08 ноября 2023
Знакомство с PT Sandbox
Статья 1. Функциональные возможности и преимущества PT Sandbox
Мы рады приветствовать всех читателей в первой статье цикла, посвящённого знакомству с продуктом PT Sandbox от известной российской компании-разработчика Positive Technologies.
PT Sandbox — это программное обеспечение, которое использует методы статического анализа и технологию «песочницы» для защиты инфраструктуры от вредоносного контента. Оно обеспечивает безопасность вашей сети и серверов путем проверки файлов и ссылок, полученных из различных источников, таких как электронная почта, веб-трафик, общие сетевые папки и др.
Главными преимуществами продукта являются возможность гибкой и удобной кастомизации виртуальных сред для анализа, обнаружение «невидимых» угроз (буткитов, руткитов), очень быстрая доставка экспертизы (за 2.5 часа) и поддержка большого числа разнообразных источников с минимумом усилий при подключении.
Инструмент пользуется комбинацией статической проверки несколькими антивирусами и поведенческого анализа с настраиваемым машинным обучением для определения потенциальной угрозы и блокировки вредоносного контента. Подход «песочницы» позволяет изолировать вредоносный контент в безопасной среде и предоставляет аналитикам информацию об угрозах, которые могут быть использованы для дальнейшего улучшения системы безопасности.
18 апреля 2023 года компания Positive Technologies представила свою пятую версию Sandbox, и с того момента вышло несколько минорных обновлений. На момент написания статьи актуальной версией является релиз 5.5, который получил как новые фичи, так и улучшение уже существующего функционала.
Среди новых возможностей стоит отметить:
PT Sandbox — это программное обеспечение, которое использует методы статического анализа и технологию «песочницы» для защиты инфраструктуры от вредоносного контента. Оно обеспечивает безопасность вашей сети и серверов путем проверки файлов и ссылок, полученных из различных источников, таких как электронная почта, веб-трафик, общие сетевые папки и др.
Главными преимуществами продукта являются возможность гибкой и удобной кастомизации виртуальных сред для анализа, обнаружение «невидимых» угроз (буткитов, руткитов), очень быстрая доставка экспертизы (за 2.5 часа) и поддержка большого числа разнообразных источников с минимумом усилий при подключении.
Инструмент пользуется комбинацией статической проверки несколькими антивирусами и поведенческого анализа с настраиваемым машинным обучением для определения потенциальной угрозы и блокировки вредоносного контента. Подход «песочницы» позволяет изолировать вредоносный контент в безопасной среде и предоставляет аналитикам информацию об угрозах, которые могут быть использованы для дальнейшего улучшения системы безопасности.
18 апреля 2023 года компания Positive Technologies представила свою пятую версию Sandbox, и с того момента вышло несколько минорных обновлений. На момент написания статьи актуальной версией является релиз 5.5, который получил как новые фичи, так и улучшение уже существующего функционала.
Среди новых возможностей стоит отметить:
- Поддержку новых ОС российского производства (Astra Linux, РЕД ОС) для динамического анализа файлов
- Снижение требований к аппаратному обеспечению;
- Автоматическую проверку ссылок в письмах;
- Добавление еще одного встроенного антивируса NANO «из коробки»;
- Проверка содержимого установочных пакетов RPM;
- Проверка ссылок по индикаторам компрометации;
- А также возможность удаления из электронных писем файлов, помеченных как опасные
Кроме того, новая версия продукта имеет улучшенный интерфейс: в дашбордах теперь отображаются не только опасные, но и потенциально опасные файлы. А также появилась «Тёмная Тема», породившая немало обсуждений.
В этой статье мы познакомим вас с функциональными возможностями PT Sandbox, а также узнаем об основных преимуществах, которые предоставляет этот продукт.
Мы также рассмотрим примеры использования этого инструмента в современных проектах разработки и тестирования. Данный обзор поможет вам лучше понять, как PT Sandbox может быть полезен для защиты инфраструктуры от вредоносного контента и повышения уровня безопасности именно вашего проекта.
В этой статье мы познакомим вас с функциональными возможностями PT Sandbox, а также узнаем об основных преимуществах, которые предоставляет этот продукт.
Мы также рассмотрим примеры использования этого инструмента в современных проектах разработки и тестирования. Данный обзор поможет вам лучше понять, как PT Sandbox может быть полезен для защиты инфраструктуры от вредоносного контента и повышения уровня безопасности именно вашего проекта.
