PT Sandbox

Основная статья: Security Information and Event Management (SIEM)

PT Sandbox предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.

2021

Выпуск PT Sandbox 2.4

20 октября 2021 года компания Positive Technologies сообщала, что выпустила очередную версию песочницы для риск-ориентированной защиты PT Sandbox - 2.4. В релизе продукта поддерживается технология проактивного и скрытого детектирования руткитов как на этапе их установки, так и в процессе работы. Разработанный специалистами экспертного центра безопасности PT Expert Security Center плагин позволяет обнаруживать в системе присутствие вредоносного ПО и нелегитимную активность, которые хакеры обычно маскируют с помощью программ, называемых руткитами.

Выявление вредоносного файла со специфическими параметрами срабатывания

Руткиты не допускают обнаружения вредоносной активности средствами защиты и несут в себе угрозу, поскольку, как правило, входят в состав многофункционального вредоносного ПО. Из-за сложности разработки зловреды чаще всего используют группировки, обладающие достаточной технической квалификацией или финансовыми возможностями. С их помощью они маскируют получение удаленного доступа к скомпрометированным узлам, перехват сетевого трафика, шпионаж за пользователями, похищение сведений для аутентификации или проведение DDoS-атак. Согласно проведенному Positive Technologies исследованию руткитов, используемых киберпреступниками за последние 10 лет, в пятерку атакуемых отраслей входят госсектор (44%), наука и образование (38%), телеком (25%), промышленность (19%) и финсектор (19%).

Пятерка самых атакуемых отраслей (доля руткитов)

«Незаметность и эффективность - параметры, которые выделяют разработанную нами технологию обнаружения руткитов среди других. Существующие методы противодействия основаны на том, чтобы запустить антируткитовое средство внутри ОС. Если руткит сделан качественно и уже установлен в ОС, выявить зловред таким способом в общем случае невозможно - он блокирует любую возможность самообнаружения. Главная особенность технологии Positive Technologies состоит в том, что она находится за пределами ОС, то есть работает безагентно. Это позволяет PT Sandox детектировать руткиты не только на стадии установки, когда злоумышленники выполняют ряд вредоносных или как минимум подозрительных действий, но еще и после заражения системы. Этот подход пока не имеет аналогов на российском рынке сетевых песочниц», - говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Важно отметить, что при безагентном анализе руткиты не могут воспрепятствовать своему обнаружению. Помимо этого, данная технология позволяет песочнице Positive Technologies оставаться незамеченной вредоносным ПО.

«Существуют классические подходы сигнатурного и поведенческого анализа, с помощью которых обнаруживаются уже известные семейства руткитов и их установщиков. Благодаря проактивному методу защиты PT Sandbox выявляет угрозу в тот момент, когда она уже совершает свои опасные действия на уровне ядра ОС. Кроме того, в отличие от аналогичных решений, наша песочница не препятствует работе руткита: его установка и функционирование проходят без вмешательств, а в ходе проверок на наличие средств защиты она не обнаруживается. Таким образом у злоумышленников не возникает подозрения, что их раскрыли», - добавляет Павел Максютин, специалист отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Опция проактивного и незаметного обнаружения руткитов доступна пользователям PT Sandbox 2.4 и последующих версий. Действующим пользователям, чтобы воспользоваться данной функцией, необходимо обновить продукт до версии 2.4.

PT Sandbox - песочница для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО. Она поддерживает гибкую настройку виртуальных сред в соответствии с реальными рабочими станциями и защищена от техник обхода песочниц. Продукт обеспечивает комплексный анализ файлов и трафика, включая шифрованный, а также выявляет скрытые и актуальные угрозы с помощью регулярного ретроспективного анализа.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies (PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM) и обогащает их сведениями об угрозах, связанных с вредоносным ПО.

Добавление приманок-провокаторов в PT Sandbox 2.2

В последней версии PT Sandbox появились приманки-провокаторы, помогающие раскрыть злоумышленников. Об этом 14 апреля 2021 года сообщила компания Positive Technologies.

Песочница теперь поддерживает технологии обмана (deception-технологии), направленные на создание ловушек для вредоносного ПО. Приманки, имитирующие в изолированной виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносное ПО на взаимодействие и тем самым помогают выявить присутствие хакеров в инфраструктуре.

Ключевым изменением в PT Sandbox 2.2 стали приманки, которые могут спровоцировать инструменты взломщика на то, чтобы проявить себя. В частности, это файлы-приманки, содержащие поддельные учетные записи пользователей, файлы конфигурации или другую конфиденциальную информацию, потенциально интересную атакующему. При попытке кражи таких данных PT Sandbox оперативно выявит угрозу. Примерно так же действуют и процессы-приманки: они имитируют работу банковских приложений, ПО разработчиков или обычную пользовательскую активность, и продукт выявляет попытки злоумышленников вмешаться в них.

Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой — от среды, которая должна быть максимально похожа на привычное окружение пользователя, — говорит Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center). — Зловреды чаще всего ищут интересные им файлы, работающие процессы, изменения в буфере обмена. Злоумышленникам это нужно для кражи конфиденциальной информации, а в песочницах используется как своеобразный триггер. Если в системе мало процессов, нет нужных файлов и прочих признаков работы пользователя, то ВПО просто не будет ничего делать, посчитав систему неинтересной. Развивая deception-технологии в нашей песочнице, мы побуждаем вредоносные программы к активным действиям и тем самым помогаем своевременно их выявлять, улучшая качество защиты.

Также технологии обмана в PT Sandbox 2.2 реализованы в поддельных, но корректных по формату приватных данных: например, пароли или номера карт помещаются в виде приманки в буфер обмена пользователя, который так любят перехватывать трояны-шпионы.

Компания должна выстраивать защиту исходя из того, какие риски считает наиболее приоритетными, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — Ключевой набор приманок, который наши эксперты сформировали, исследуя деятельность хакерских группировок, доступен нашим заказчикам «из коробки». Однако при необходимости мы можем добавить в PT Sandbox дополнительные приманки по запросу клиента. Это сделает защиту более персонализированной и позволит компании нивелировать угрозы, направленные на системы, которые критически важны для конкретного бизнеса.

Для более точной имитации работы пользователя в виртуальные среды PT Sandbox были добавлены дополнительные программы: видеоплеер, оптимизатор системы, платформа для видеосвязи, эмуляторы промежуточного кода. Также теперь продукт покрывает еще больше существующих уязвимостей в офисных и других приложениях — этого удалось достичь благодаря расширению числа версий ПО, установленного в песочнице.

2020

Включение в единый реестр российского ПО

Продукт PT Sandbox внесен в единый реестр российского ПО. Об этом 3 февраля 2021 года сообщила компания Positive Technologies.

В соответствии с приказом Минкомсвязи РФ от 31 декабря 2020 года продукт включен в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия.

Система PT Sandbox предназначена для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО и угроз нулевого дня. Продукт позволяет обнаружить все основные векторы проникновения вредоносных файлов в сеть организации: выявляет угрозы в электронной почте, проверяет документы в файловых хранилищах, а также анализирует файлы, загружаемые на корпоративные сайты и скачиваемые из интернета.

Продукты, внесенные в реестр, рекомендованы к закупке госструктурами и компаниями с существенной долей государственного участия.

По нашим данным, госучреждения давно являются наиболее популярной целью атакующих, а вредоносное ПО применяется в 56% всех атак, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — PT Sandbox выявляет угрозы в том числе с помощью знаний, полученных нашими экспертами в ходе исследования деятельности хакерских группировок, активно проявляющих себя на территории РФ и СНГ. Продукт с подобной экспертизой действительно актуален для заказчиков из государственного сектора.

Ранее песочница PT Sandbox вместе с другими продуктами Positive Technologies получила обновление, позволяющее обнаруживать использование пентестерских инструментов FireEye, похищенных хакерами.

Возможность получения еженедельных обновлений базы правил для поведенческого анализа файлов

Песочница PT Sandbox получила расширенные возможности по выявлению целевых атак. Об этом Positive Technologies сообщила 15 октября 2020 года.

Песочница PT Sandbox теперь получает еженедельные обновления базы правил для поведенческого анализа файлов. Эти правила, создаваемые специалистами PT Expert Security Center (PT ESC) в рамках исследования угроз информационной безопасности (threat intelligence) и по итогам расследований инцидентов, позволят эффективнее выявлять наиболее актуальные для российского рынка риски.

Каждое обновление будет содержать правила для выявления техник атакующих или семейств вредоносного программного обеспечения. Это позволит оперативно реагировать на действия злоумышленников, которые часто меняют методы, тактики и инструментарий для реализации атак.

Одна из наиболее сильных сторон PT Sandbox — применение экспертных знаний для обнаружения угроз, — комментирует Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies. — Специалисты PT Expert Security Center постоянно отслеживают активность основных хакерских группировок, действующих на территории России и стран СНГ, и расследуют инциденты в крупных компаниях. Получаемые ими данные об угрозах регулярно передаются в продукт. Это знания, которые максимально релевантны для российского рынка и способны помочь нашим клиентам предотвращать как массовые, так и сложные целевые атаки.

Обновление экспертных правил от PT ESC доступно всем пользователям PT Sandbox и выполняется автоматически.

Представление PT Sandbox

16 марта 2020 года Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО.

Песочница позволяет моделировать точные профили рабочих станций пользователей — вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).

Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице. Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не "детонирует". Важно даже совпадение версий ПО, рассказывает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин

Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.

Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.

Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы ранее нигде не выявленного — вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.

Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их знаниями об угрозах, связанных с вредоносным ПО.