да, в момент регистрации знал:)

Про клуб знаю давно, но форум посещал очень редко, к сожалению... Поэтому никого из форумчан не знаю, но буду рад со всеми познакомиться!

 

 

9 часов назад, Swift сказал:

Здравствуйте!

Опишите пожалуйста как проходит ваш (или вашего подразделения) обычный рабочий день?

Какие требования к соискателям работы, чтобы попасть к вам на работу?

Привет!

 

У меня и у аналитиков рабочие дни сильно отличаются.

 

У аналитика смена длится 8 часов (но большинство ребят могут и дольше просидеть, разбирая какие-либо интересные кейсы или прокачиваясь в какой-нибудь из дженериковых технологий детектирования), в Москве работают 2 смены с 10 до 18 и с 18 до 2 ночи. В 2 ночи по Москве работать начинают наши коллеги с Владивостока (у них в этот момент 9 утра). В сменах ребята тоже делятся по ролям: кто-то делает заявки от пользователей и следит за выходом обновлений баз, кто-то разбирает таски от роботов, а кто-то занимается дополнительными задачами по самообучению, развитию технологий, анализу проблем в нашей работе и т.д. Роли ротируются.

 

Мой рабочий день может начаться в 9 утра, а закончиться в час ночи:) Это не значит, конечно, что все 14 часов я не встаю от компьютера, но при работе с командой, которая покрывает 24/7, есть свои нюансы (например, с одним из сотрудников по задачам, связанным с IDS детектирование, мы созваниваемся каждые 2 недели в районе 12 ночи). Задачи все, в основном, организационные/бизнес-аналитические: продумать и согласовать процесс поддержки пользователей в рамках какого-либо нового сервиса, подготовить требования по новому функционалу команде, которая занимается разработкой системы обработки заявок для аналитиков, улучшить пользовательский опыт по взаимодействию с нами и т.д. Вот недавно был кейс, когда люди не с первого раза смогли найти окно, в которое нужно постучаться, чтобы зарепортить нашу фалсу на софт при условии, что заявитель не является клиентом Лаборатории -> Доделывали статьи с описанием, как это правильно делать, наполняли ключевыми словами для поисковиков и т.д.

 

Требования для соискателя: уметь в реверс-инжиниринг (Assembler/С, дебаггеры, IDA), уметь писать скрипты для автоматизации собственных задач (например, на python/powershell), уметь вести переписку на английском и однозначно понимать даже ломанную письменную речь. Желательно: уметь программировать (например на C#), иметь опыт работы с малварой и ее классификацией+быть в теме последних трендов, быть готовым работать в вечернюю смену (такси до дома оплачивается).

 

9 часов назад, 7Glasses сказал:

Доброго дня! были ли Вы на смене, когда wannacry начал свое черное дело? какие были первые мысли/чувства?

 

Привет!

 

В тот момент я еще работал в Департаменте ИТ на 2 линии поддержки, поэтому не мог прочувствовать весь тот ажиотаж, который происходил в Департаменте исследований угроз:) Но мы с админами также очень живо обсуждали эту атаку. Не могу сказать, что были какие-то особые чувства...

 

3 часа назад, ska79 сказал:

Здравствуйте.

Расскажите как отбираются образцы вредоносных программ отправленых пользователями через https://opentip.kaspersky.com/ ?

Сколько вирусных аналитиков работает одновременно?

Почему на некоторые отправленные вредоносные файлы детект появляется только спустя 3 недели и после обращения в техническую поддержку Лаборатории Касперского (личный опыт)?

 

Привет!

 

Если брать только группу, в которой работаю я, то на смене могут работать до 5 вирусных аналитиков одновременно (но такое бывает редко, чаще всего заявки/таски параллельно разбирают не более 3 аналитиков). Но если брать подразделения AMR (вирусы, трояны и т.д.) и CFR (фишинг, спам) в целом, то на заявках единовременно может находить и порядка 10 аналитиков (а может и больше).

Поток заявок очень большой (т.е. если бы мы ставили себе задачу обработать все письма, которые прилетают нам напрямую на newvirus или приходят с Opentip, то нам пришлось бы увеличить штат как минимум в 2 раза), поэтому с Opentip в первую очередь мы обрабатываем потенциальные ложные срабатывания. Но, если мы видим, что какие-либо сэмплы от клиентов, например, с платной поддержкой как-то связаны с теми, которые уже приходили с Opentip, то мы можем брать заявки от такого доброжелателя на контроль.

По поводу времени появления детектов на файлы мне, честно, сложно сказать, почему его так долго делали... Обычно стандартный детект доезжает до offline баз примерно через 2-4 часа (а до облака вообще минут за 5-10). А есть номер заявки?:)

Изменено 6 июля, 2021 пользователем Максим Щелованов
ошибки

[oit]

Часто приходится сталкиваться на работе с:

"Хотели как лучше, а получилось как всегда"

"Никогда такого не было и вот опять"

?

