Разработчики вредоносного ПО постоянно изобретают новые методы обхода традиционных систем защиты, таких как антивирусы, брандмауэры, IPS, а также почтовые и веб-шлюзы. Чтобы эффективно противостоять этим угрозам, необходимо применять более продвинутые решения. Одним из таких является песочница (SandBox) — изолированная виртуальная среда, в которой подозрительные файлы безопасно запускаются и анализируются. Песочница отслеживает поведение файла и определяет, представляет ли он угрозу, помогая компаниям защитить свои данные и сети от неизвестных вредоносных программ.
Правила игры
Если средства антивирусной защиты анализируют файлы за счет уже известных сигнатур, которые наполняются и распространяются по взаимодействующим компонентам и системам антивирусной защиты, то песочницы помогают защититься от неизвестных ранее угроз, содержащих в себе макросы или коды, отсутствующие в базе данных сигнатур. Их преимущество заключается в том, что файл загружается в изолированную безопасную виртуальную среду, где ведется полный мониторинг активности файла с целью выявления его дальнейших действий при попадании в систему. Это могут быть попытки эксплуатации уязвимости операционной системы и приложений, открытие ссылок в браузере, манипуляции с реестром или уже запущенными процессами на рабочей станции. По совокупности полученной информации песочница делает вывод, безопасен данный файл или нет.
Песочницу можно рассматривать как последний рубеж вашей защиты, когда вирус уже прошел и межсетевой экран, и IPS, и антивирус.
Преимущества песочницы
Использование песочницы имеет ряд преимуществ:
- Не рискует вашими хост-устройствами или операционными системами.
- Если вы работаете с новыми поставщиками или ненадежными источниками программного обеспечения, то можете протестировать новое программное обеспечение на наличие угроз перед его внедрением.
- Тестируйте изменения программного обеспечения перед началом работы c ним.
- С помощью песочницы вы можете поместить в карантин и устранить угрозы нулевого дня.
- Дополняют другие стратегии безопасности.
При интеграции песочницы в инфраструктуру компании важно обратить внимание, как автоматизировать процесс проверки и как обеспечить его балансировку и эшелонированную защиту. Нужно убедиться, что поддерживаемые решением протоколы позволяют забрать или принять файлы для анализа, а результат этого анализа может быть передан в систему мониторинга информационной безопасности. Если поток файлов большой, важно удостовериться, что может быть обеспечена балансировка нагрузки на экземпляры песочницы и у вас не будет очередей. Если песочница — лишь одно из звеньев проверки (например, используется дополнительно потоковый антивирус и DLP), убедитесь, что в этом процессе не будет ручного труда и вы можете автоматизировать этот конвейер.
При интеграции песочницы в инфраструктуру компании необходимо обратить внимание на то, насколько функциональна сама система. Важно, чтобы она не только мониторила трафик, но и блокировала атаки, а также имела различные способы проверки зловредов.
Самый первый вопрос, который нужно себе задать при выборе песочницы, звучит так: «Кто будет заниматься песочницей?».
Внедрение песочницы
Если вы заинтересованы во внедрении песочницы для вашей организации, подумайте об использовании защиты Check Point Zero day. Функционируя как часть общего решения Check Point Zero-Day Protection, эта песочница обеспечивает максимально возможную скорость улавливания угроз — и все это практически с иммунитетом к методам уклонения злоумышленников.
Служба эмуляции угроз SandBlast также доступна с новым Infinity SOC от Check Point. С помощью Infinity SOC вы можете быстро определить является ли подозрительный файл вредоносным, используя службу эмуляции угроз SandBlast, которая имеет лучший в отрасли показатель улавливания.
Загружайте подозрительные файлы в любое время для анализа службой эмуляции SandBlast. Технология эмуляции угроз Check Point автоматически анализирует файл и предоставляет результаты в подробном отчете, который включает в себя множество криминалистической информации, такой как семейство вредоносных программ, целевая география, методы MITRE ATT&CK, видеоэмуляции и удаленные файлы.
- Моделирование угроз Check Point работает на основе ThreatCloud AI — самой мощной базы данных об угрозах и движках искусственного интеллекта для обеспечения наилучшего в отрасли коэффициента улавливания. ThreatCloud AI постоянно обогащается передовыми механизмами прогнозной разведки, данными сотен миллионов датчиков, передовыми исследованиями от Check Point Research и внешними разведывательными каналами.
- Для поддержания производительности бизнеса моделирование угроз Check Point используется в сочетании с извлечением угроз, чтобы обеспечить бесперебойную работу для пользователя. Threat Extraction очищает PDF-файлы, изображения и другие документы, удаляя эксплуатируемые элементы, такие как активный контент и встроенные объекты. Затем файлы восстанавливаются, сохраняя свой первоначальный формат, и доставляются пользователю. Между тем, исходный файл моделируется в фоновом режиме, и пользователь может получить доступ к нему, если он считается доброкачественным.
Преимущества Check Point SandBlast
- Защита от неизвестных угроз и атак нулевого дня. Благодаря использованию передовых технологий и глубокого анализа, SandBlast выявляет и блокирует даже те угрозы, которые не были известны ранее или еще не зарегистрированы в базах данных вирусов.
- Высокая скорость анализа. Виртуальная среда позволяет быстро выявлять потенциальные угрозы, не замедляя работу сотрудников или IT-инфраструктуры компании.
- Масштабируемость. SandBlast легко интегрируется в существующую инфраструктуру и может быть масштабирован в зависимости от потребностей компании. Это особенно важно для быстрорастущих бизнесов.
- Гибкость решений. SandBlast доступен как для облачных решений, так и для локальных серверов, что позволяет компаниям выбирать наиболее удобную для них модель использования.
Обычно для эффективной защиты от целевых атак компании необходима мощная служба IТ-безопасности, что зачастую требует увеличения штата департамента информационной безопасности и затрат на его содержание. Песочница же позволяет бороться со сложными комплексными угрозами без привлечения дополнительных специалистов и будет выгодна как для крупных компаний, так и для сегмента SMB.
Официальным дистрибьютором Check Point (https://www.checkpoint.com/)
в Азербайджане является компания Elcore.
https://elcoregroup.com