Актуальность
Прежде чем непосредственно перейти к обзору PT Sandbox, нам необходимо понять, зачем вообще нужны решения класса «песочница».
Современный мир информационных технологий развивается с невероятной скоростью. Однако быстрый прогресс имеет и обратную сторону: с каждым годом угрозы в области кибербезопасности становятся все более изощренными и совершенными. Соответственно, организации, владеющие ценными данными и инфраструктурой, чаще сталкиваются с вопросом обеспечения адекватной защиты от вредоносного ПО.
Решения класса «песочница» стали необходимым инструментом в борьбе с вредоносным ПО в связи с тем, что современные киберугрозы становятся все более хитрыми и изощренными.
Классические методы защиты, такие как антивирусы, не всегда могут эффективно защитить от всех типов вредоносов. Это связано с появлением новых методов доставки вредоносного ПО до конечного устройства, которые могут обходить традиционные методы защиты.
Один из способов доставки вредоносного ПО– это упаковка в архив. При таком подходе сигнатура вредоносного файла изменяется, что может привести к тому, что антивирус не распознает его как вредоносный.
Есть и другие методы: например, существует такое понятие, как DLL Sideloading (подгрузка библиотек). Это не новая функция операционной системы, а штатная активность, когда запускается программа и ей нужны дополнительные фрагменты кода. Их можно найти в библиотеке.
Для злонамеренной эксплуатации этой функциональности, как правило, берётся серьёзная подписанная программа (например антивирусный продукт или утилита от Microsoft), настолько доверенная, что никто и никогда не усомнится в её надёжности. При этом библиотека, которая подгружается этими программами, может являться вредоносной. (Интервью с Алексеем Вишняковым, руководителем отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies)
Еще один метод: использование макросов в документах Word/Excel. Хотя антивирус и может определить наличие макросов в файле, он не всегда может определить, являются ли эти макросы вредоносными или легитимными.
Целевые атаки – это ещё одна проблема, с которой сталкиваются организации. В таком случае вредоносное ПО может быть специально написано для компрометации конкретной организации, что делает невозможным обнаружение его с помощью сигнатурных методов антивируса.
Похожая ситуация происходит в том случае, когда в систему попадают новые вредоносные программы, которые еще не были исследованы и не добавлены в базу знаний антивируса.
Решения класса «песочница» могут оказаться полезными во всех вышеуказанных сценариях, (тогда, как классические средства защиты, такие как антивирусы, IDS/IPS, NGFW, WAF, могут оказаться недостаточными). Ведь они представляют собой инструменты для создания изолированной среды выполнения, в которой файлы могут быть запущены и проанализированы без угрозы для инфраструктуры организации.
Кроме того, «песочницы» позволяют собирать следующие данные о действиях файла:
Прежде чем непосредственно перейти к обзору PT Sandbox, нам необходимо понять, зачем вообще нужны решения класса «песочница».
Современный мир информационных технологий развивается с невероятной скоростью. Однако быстрый прогресс имеет и обратную сторону: с каждым годом угрозы в области кибербезопасности становятся все более изощренными и совершенными. Соответственно, организации, владеющие ценными данными и инфраструктурой, чаще сталкиваются с вопросом обеспечения адекватной защиты от вредоносного ПО.
Решения класса «песочница» стали необходимым инструментом в борьбе с вредоносным ПО в связи с тем, что современные киберугрозы становятся все более хитрыми и изощренными.
Классические методы защиты, такие как антивирусы, не всегда могут эффективно защитить от всех типов вредоносов. Это связано с появлением новых методов доставки вредоносного ПО до конечного устройства, которые могут обходить традиционные методы защиты.
Один из способов доставки вредоносного ПО– это упаковка в архив. При таком подходе сигнатура вредоносного файла изменяется, что может привести к тому, что антивирус не распознает его как вредоносный.
Есть и другие методы: например, существует такое понятие, как DLL Sideloading (подгрузка библиотек). Это не новая функция операционной системы, а штатная активность, когда запускается программа и ей нужны дополнительные фрагменты кода. Их можно найти в библиотеке.
Для злонамеренной эксплуатации этой функциональности, как правило, берётся серьёзная подписанная программа (например антивирусный продукт или утилита от Microsoft), настолько доверенная, что никто и никогда не усомнится в её надёжности. При этом библиотека, которая подгружается этими программами, может являться вредоносной. (Интервью с Алексеем Вишняковым, руководителем отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies)
Еще один метод: использование макросов в документах Word/Excel. Хотя антивирус и может определить наличие макросов в файле, он не всегда может определить, являются ли эти макросы вредоносными или легитимными.