Вам легче поднять з/п своему сотруднику или уволить?

Как вы контролируете работу своих сотрудников?

Какие вопросы вам больше интересны? Про свободное время? Про интересы? Про работу? Про спорт?

Как вы видите себя через 5 лет? Вы будете работать в этой же должности? Или уже станете руководителем выше? Или смените род деятельности?

[ska79]

1 час назад, Максим Щелованов сказал:

А есть номер заявки?

Номера заявки нет. Я бесплатный пользователь сайта опентип отправлял установщик ПО с ПНП

Изменено 6 июля, 2021 пользователем ska79

[Friend]

1 час назад, Максим Щелованов сказал:

Как раз в данный момент аналитики занимаются подготовкой дженериковых детектов для всей цепочки родителей.

Получается еще в течение недели антивирус не сможет полностью удалить HEUR:Trojan.Win64.Miner.gen и хелперы на форуме будут лечить все вручную?

Скажите, как профессионал, должен ли антивирус полностью удалять действия вредоносной программы (вируса,minera и т.д.) или же может оставить какие-то "хвосты"?

 

Любите ли вы путешествовать?  В каком городе, стране последний раз бывали? Что вам запомнилось?

 

Сильно ли повлиял COVID 19 на вашу работу и планы? Что думаете о вакцине?

[Ummitium]

Максим, приветствую! Вопрос у меня несколько параноидальный ))) Существует ли вероятность умышленного добавления сотрудником антивирусной компании в белый список антивируса (чтоб не детектировался всеми компонентами защиты) заведомо вредоносного ПО? В частности, в Лаборатории Касперского ведётся ли какой-то контроль за деятельностью аналитиков? Понятное дело, основная часть детектирования происходит без участия человека при помощи автоматизированных средств, но некоторую работу выполняют и люди.

Заранее благодарю за ответ!

[Umnik]

Подскажи, это я потерял доступ к правильным источникам или же сцена действительно не рожала ничего уровня Rusctock.C, об который неплохо так поломали зубы почти все существовавшие тогда антивирусы, включая Каспера?

[mike 1]

Добрый день, Максим.

Не хотели бы Вы наладить обратную связь с хэлперами данного форума в рамках закрытых разделов форума? 

[Максим Щелованов]

23 часа назад, oit сказал:

Часто приходится сталкиваться на работе с:

"Хотели как лучше, а получилось как всегда"

"Никогда такого не было и вот опять"

?

Вам легче поднять з/п своему сотруднику или уволить?

Как вы контролируете работу своих сотрудников?

Какие вопросы вам больше интересны? Про свободное время? Про интересы? Про работу? Про спорт?

Как вы видите себя через 5 лет? Вы будете работать в этой же должности? Или уже станете руководителем выше? Или смените род деятельности?

В любой работе, в которой присутствует доля творчества и свободы, люди периодически сталкиваются с "Хотели как лучше" и т.д. Я еще в бытность админом это ощутил, когда делал несколько скриптов, которые сокращали время выполнения некоторых рутинных заявок, но в итоге ими пользовался только я, т.к. "ну мы уже привыкли делать, как делали"

 

По поводу з/п или увольнения. Увольняют же обычно за проступки, а з/п повышают за хорошую работу и достижения:) Т.е. конечно же поднять з/п легче (и делать это приятнее), чем увольнять. И я рад, что первое происходит чаще, чем второе. Если же вопрос про кейс "Либо з/п х2, либо вот оффер в другую компанию", то тут все очень индивидуально....

 

Про контроль. Если рассматривать процесс обработки заявок, то у нас есть некоторый набор метрик, который позволяет оценить, как хорошо сотрудники справляются с очередь + можно оценить жалобы на нашу работу со стороны коллег за определенный период.

Если рассматривать работу над исследованиями/аналитикой/автоматизациями, то там обычно есть определенные вехи в задаче, которые надо достичь, и на регулярных созвонах мы их обсуждаем.

 

По поводу интересных вопросов. Я человек довольно общительный, поэтому не могу, наверное, выделить что-то конкретное.

 

По поводу будущего. Я, честно, пока об этом не думал. Мне нравится то, чем я занимаюсь, нравится работать с людьми, строить что-то вместе. Более того, у меня есть еще собственные челенджи на моей должности (например, научиться реверсить малвару хотя бы на уровне младшего вирусного аналитика, ведь на должность руководителя сменными вирусными аналитиками, я, по сути, перешел с должности руководителя системными администраторами)

 

 

22 часа назад, ska79 сказал:

Номера заявки нет. Я бесплатный пользователь сайта опентип отправлял установщик ПО с ПНП

 

Понятно:) Как я написал выше, что с Opentip для нас более высокий приоритет имеют потенциальные ложные срабатывания. Но это не значит, что потенциальную малвару с Opentip мы не смотрим. Во-первых, сначала такие файлы попадают на автообработку и, часто, детектируются автоматом. Но если детект не создался, то даже если аналитик не разбирал конкретно этот файл, он вполне может сделать эвристику, которая будет детектить все семейство (включая и этот файл).

Просто вы должны понимать, что нам приходят сотни тысяч (а иногда и миллионы) файлов в день. Даже 1000 аналитиков такой поток вручную разобрать не в состоянии.

 

22 часа назад, Friend сказал:

Получается еще в течение недели антивирус не сможет полностью удалить HEUR:Trojan.Win64.Miner.gen и хелперы на форуме будут лечить все вручную?

Скажите, как профессионал, должен ли антивирус полностью удалять действия вредоносной программы (вируса,minera и т.д.) или же может оставить какие-то "хвосты"?

 

Любите ли вы путешествовать?  В каком городе, стране последний раз бывали? Что вам запомнилось?

 

Сильно ли повлиял COVID 19 на вашу работу и планы? Что думаете о вакцине?

 

Не совсем так. Для значительной части пользователей вся цепочка пролечивается уже сейчас, потому что мы ее нашли и подетектили. Но часть пользователей могут испытывать проблемы. Именно поэтому нужно сразу заводить кейс в саппорт, если у вас при актуальных базах не долечивается какой-либо зловред. Обновление баз также нужно производить регулярно, потому что значительная часть таких запросов к нам и не была бы создана, если бы базы были актуальными.

 

В идеале конечно должны удаляться все хвосты, но на практике не всегда оставшийся мусор можно безопасно удалить. В любом случае, если в продукте будут включены все компоненты защиты, то чаще всего малвара даже хвосты оставить не успеет. А в том кейсе, что по ссылке, нужно было сразу обращаться к нам (через саппорт), т.к. странно, что удалилась только DLL, а файл, который ее дергает, не удалился. Подозреваю, что кто-то что-то не доделал с нашей стороны.

 

Путешествовать люблю, но все-таки больше люблю поваляться на пляже и поплавать. Из воды могу часами не вылезать. Последний раз был на Кипре в Протарасе. Я уже смутно помню, как это было:(, т.к. было это в 2019 году, а когда начались проблемы с Covid, мы решили с семьей пока не рисковать.

 

По поводу Covid и работы. Мы уже почти полтора года работаем с аналитиками по домам. Не могу сказать, что это как-то сильно поменяло работу, в какие-то моменты стало проще соблюдать баланс между работой и личной жизнью (т.к. дорога до работы туда-обратно суммарно занимала у меня от 2 до 3 часов), но иногда сложнее сосредотачиваться, т.к. моей дочке 4 года, и если вдруг случается, что она приболела, перформанс может проседать...

 

По поводу вакцины. На прошлой неделе бахнул себе первый укол спутника:) 20 июля пойду на второй.

 

11 часов назад, Ummitium сказал:

Максим, приветствую! Вопрос у меня несколько параноидальный ))) Существует ли вероятность умышленного добавления сотрудником антивирусной компании в белый список антивируса (чтоб не детектировался всеми компонентами защиты) заведомо вредоносного ПО? В частности, в Лаборатории Касперского ведётся ли какой-то контроль за деятельностью аналитиков? Понятное дело, основная часть детектирования происходит без участия человека при помощи автоматизированных средств, но некоторую работу выполняют и люди.

Заранее благодарю за ответ!

 

Привет! За 2.5 года работы в Вирусной лаборатории я с саботажем не сталкивался, но вероятность такого события конечно же есть всегда...

Тут я не могу подробно вам рассказать, как конкретно осуществляется контроль, но нужно понимать, что каждый детект или обеление файла или ссылки логируются, и мы можем быстро вычислить, кто именно нашкодил, поэтому пытаться это как-то скрыть и надеяться на лучшее бессмысленно.

[Friend]

56 минут назад, Максим Щелованов сказал:

В идеале конечно должны удаляться все хвосты, но на практике не всегда оставшийся мусор можно безопасно удалить

Планируете ли вы полностью побороть Miner, который блокирует установку продуктов Лаборатории Касперского и удаляет службу восстановления Windows? Если да, то когда? Если нет, то почему?
Хелперы для лечения последствий используют свою разработку, так как KVRT и сам антивирус бессильны против последствий майнера.

 

1 час назад, Максим Щелованов сказал:

поплавать. Из воды могу часами не вылезать

У вас есть какой-то разряд по водным видам спорта?

 

Любите ли вы готовить? Ваша любимая еда? Какую кухню вы предпочитаете и почему?