Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО

Продукт предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.

Песочница PT Sandbox компании Positive Technologies позволяет моделировать точные профили рабочих станций пользователей — вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).

«Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице, — рассказывает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин. — Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не "детонирует". Важно даже совпадение версий ПО».

Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.

Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.

Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы нового — ранее нигде не выявленного — вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.

Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их знаниями об угрозах, связанных с вредоносным ПО.

Хотите быть в курсе последних событий?
Подпишитесь на рассылку новостей Axoft
Следите за нашими новостями в социальных сетях
Популярное
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017
Последние новости
В Беларуси сертифицирована вся линейка GFI Unlimited
Глобальный сервисный IT-дистрибутор Axoft объявляет о завершении сертификации всей линейки GFI Unlimited в Беларуси и старте поставок. Сертифицированы сразу шесть продуктов: Kerio Control и GFI EventsManager, Kerio Connect, GFI EndPointSecurity, GFI LanGuard, GFI MailEssentials. Это позволит партнерам дистрибутора продавать решения на территории РБ, заказчикам – купить проверенный временем продукт для обеспечения информационной безопасности.
Подробнее
01.04.2020 12:30:52