Целевые атаки – это ещё одна проблема, с которой сталкиваются организации. В таком случае вредоносное ПО может быть специально написано для компрометации конкретной организации, что делает невозможным обнаружение его с помощью сигнатурных методов антивируса.
Похожая ситуация происходит в том случае, когда в систему попадают новые вредоносные программы, которые еще не были исследованы и не добавлены в базу знаний антивируса.
Решения класса «песочница» могут оказаться полезными во всех вышеуказанных сценариях, (тогда, как классические средства защиты, такие как антивирусы, IDS/IPS, NGFW, WAF, могут оказаться недостаточными). Ведь они представляют собой инструменты для создания изолированной среды выполнения, в которой файлы могут быть запущены и проанализированы без угрозы для инфраструктуры организации.
Кроме того, «песочницы» позволяют собирать следующие данные о действиях файла:
- Обращения к реестру;
- Обращения к веб-сайтам;
- Чтение и создание новых файлов в системе
Это помогает в процессе анализа проверяемого субъекта и обеспечивает возможность более эффективной защиты от вредоносных программ.
«Песочницы» имеют меньшую зависимость от постоянного обновления базы знаний в сравнении со средствами, основанными на анализе сигнатур. Это означает, что даже если «песочница» не сможет распознать какое-либо действие как вредоносное, специалист по безопасности может самостоятельно проанализировать поведение файла и принять решение о его опасности. Кроме того, в некоторых решениях данного класса используются механизмы машинного обучения, которые позволяют определить вредоносное поведение сложного и аномального ВПО.
Несмотря на то, что песочницы имеют меньшую зависимость от обновления баз знаний, большинство производителей данных решений стараются регулярно поставлять обновления и держать их в максимально возможном актуальном состоянии. Так, например, компания Positive Technologies создали механизм доставки экспертных пакетов в PT Sandbox в пределах 2,5 часов. Это позволяет закрыть оставшиеся доли угроз, требующих незамедлительной реакции.
Однако, несмотря на все преимущества «песочниц» следует отметить, что они не являются универсальным решением для всех проблем безопасности. Безопасность сети и информационных технологий является сложной задачей требующей комплексного подхода. Помимо «песочниц», необходимо использовать другие методы защиты, такие, как NGFW, IDS/IPS, WAF, SIEM, NTA/NDR, EDR.
Кроме того, для установки и правильной работы песочницы зачастую необходимы довольно внушительные вычислительные ресурсы.
Тем не менее при правильном использовании «песочница» станет мощным инструментом, помогающим решить множество проблем, связанных с проверкой файлов и ссылок.
«Песочницы» имеют меньшую зависимость от постоянного обновления базы знаний в сравнении со средствами, основанными на анализе сигнатур. Это означает, что даже если «песочница» не сможет распознать какое-либо действие как вредоносное, специалист по безопасности может самостоятельно проанализировать поведение файла и принять решение о его опасности. Кроме того, в некоторых решениях данного класса используются механизмы машинного обучения, которые позволяют определить вредоносное поведение сложного и аномального ВПО.
Несмотря на то, что песочницы имеют меньшую зависимость от обновления баз знаний, большинство производителей данных решений стараются регулярно поставлять обновления и держать их в максимально возможном актуальном состоянии. Так, например, компания Positive Technologies создали механизм доставки экспертных пакетов в PT Sandbox в пределах 2,5 часов. Это позволяет закрыть оставшиеся доли угроз, требующих незамедлительной реакции.
Однако, несмотря на все преимущества «песочниц» следует отметить, что они не являются универсальным решением для всех проблем безопасности. Безопасность сети и информационных технологий является сложной задачей требующей комплексного подхода. Помимо «песочниц», необходимо использовать другие методы защиты, такие, как NGFW, IDS/IPS, WAF, SIEM, NTA/NDR, EDR.
Кроме того, для установки и правильной работы песочницы зачастую необходимы довольно внушительные вычислительные ресурсы.
Тем не менее при правильном использовании «песочница» станет мощным инструментом, помогающим решить множество проблем, связанных с проверкой файлов и ссылок.
