Песочница PT Sandbox первой среди других продуктов этого класса была отмечена в едином реестре российских программ как продукт, использующий технологии искусственного интеллекта. Продукт предназначен для защиты от целевых и массовых атак, в которых применяется современные вредоносные программы.
ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые они запускают. Процессы, в свою очередь, создают системные вызовы, мы учитываем их последовательность и некоторые паттерны.
Благодаря такому комплексному анализу повышается точность выявления неизвестных целенаправленных угроз. Например, на одной из кибербитв Standoff атакующие запустили вредоносную программу, которая перед началом своей активности создала цепочку подпроцессов в количестве 100 штук.
ML-решение заметило эту аномалию, в то время как классической сигнатуры[3] для ее обнаружении в продукте не было. Так алгоритм, помимо прочего, помогает расширять экспертизу, используемую в PT Sandbox.
Эксперты продолжают тестировать модель на новых данных, повышая точность обнаружения угроз, а также обучать ее с учетом особенностей IT-инфраструктуры клиентов.
«Злоумышленники постоянно совершенствуют вредоносное ПО, стремясь сделать его невидимым для классических средств защиты, — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО в компании Positive Technologies. — Передовая песочница PT Sandbox обнаруживает такие программы в файлах. Продукт проводит комплексные и глубокие проверки, в том числе с помощью ML-системы, которая реализует поведенческий анализ трасс процессов и обнаруживает в них вредоносное и нетипичное ПО. Запись в реестре российского ПО официально признает, что продукт содержит технологии искусственного интеллекта. Это подтверждение будет важно в первую очередь тем компаниям, для которых наличие технологий ИИ в продукте — обязательное условие».
