| 0 |
|
Песочница PT Sandbox компании Positive Technologies позволяет моделировать точные профили рабочих станций пользователей – вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).
Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице. Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не «детонирует». Иногда имеет значение даже совпадение версий ПО.
Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.
Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.
Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы нового – ранее нигде не выявленного – вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.
Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.
PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies – PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM – и обогащает их знаниями об угрозах, связанных с вредоносным ПО.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