PT Sandbox
Решение, предлагаемое компанией Positive Technologies, является передовой «песочницей» которая позволяет защитить компанию от целевых и массовых атак с применением современного вредоносного ПО. Она поддерживает гибкую удобную кастомизацию виртуальных сред для анализа и обнаруживает угрозы не только в файлах, но и в трафике
Главными киллер-фичами продукта являются:
1.Кастомизация образов виртуальной среды
Продукт имеет возможность изменить образ виртуальной машины, в которой будет производится проверка, установив необходимое ПО и совершив дополнительные настройки. Это позволяет максимально приблизить виртуальную среду, в которой будут проверяться файлы, к используемым на рабочих станциях пользователей компании. Тем самым снизив шансы на успешную реализацию целевой атаки.
Так, например, атакующие могут написать специальную программу, которая будет детонировать только при наличии на устройстве какого-либо программного пакета определенной версии (который есть у пользователей системы). В ином же случае программа будет вести себя легитимно. Так кастомизация среды заставит вредонос проявить себя и сможет точно определить намерения злоумышленников;
2.Приманки
В виртуальных образах продукта используются так называемые «приманки». Это различные артефакты системы: файлы конфигурации, поддельные банковские данные, учетные записи от криптокошельков, пароли в буфере обмена: все то, что так или иначе может заинтересовать злоумышленников. Обнаружив такие артефакты, вредоносная программа будет совершать определенные действия с ними (передача на C&C сервер, модификация и пр.) чем выдаст себя;
3.Выявление угроз различного уровня сложности
PT Sandbox способен обнаруживать как сложный инструментарий хакерских группировок: такой как руткиты и буткиты, а также более распространенное вредоносное программное обеспечение, которое часто используется для массовых атак (такие как трояны, шифровальщики, майнеры и другие). Это позволяет оперативно выявлять новые, еще не известные сложные угрозы («0-day», угрозы нулевого дня), который могут быть пропущены классическими СЗИ, и своевременно реагировать на них.
4.Использование машинного обучения
PT Sandbox использует машинное обучение, что значительно улучшает точность выявления неизвестных целенаправленных угроз. С его помощью система способна анализировать более 8500 признаков поведения объекта, включая такие характеристики, как действия процессов, последовательность вызовов API, сетевое взаимодействие и создаваемые вспомогательные объекты. Благодаря такому глубокому анализу решение может выявлять даже самые изощренные и скрытые угрозы, которые могут быть упущены другими системами без машинного обучения
5.Поддержка большого числа источников файлов.
PT Sandbox имеет возможность нативной интеграции с другими продуктами Positive Technologies, а также легко и бесшовно интегрируется по API с разными ИБ и ИТ-системами для обеспечения комплексной защиты инфраструктуры компании. Это позволяет своевременно обнаруживать попытки злоумышленников закрепиться в инфраструктуре и причинить ущерб бизнесу.
Помимо ключевых опций, PT Sandbox имеет и другие отличия, выгодно выделяющие этот продукт в сравнении с конкурентами:
1.Кастомизация образов виртуальной среды
Продукт имеет возможность изменить образ виртуальной машины, в которой будет производится проверка, установив необходимое ПО и совершив дополнительные настройки. Это позволяет максимально приблизить виртуальную среду, в которой будут проверяться файлы, к используемым на рабочих станциях пользователей компании. Тем самым снизив шансы на успешную реализацию целевой атаки.
Так, например, атакующие могут написать специальную программу, которая будет детонировать только при наличии на устройстве какого-либо программного пакета определенной версии (который есть у пользователей системы). В ином же случае программа будет вести себя легитимно. Так кастомизация среды заставит вредонос проявить себя и сможет точно определить намерения злоумышленников;
2.Приманки
В виртуальных образах продукта используются так называемые «приманки». Это различные артефакты системы: файлы конфигурации, поддельные банковские данные, учетные записи от криптокошельков, пароли в буфере обмена: все то, что так или иначе может заинтересовать злоумышленников. Обнаружив такие артефакты, вредоносная программа будет совершать определенные действия с ними (передача на C&C сервер, модификация и пр.) чем выдаст себя;
3.Выявление угроз различного уровня сложности
PT Sandbox способен обнаруживать как сложный инструментарий хакерских группировок: такой как руткиты и буткиты, а также более распространенное вредоносное программное обеспечение, которое часто используется для массовых атак (такие как трояны, шифровальщики, майнеры и другие). Это позволяет оперативно выявлять новые, еще не известные сложные угрозы («0-day», угрозы нулевого дня), который могут быть пропущены классическими СЗИ, и своевременно реагировать на них.
