Решить задачу идентификации ранее неизвестных образцов вредоносных программ помогают сетевые песочницы — системы защиты, позволяющие оценить безопасность программного обеспечения путём его запуска и анализа в изолированной виртуальной среде. Мы кратко описали основные продукты класса Network Sandboxing, представленные на российском и мировом рынках.
- Введение
- Что такое сетевые песочницы?
- Мировой рынок сетевых песочниц
- Российский рынок сетевых песочниц
- Обзор отечественного рынка сетевых песочниц
- Обзор зарубежного рынка сетевых песочниц
- Выводы
Введение
При проведении целевых атак киберпреступники зачастую используют так называемые угрозы нулевого дня. Это — вредоносные программы и эксплойты, которые только появились или были написаны специально для конкретной атаки и ещё не попали в сигнатурные базы традиционных средств защиты. Подобные инструменты порой незаметны даже для наиболее современных антивирусов, межсетевых экранов и систем предотвращения вторжений (IPS).
Решить задачу идентификации ранее неизвестных образцов вредоносных программ помогают сетевые песочницы — системы защиты, позволяющие оценить безопасность программного обеспечения путём его запуска и анализа в изолированном виртуальном окружении. Вместо применения сигнатурных методов поиска вредоносной активности песочница анализирует действия программы в среде, имитирующей типовые автоматизированные рабочие места (АРМ) и серверы организации.
Именно такие продукты мы рассмотрим в данном обзоре. Стоит, впрочем, сразу заметить, что правильная защита должна быть многослойной, и поэтому представители класса Network Sandboxing отнюдь не пренебрегают интеграцией с антивирусами, IPS и другими традиционными сигнатурными средствами.
Что такое сетевые песочницы?
Сетевые песочницы — это программные или программно-аппаратные комплексы, позволяющие обезопасить внутреннюю сеть организации от ещё неизвестных вредоносных компьютерных программ, а также выявить целевые атаки на инфраструктуру. Это достигается путём эмуляции кода в изолированной среде и является отличием сетевых песочниц от классических сетевых антивирусов. Несмотря на то что некоторые антивирусы, предназначенные для установки на рабочие станции пользователей, способны выполнять функции сетевой песочницы, такие проверки существенно повышают нагрузку на центральный процессор.
Сетевая песочница позволяет воспроизвести действия вредоносных программ — например, проверить, как поведёт себя вирус в различных операционных системах — без риска для реальной инфраструктуры. При этом нет необходимости предоставлять песочнице доступ во внешнюю или внутреннюю сеть: функции вроде соединения с интернетом можно эмулировать, равно как и некоторые другие (скажем, подключение внешних накопителей). Всё это даёт возможность защититься от ряда атак с применением уязвимостей «нулевого дня» или вредоносных программ, которые не детектируются наиболее известными антивирусами.
К основным функциям сетевых песочниц относятся:
- Обнаружение и предотвращение целевых атак и неизвестных ранее вредоносных программ. На основе результатов эмуляции в виртуальной среде осуществляется блокирование файлов и электронных сообщений.
- Проверка в облаке на наличие угроз. Под этим понимаются возможности облачного сервиса, который производит проверку электронных сообщений и вложений. Поскольку все поступающие файлы проверяются внутри сетевой песочницы, при её применении уменьшается риск ложного срабатывания.
- Постоянное обновление сигнатур. Многие сетевые песочницы в настоящее время поддерживают возможность быстрого обмена сведениями об опасных объектах: как только в одной из песочниц произойдёт эмуляция неизвестного ранее вредоносного файла, его сигнатуры попадут в общую базу.
- Мониторинг безопасности. Сетевые песочницы позволяют отслеживать уровень защищённости и подготавливать отчёты по найденным угрозам.
Сетевая песочница не должна стоять первой на рубеже. Проверку на вредоносность сначала выполняют межсетевые экраны или прокси-серверы с интегрированным потоковым антивирусным модулем, средства борьбы со спамом и фишингом в электронной почте, системы обнаружения вторжений, и только после прохождения инспектируемым файлом всех этих барьеров проверка должна осуществляться в сетевой песочнице. Это обусловлено тем, что оперативная проверка файла требует больших вычислительных ресурсов; интенсивный поток объектов для анализа повлечёт за собой дополнительные затраты. Для их минимизации необходимо сперва максимально эффективно использовать традиционные средства защиты информации.
Рисунок 1. Принцип функционирования сетевых песочниц
Принцип функционирования сетевых песочниц можно описать следующим образом.
- Поступающие файлы попадают в очередь на предварительную проверку средствами защиты первого рубежа (потоковые антивирусы на межсетевых экранах, антивирусные программы на рабочих станциях и т. д.).
- Если в ходе предварительной проверки вредоносные программы не обнаружены, объект помещается в виртуальную машину и исполняется там. В виртуальной машине нет специализированного инструментария для анализа — имеются только стандартный набор программ обычного офисного АРМ и доступ в интернет для детектирования сетевой активности.
- Все действия исследуемой программы внутри виртуальной машины через гипервизор попадают в анализатор, который должен понять, происходит ли что-то вредоносное, опираясь на имеющиеся у него шаблоны поведения.
- Контекст и результаты анализа заносятся в базу данных для хранения, дальнейшего использования и обучения анализатора.
Сетевые песочницы могут быть самостоятельным решением или частью другого продукта.
С точки зрения исполнения существуют песочницы в виде аппаратной платформы (hardware appliance), виртуального устройства (virtual appliance), программного обеспечения (software) или облачной услуги (cloud-based services). В последнем случае настраивается передача приходящих на сетевой шлюз файлов и данных в облачный сервис вендора, где развёрнута инфраструктура для эмуляции эксплойтов и вредоносных программ. Также информация может передаваться в облачный сервис посредством сетевых агентов, устанавливаемых на серверы электронной почты.
Хотя, как мы только что сказали, сетевые песочницы могут быть встроены в другие сетевые устройства безопасности — межсетевые экраны, системы предотвращения вторжений, UTM-устройства, почтовые и веб-шлюзы, — наиболее распространённым вариантом внедрения сетевых песочниц является использование отдельных устройств и их тесная интеграция с вышеуказанными элементами инфраструктуры.
Мировой рынок сетевых песочниц
Согласно исследованию компании Reports and Data, объём глобального рынка сетевых песочниц может достичь 21,26 миллиарда долларов США к 2026 году. В зависимости от типа развёртывания рынок подразделяют на локальный (on-premise — поставка аппаратных или виртуальных устройств) и облачный (cloud-based services). При этом доля рынка облачных песочниц в течение охватываемого прогнозом периода должна вырасти примерно до 26,1 %, а сегмент on-premise должен составить 53,8 %. Облачный вариант не пользуется особенной популярностью ввиду того, что инспектируемые файлы должны будут покидать периметр организации, однако может послужить неплохой альтернативой для проверки файлов, скачиваемых из сети «Интернет».
Рисунок 2. Динамика глобального рынка сетевых песочниц на 2018–2026 годы (Reports and Data)
При этом основными заказчиками являются банковские, финансовые и страховые компании (BFSI), обрабатывающая промышленность, правительство, ИТ-сектор, включая телекоммуникационные компании, а также организации в сфере здравоохранения.
В отличие от Reports and Data, компания Verified Market Research смотрит на рынок сетевых песочниц более оптимистично: в исследовании «Global Sandboxing Market Size By Component, By Vertical, By Geographic Scope And Forecast» предсказывается, что к 2027 году объём рынка достигнет 7,74 миллиардов долларов США, в среднем ежегодно увеличиваясь на 12,65 %. Такие факторы, как требования законодательства и стремительный рост числа кибератак, вносят значительный вклад в развитие рынка сетевых песочниц.
Рисунок 3. Динамика глобального рынка сетевых песочниц на 2019–2027 годы (Verified Market Research)
Технологии песочницы используются практически всеми производителями средств защиты от целевых атак. На мировом рынке можно выделить следующих основных игроков:
- Check Point Software Technologies Ltd.
- Cisco Systems Inc.
- FireEye Inc.
- Fortinet Inc.
- Juniper Networks Inc.
- Palo Alto Networks Inc.
- Sophos Ltd.
- Symantec Corporation.
- Ceedo Technologies Ltd.
- Forcepoint.
- McAfee LLC.
- SonicWall Inc.
- Zscaler Inc.
Как можно видеть, на сегодняшний день выбор поставщиков на мировом рынке сетевых песочниц весьма велик.
Российский рынок сетевых песочниц
В России сегмент рынка сетевых песочниц существует примерно с 2016 года и сейчас вполне развит. На российском рынке присутствует заметное количество решений отечественных разработчиков (Group-IB, Positive Technologies, «Лаборатория Касперского») и их зарубежных коллег (Check Point Software Technologies, FireEye, Fortinet, Palo Alto Networks, McAfee, Trend Micro).
К сожалению, мы не располагаем сведениями об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи представить их ранжирование.
Краткий обзор продуктов, популярных на российском и мировом рынках, приведён ниже.
Обзор отечественного рынка сетевых песочниц
Group-IB Threat Hunting Framework / Polygon
Threat Hunting Framework (прежние названия: Group-IB Threat Detection System, Bot-Trek TDS) — это комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.
Платформа Polygon входит в состав Threat Hunting Framework и представляет собой, по словам создателей, новый класс решений Malware Detonation & Research. Главное предназначение Polygon — «детонировать» (т. е. заставить сработать) вредоносную программу в изолированной среде всеми возможными способами, а затем провести поведенческий анализ файлов, которые извлечены из электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем. Объекты такого анализа можно также отправить посредством интеграции через API или загрузить вручную.
Polygon автоматически определяет необходимость использования дополнительных образов ОС или параметров и функций для выявления всех вредоносных возможностей анализируемого объекта. Платформа выполняет анализ файлов из следующих потоков: почтовый трафик, веб-трафик (ICAP-интеграция с проксирующими решениями), SPAN-трафик, локальные файловые хранилища, легитимные публичные хранилища, рабочие станции пользователей (необходим модуль Huntpoint), SSL-трафик (Decryptor или ICAP).
Для противодействия методам обхода песочниц Polygon использует следующие технологии:
- winAPI-мониторинг;
- перезапуск с необходимыми параметрами времени для вредоносных программ, учитывающих временные рамки (большая загрузка ЦП, длинные паузы и т. п.);
- использование и эмуляция реалистичных системных параметров среды анализа;
- использование последних версий прикладного офисного ПО в среде анализа;
- ретроспективный анализ ссылочной информации;
- выявление дополнительных условий «детонации» вредоносных программ (перезагрузка ОС, макросы закрытия / открытия приложений, запуск по времени и т. п.);
- вскрытие многотомных контейнеров с ветвлениями;
- система эмуляции пользовательской активности (нажатия в определённых местах экрана, закрытие документа и т. д.);
- компьютерное зрение;
- извлечение и выполнение дополнительных команд из реестра (не выполняющихся по умолчанию).
Подробная информация о продукте доступна здесь.
Kaspersky Anti Targeted Attack (KATA)
Несколько лет назад в «Лаборатории Касперского» была разработана собственная песочница. Она используется в качестве одного из инструментов для анализа вредоносных программ, для исследований и создания антивирусных баз. Песочница является частью платформы для защиты от целенаправленных атак Kaspersky Anti Targeted Attack (KATA), портала Kaspersky Threat Intelligence (KL TIP). Она помогает классифицировать файлы и URL-адреса («вредоносный» или «безопасный») и получать полезные сведения об их активности для разработки правил и алгоритмов обнаружения.
В основе песочницы лежит аппаратная виртуализация, обеспечивающая скорость и стабильность работы. Доступны виртуальные машины для платформ Windows (все версии для персональных компьютеров, начиная с Windows XP; все серверные версии, начиная с Windows Server 2003) и Android (x86, архитектура процессора ARM); в планах на 2021 год — Linux.
Типы объектов, которые могут исполняться в песочнице:
- Windows — любые файлы, например *.exe, *.dll, объекты .NET, файлы MS Office, PDF-файлы.
- Android — APK (DEX).
- URL-адреса — песочница переходит по URL-адресу и выявляет загрузки, события JavaScript, исполнение Adobe Flash и др.
В песочнице развёртываются виртуальные образы операционных систем с предустановленными программами, в числе которых — Adobe Reader, Adobe Flash Player, Microsoft Office, интернет-браузеры, Java, Microsoft .NET и др. Песочница запускает в этих операционных системах объекты и анализирует их поведение для выявления вредоносной активности, признаков целевых атак на IT-инфраструктуру организации. Для повышения уровня детектирования (detection rate) компонент использует сетевой интерфейс в выделенном сегменте сети с доступом в интернет для анализа сетевого поведения исполняемых объектов. Результатами эмуляции являются:
- интерактивное дерево активности процесса в изолированной сети;
- информация о сетевой активности процесса;
- снимки экрана операционной системы во время исполнения объекта в изолированной среде;
- полный журнал активности, доступный в JSON-формате;
- вредоносный объект в зашифрованном контейнере, доступный для скачивания.
В составе платформы Kaspersky Anti Target Attack Platform (KATA), осуществляющей мониторинг взаимодействия корпоративных информационных систем с внешними сетями и интернетом с целью выявления признаков целевых атак, не детектируемых традиционными средствами защиты, песочница взаимодействует со многими другими модулями (антивирусным сканером, IDS, облачным репутационным сервисом KSN и т. д.).
Подробная информация о продукте доступна здесь.
PT Sandbox
PT Sandbox — песочница с возможностью гибкой настройки виртуальных сред. Обеспечивает комплексную проверку файлов, которая включает в себя статический и динамический виды анализа. Статический анализ проводится с помощью особых правил экспертного центра PT Expert Security Center (PT ESC) и нескольких антивирусов. Динамический анализ, также применяющий для поиска угроз правила PT ESC, предусматривает полноценный запуск файла в виртуальной среде и исследование всех его действий, созданных артефактов и сетевой активности. PT Sandbox закрывает все основные векторы проникновения вредоносных объектов в сеть организации, анализируя вложения в электронной почте, документы в файловых хранилищах, файлы, загружаемые на корпоративные сайты и скачиваемые сотрудниками из интернета.
Ключевые особенности PT Sandbox:
- Возможность настраивать виртуальные среды для анализа в соответствии с реальными рабочими станциями. PT Sandbox позволяет загрузить в виртуальную среду специфическое программное обеспечение, которое используют сотрудники в компании. Это даёт возможность выявлять целевые и массовые атаки на конкретный «софт» или его версии и защищаться от угроз «нулевого дня».
- Обнаружение вредоносной сетевой активности. Продукт проверяет весь трафик, который генерируется в процессе анализа файлов (включая скрытый под TLS). Это помогает видеть опасные сетевые взаимодействия, которые внешне не связаны с конкретным файлом, например соединения с командным центром атакующих.
- Выявление новых угроз и скрытого присутствия вредоносных программ за счёт ретроспективного анализа. Автоматическая перепроверка файлов запускается после обновления баз знаний продукта. Это обеспечивает оперативное обнаружение новейших угроз, которые ещё не детектировались на момент предыдущей проверки файла.
- Актуальные для России знания в продукте. Правила для анализа файлов создают эксперты PT ESC, которые постоянно исследуют деятельность хакерских группировок и занимаются расследованием инцидентов в крупных компаниях.
- Защита от обхода песочниц. Продукт оснащён механизмом «Anti-Evasion», обеспечивающим защиту от более чем 20 самых популярных техник, применяемых злоумышленниками для обхода песочниц.
Продукт поставляется как отдельно, так и в составе PT Anti-APT – комплексного решения Positive Technologies для раннего выявления и предотвращения целевых атак.
С обзором продукта на нашем сайте можно ознакомиться здесь.
Подробная информация о продукте доступна здесь.
Обзор зарубежного рынка сетевых песочниц
Check Point SandBlast
Продукт SandBlast от компании Check Point защищает как от известных, так и от неизвестных угроз с помощью компонентов Anti-Virus, Anti-Bot, Threat Emulation и Threat Extraction. SandBlast Threat Emulation как раз представляет собой песочницу для анализа поведения файлов и защиты от угроз прежде их попадания в сеть. SandBlast Threat Emulation использует особую технологию CPU-level Inspection, которая отслеживает ход выполнения программы на уровне инструкций центрального процессора и таким образом обнаруживает уже саму попытку внедрения вредоносного кода, а не последствия этого. Подобный подход обеспечивает устойчивость к самым изощрённым попыткам обмануть песочницу и остаться незамеченным.
Механизм Threat Emulation перехватывает вредоносную программу уже на стадии эксплойта, до попытки применения техник, препятствующих обнаружению в песочнице. Файлы инспектируются в виртуальной среде для выявления опасного внедрённого кода и помещаются на карантин, что предотвращает их распространение в сети. Инновационная технология совмещает в себе инспекцию на уровне операционных систем и на уровне центрального процессора, обнаруживая и останавливая самые опасные эксплойты, таргетированные атаки и атаки «нулевого дня».
Большой выбор устройств SandBlast подходит компаниям, которые не могут использовать облачный сервис эмуляции SandBlast Threat Emulation вследствие принятых политик, требований регуляторов или иных причин. Варианты интеграции предусматривают схемы «частное облако» (шлюзы Check Point отправляют файлы на проверку на устройство SandBlast) и «в разрыв» (в том числе — на SPAN-порт, задействуя блейды Threat Emulation, Threat Extraction, Anti-Virus и Anti-Bot для обеспечения безопасности трафика).
Подробная информация о продукте доступна здесь.
FireEye Malware Analysis
Компания FireEye в качестве фирменной песочницы предлагает аппаратное решение — устройство Malware Analysis. Оно позволяет запускать широкофункциональные автоматически настраиваемые среды тестирования на базе Windows и macOS. В них отслеживаются вредоносные программы и угрозы «нулевого дня», которые могли бы попасть в сеть через почтовые вложения, обычные файлы и вредоносные ссылки.
В устройстве применяется фирменный механизм Multi-Vector Virtual Execution, который умеет отслеживать атаки от первоначального исполнения вредоносного кода до завершающих этапов, когда скрипт пытается скачать недостающие компоненты. Также отслеживаются все попытки исходящих соединений по множеству протоколов.
Платформа даёт возможность работать в двух режимах: непосредственно в песочнице или «вживую» (live). Последний вариант полезен, когда идёт сложная целенаправленная атака. Он позволяет отслеживать все векторы и этапы атаки в защищённой среде в режиме реального времени. Помимо этого Malware Analysis обменивается информацией об атаках с другими фирменными устройствами, так что информация о новых угрозах «нулевого дня» очень быстро становится доступной по сети. Это, в свою очередь, помогает заблаговременно подготовиться к атаке и снижает её потенциальную опасность.
FireEye Malware Analysis также поддерживает импорт пользовательских YARA-правил для быстрого анализа подозрительных объектов на наличие угроз, специфичных для конкретной организации.
Основными преимуществами использования FireEye Malware Analysis являются:
- обнаружение эксплойтов,
- возможность проверки URL-адресов,
- отчёты об изменении операционной системы,
- дескрипторы протоколов C&C,
- визуализация жизненного цикла атаки,
- единая тестовая среда для Windows, macOS и Linux.
Подробная информация о продукте доступна здесь.
FortiSandbox
FortiSandbox от компании Fortinet является ключевым компонентом в составе решения Advanced Threat Protection (ATP), которое интегрируется с архитектурой информационной безопасности Fortinet Security Fabric для противодействия быстроразвивающимся и таргетированным атакам. В частности, FortiSandbox обеспечивает оперативное предоставление информации об угрозах в режиме реального времени благодаря автоматизации обнаружения и подавления уязвимостей «нулевого дня» и усовершенствованных вредоносных программ.
Песочница FortiSandbox поддерживает автономную и интегрированную модели развёртывания. В качестве отдельного приложения она может анализировать пакеты через TAP / SPAN, сканировать файлы в хранилищах SMB / NFS / S3 или принимать файлы по требованию и через ICAP / JSON API. В качестве же интегрированного решения FortiSandbox принимает данные от компонентов FortiGate, FortiMail, FortiWeb, FortiProxy, FortiADC, FortiClient, FortiEDR и сторонних Fabric-Ready решений, а также обменивается сведениями об угрозах «нулевого дня» в режиме реального времени на интегрированных устройствах с целью быстрого снижения рисков.
Способность различных продуктов компании Fortinet к интеграции с FortiSandbox посредством Fortinet Security Fabric обеспечивает автоматическую защиту с исключительно простой настройкой. При этом песочница FortiSandbox является универсальным инструментом анализа – одна песочница обеспечивает все необходимые интеграции с возможностью приоритизации различных источников данных для анализа.
Для максимально эффективной защиты FortiSandbox поддерживает определение собственного перечня типов файлов для анализа, а также анализ в собственных, созданных администратором, виртуальных средах, которые могут быть максимально приближены по составу ПО и конфигурации к целевой среде исполнения.
Песочница FortiSandbox выполняет анализ за предсказуемый небольшой интервал времени, при этом несколько песочниц могут быть объединены в кластер балансировки нагрузки, что позволяет наращивать производительность по мере необходимости.
FortiSandbox обеспечивает:
- Предсказуемую высокую производительность анализа с возможностью линейного масштабирования.
- Статический анализ, определяющий возможные угрозы в невыполняемом коде.
- Эвристический / характеристический / репутационный анализ.
- Обнаружение угроз в режиме анализатора трафика, в том числе идентификацию сетевых атак, активности бот-сетей, переходов по ссылкам на вредоносные URL-адреса.
- Сканирование файловых хранилищ SMB / NFS / S3 и помещение подозрительных файлов на карантин, а также реализацию файлового перекладчика.
- Сканирование URL-адресов, встроенных внутрь текстовых файлов.
Широкий выбор вариантов решения FortiSandbox представлен физическими платформами, виртуальными устройствами для локальных сред виртуализации, облачными виртуальными машинами (IaaS), а облачным сервисом выделенных песочниц (PaaS) и облачным сервисом проверки файлов (SaaS). Для аппаратных или виртуальных устройств возможна работа в автономном режиме (при отключении или ограничении коммуникации с интернетом).
С обзором продукта на нашем сайте можно ознакомиться здесь.
Подробная информация о продукте доступна здесь.
McAfee Advanced Threat Defense
Продукт Advanced Threat Defense от компании McAfee предназначен для борьбы со сложными целенаправленными атаками и угрозами «нулевого дня». Он сочетает функции глубокого статического анализа кода и динамического исследования программ с методами машинного обучения, обеспечивая тем самым более высокую точность обнаружения угроз и инфекций. Поддержка широкого спектра операционных систем и аппаратных устройств делает его удачным решением для генерирования индикаторов компрометации, которые можно использовать при проведении расследований и поиске угроз в масштабах всей организации. Способен детектировать вредоносные программы по активации ими функции «побег из песочницы» и противодействует запуску детектирования изолированной среды.
В песочнице потенциально опасные объекты подвергаются динамическому анализу при запуске в защищённой среде. Инструмент не только изучает их поведение, но и проводит сигнатурный анализ, а также проверяет их репутацию. McAfee Advanced Threat Defense позволяет настраивать образы систем для выполнения исследований, что повышает надёжность работы и точность обнаружения угроз. Интерактивный пользовательский режим даёт администраторам возможность самостоятельно изучать образцы вредоносных программ, а большой набор функций распаковки существенно сокращает время расследования инцидентов. Все инциденты можно выгрузить в подробный отчёт с полным анализом того или иного ПО. Политики по сканированию также имеют большую гибкость и настраиваются под кейсы администратора. В случае использования в компании решения класса SIEM, McAfee Advanced Threat Defense может выступать как источник индикаторов компрометации в стандартизованных форматах (OpenIOC и STIX) для выполнения автоматизированного поиска угроз в полученных событиях ИТ / ИБ.
McAfee Advanced Threat Defense легко интегрируется с другими защитными устройствами, расположенными в корпоративной сети. Это касается не только фирменных решений McAfee, но и продукции сторонних производителей. Таким образом, как только Advanced Threat Defense обнаружит угрозы, другие устройства безопасности смогут сразу принимать решения по ним, не тратя ресурсы на повторное сканирование файлов, если те уже распознаны как вредоносные. Интеграция продукта может происходить как напрямую, так и при помощи специальных коннекторов, например McAfee Threat Intelligence Exchange, McAfee Advanced Threat Defense Email Connector или интеграционной шины DXL (список вендоров для интеграции можно найти здесь). При необходимости можно воспользоваться открытым и документированным API, который постоянно развивается и дополняется полезными возможностями, позволяя максимально гибко встраивать виртуальную или аппаратную песочницу Advanced Threat Defense в любые окружения для выполнения большого спектра задач по защите от сложных угроз.
Подробная информация о продукте доступна здесь.
Palo Alto Networks WildFire
Разработка Palo Alto Networks по защите от целенаправленных атак способна выполнять анализ и фильтрацию файлов, передаваемых по сети различными способами, например по протоколам HTTP(S), SMTP(S), POP3, IMAP, FTP, SMB. Продукт под названием WildFire является компонентом платформы безопасности Palo Alto Networks; он анализирует перехватываемый сетевой трафик, разбирая множество прикладных сетевых протоколов, детектирует APT-угрозы и сложные атаки на сетевую инфраструктуру и защищаемые компьютеры, находящиеся за сетевым устройством, и своевременно блокирует опасные объекты, используя сигнатуры антивируса, IPS и киберразведки (Threat Intelligence), а также средства детектирования DNS Sinkholing и скрытых туннелей.
WildFire применяет механизм песочницы, позволяющий провести поведенческий анализ для различных файлов, передаваемых по сети — приложений, архивов, офисных документов и т. д. Продукт может выполнять исследование непосредственно на локальной платформе, на которой он развёрнут, либо в глобальном облаке Palo Alto Networks, доступном по подписке. Для анализа в песочнице используются операционные системы семейств Windows, macOS и Android, а также офисные приложения внутри них. Решение WildFire умеет детектировать мультивекторные многошаговые атаки, в которых жертва должна выполнить ряд определённых действий. Например, WildFire проходит по ссылкам в документе, загружает файл, доступный по ссылке, запускает его и т. д.
Функция Bare Metal Analysis запускает тестируемые образцы на реальных аппаратных серверах. Это позволяет обнаруживать вредоносный код, который умеет обходить детектирование в песочницах.
В новой версии Palo Alto Networks 10.0 появилась дополнительная возможность анализировать вредоносные файлы «на лету», применяя технологию машинного обучения (ML). ML работает локально на межсетевом экране следующего поколения (NGFW), выявляет и блокирует вредоносный код «нулевого дня», для которого ещё нет сигнатур. Модели ML постоянно обновляются и улучшают методы выявления вирусов и угроз, при этом вредоносные файлы моментально блокируются локально на NGFW без отправки файлов в песочницу.
По результатам анализа в песочнице генерируется не просто хеш файла, а антивирусная сигнатура, которая сразу же доставляется на межсетевой экран. Сигнатура позволяет блокировать всё семейство вредоносных объектов, а не только конкретный образец, который во многих случаях встречается только один раз.
Кроме того, Palo Alto Networks предлагает защиту рабочих станций и серверов Windows посредством технологии ловушек. Соответствующий продукт так и называется — TRAPS («ловушки»). На сегодняшний день известно 113 методов программной эксплуатации уязвимостей, и TRAPS реализует ловушки для каждого из них. Как только эксплойт пытается использовать хотя бы один известный метод, он сразу попадает в ловушку: процесс с эксплойтом останавливается, предотвращая повреждение операционной системы. В год появляются в среднем 1–2 новых метода эксплуатации уязвимостей для Windows, и разработчики незамедлительно добавляют для них новые ловушки. Данный метод позволяет вылавливать как известные, так и неизвестные эксплойты.
Подробная информация о продукте доступна здесь.
Trend Micro Deep Discovery Analyzer
Deep Discovery Analyzer — песочница для анализа неизвестных, потенциально вредоносных файлов. Она может получать подозрительные объекты от продуктов Trend Micro, других компонентов комплекса Deep Discovery и решений других производителей, после чего проводить исследование и выносить вердикт относительно степени опасности каждого образца. Таким образом, этот продукт может дополнить возможностями анализа файлов в песочнице защиту на рабочих станциях, защиту ЦОД, систему предотвращения вторжений, проверку почтового и веб-трафика, корпоративные системы Microsoft Exchange и Domino и пр. Интеграция по протоколам ICAP и REST API позволяет неограниченно расширить применение этого продукта.
Deep Discovery Analyzer — это готовое устройство, позволяющее самому пользователю сформировать среды анализа так, чтобы они в точности соответствовали пользовательскому окружению сотрудников компании. Этот подход позволяет отражать не только угрозы «нулевого дня», но и целевые атаки.
Deep Discovery Analyzer использует шаблоны известных и неизвестных угроз, а также анализ репутации для обнаружения новейших атак с использованием программ-вымогателей. Настраиваемая изолированная среда (песочница) выявляет массовое изменение файлов, шифрование и модификацию процессов резервного копирования и восстановления.
Deep Discovery Analyzer может использоваться в интеграции с Trend Micro Endpoint Sensor — EDR-решением компании, что позволяет обогащать картину расследования результатом анализа объектов в песочнице. Система Connected Threat Defense компании Trend Micro позволяет всем решениям полностью автоматически обмениваться выявленными индикаторами угроз, с тем чтобы отражать угрозы в масштабе всей сети.
Подробная информация о продукте доступна здесь.
Выводы
В настоящее время в профессиональном сообществе уже не стоит вопрос о необходимости защиты от целенаправленных атак. И если три–четыре года назад потенциальному заказчику защитных решений требовалось объяснять, зачем ему песочница, то сейчас в этом нет нужды. Вендоры продуктов для обеспечения информационной безопасности отреагировали на набирающий популярность вид атак и создали множество разработок, основанных на технологиях сетевых песочниц.
Мировой рынок традиционно представлен большим числом крупных производителей, предлагающих продукты разного уровня — как по стоимости, так и по качеству защиты.
На российском рынке присутствует заметное количество продуктов отечественных разработчиков (Group-IB, Positive Technologies, «Лаборатория Касперского») и их зарубежных коллег (Check Point Software Technologies, FireEye, Fortinet, Palo Alto Networks, McAfee, Trend Micro).
Выбор конкретного решения существенно зависит от того, какие средства уже используются в инфраструктуре. Так, например, если в ней установлены продукты Check Point, Fortinet, Palo Alto или McAfee, то весьма логичным будет внедрение песочниц SandBlast, FortiSandbox, WildFire или Advanced Threat Defense соответственно. Это обеспечит бесшовную интеграцию продуктов. Если же целью является построение платформенно независимого комплекса, то, возможно, имеет смысл присмотреться к предложениям Positive Technologies, «Лаборатории Касперского» или Trend Micro.
Учитывая неспадающий объём целенаправленных атак на инфраструктуры организаций, можно утверждать, что сетевые песочницы актуальны для отечественного заказчика и дальнейший спрос на них будет только расти. Это, несомненно, должно положительно сказаться на развитии российского рынка таких продуктов.