4.Использование машинного обучения
PT Sandbox использует машинное обучение, что значительно улучшает точность выявления неизвестных целенаправленных угроз. С его помощью система способна анализировать более 8500 признаков поведения объекта, включая такие характеристики, как действия процессов, последовательность вызовов API, сетевое взаимодействие и создаваемые вспомогательные объекты. Благодаря такому глубокому анализу решение может выявлять даже самые изощренные и скрытые угрозы, которые могут быть упущены другими системами без машинного обучения
5.Поддержка большого числа источников файлов.
PT Sandbox имеет возможность нативной интеграции с другими продуктами Positive Technologies, а также легко и бесшовно интегрируется по API с разными ИБ и ИТ-системами для обеспечения комплексной защиты инфраструктуры компании. Это позволяет своевременно обнаруживать попытки злоумышленников закрепиться в инфраструктуре и причинить ущерб бизнесу.
Помимо ключевых опций, PT Sandbox имеет и другие отличия, выгодно выделяющие этот продукт в сравнении с конкурентами:
- Anti-evasion механизмКоторый встроен в образы виртуальных машин продукта. Предназначен для тонкой эмуляции виртуальной среды и блокировки различных техник обхода, используемых вредоносами;
- Поддержка широкого спектра популярных образов ВМПоддерживает Win7, Win8.1, Win10, серверные версии Windows, начиная с версии 2016, а также Astra Linu
- Работа on-premiseПозволяет устанавливать продукт на собственные мощности организации и гарантирует, что чувствительная информация (конфиденциальные данные) не покинут предел
- Выявление угроз в трафикеPT Sandbox умеет проверять трафик, генерируемый в процессе анализа файлов, в том числе способен обнаруживать вредоносную активность, скрытую под TLS
Выводы
В заключении статьи хотелось бы отметить ключевую мысль: использование «песочниц» может значительно повысить уровень безопасности организации в условиях постоянно растущей угрозы кибератак.
Они позволяют создавать изолированную среду для анализа файлов и ссылок, что уменьшает риск заражения основной системы. Благодаря анализу поведения объектов в «песочницах» можно более точно выявлять неизвестные угрозы, которые могут быть упущены классическими средствами защиты.
Однако следует помнить, что использование «песочниц» не является панацеей – необходимо использование различных классов средств защиты для обеспечения безопасности ресурсов компании. При правильном использовании «песочница» станет очень эффективным инструментом в борьбе с киберугрозами.
PT Sandbox – мощный инструмент для обнаружения и анализа вредоносных программ, который позволяет создать изолированную среду выполнения и проанализировать поведение файлов, чтобы определить, являются ли они угрозой для организации.
С использованием технологий машинного обучения PT Sandbox анализирует более 8500 признаков поведения объекта, повышая точность выявления неизвестных целенаправленных угроз. Кроме того, PT Sandbox способен работать с большим количеством источников, что обеспечивает комплексную защиту от вредоносного ПО.
Все это делает PT Sandbox незаменимым инструментом для повышения уровня безопасности и защиты организации от вредоносных атак.
Оставайтесь с нами: во второй статье мы расскажем, как произвести установку PT Sandbox и рассмотрим интерфейс решения.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution
В заключении статьи хотелось бы отметить ключевую мысль: использование «песочниц» может значительно повысить уровень безопасности организации в условиях постоянно растущей угрозы кибератак.
Они позволяют создавать изолированную среду для анализа файлов и ссылок, что уменьшает риск заражения основной системы. Благодаря анализу поведения объектов в «песочницах» можно более точно выявлять неизвестные угрозы, которые могут быть упущены классическими средствами защиты.
Однако следует помнить, что использование «песочниц» не является панацеей – необходимо использование различных классов средств защиты для обеспечения безопасности ресурсов компании. При правильном использовании «песочница» станет очень эффективным инструментом в борьбе с киберугрозами.
PT Sandbox – мощный инструмент для обнаружения и анализа вредоносных программ, который позволяет создать изолированную среду выполнения и проанализировать поведение файлов, чтобы определить, являются ли они угрозой для организации.
С использованием технологий машинного обучения PT Sandbox анализирует более 8500 признаков поведения объекта, повышая точность выявления неизвестных целенаправленных угроз. Кроме того, PT Sandbox способен работать с большим количеством источников, что обеспечивает комплексную защиту от вредоносного ПО.
Все это делает PT Sandbox незаменимым инструментом для повышения уровня безопасности и защиты организации от вредоносных атак.
Оставайтесь с нами: во второй статье мы расскажем, как произвести установку PT Sandbox и рассмотрим интерфейс решения.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution