О чем материал
Далеко не все вендоры могут обеспечить бесшовную интеграцию песочниц с другими ИТ- и ИБ-продуктами. Рассказываем на примере PT Sandbox, как мы решаем эту задачу.
Моновендорные экосистемы в России — редкость. В инфраструктуре большинства компаний сосуществуют решения разных производителей, которые постоянно обмениваются данными. Причем файлообмен зачастую идет без использования даже базовых мер безопасности. Соответственно, любой оказавшийся внутри подобной инфраструктуры злоумышленник сможет свободно распространять ВПО... Контролировать вредоносы в передаваемых объектах поможет песочница. А чтобы она работала эффективно, ее нужно интегрировать с другими ИТ- и ИБ-продуктами. Давайте разбираться, с какими именно решениями должна дружить современная песочница.
Чтобы обеспечить интеграцию PT Sandbox с популярными российскими продуктами, мы плотно сотрудничаем со многими вендорами. Наша песочница на уровне кода интегрирована с решениями компаний «Группа Астра», «Код Безопасности», «РЕД СОФТ», MFlash. Код Astra вообще встроен в наши механизмы ловушек, чтобы исключить сокрытие ВПО внутри ОС.
PT Sandbox интегрируется с разными ИБ-системами, например SIEM, NTA и NDR, EDR, NGFW, WAF, SAST, SCA и др.
Файловые хранилища
Интеграция PT Sandbox с файловыми хранилищами (например, Mflash) осуществляется через API-коннектор. При этом в песочнице можно настраивать порядок проверки загружаемых объектов, чтобы не нарушать работу компании. Например, файлы от контрагентов сразу направлять в PT Sandbox, а от сотрудников — по умолчанию считать доверенными. Отмечу, что даже если злоумышленник получит доступ к учетной записи легитимного пользователя и попробует загрузить вредонос изнутри, песочница все равно выявит угрозу.
NTA
В связке с NTA (например, с PT NAD) песочница помогает закрыть еще одну важную задачу — анализ сетевого трафика в реальном времени. Если вредоносные файлы передаются по почте, вебу или через открытые хранилища, PT Sandbox зафиксирует их на входе и выдаст список инструментов атакующих (будь то шифровальщики, вайперы и т. д.). В свою очередь, PT NAD сможет детально расследовать инцидент: откуда угроза взялась, как распространялась, какие узлы затронуты и др. Автоматическая передача данных между системами позволяет быстро локализовать проблему без участия человека.
NGFW
PT Sandbox интегрируется с NGFW, а также IDS/IPS через ICAP или API-коннектор. Например, антивирусные движки NGFW хорошо выявляют распространенные угрозы, но некоторые сложные вредоносы маскируются под легитимные файлы — с их детектированием могут возникнуть проблемы. В связке с NGFW песочница усиливает контроль веб-трафика и помогает ловить угрозы, которые пропускают традиционные системы фильтрации.
WAF
Интеграция с WAF необходима для защиты веб-ресурсов. К примеру, песочница поможет предотвратить атаки, в которых злоумышленники внедряют ВПО на скомпрометированный сайт и распространяют под видом легитимного софта (вектор особенно опасен в сценариях supply chain compromise). WAF будет блокировать попытки эксплуатации уязвимостей веб-ресурса, а PT Sandbox гарантирует, что размещенные данные не содержат вредоносного кода.
Анализатор защищенности кода
Здесь песочница дополняет пайплайн безопасной разработки и обеспечивает контроль финальных сборок. Сканер анализирует исходный код и выявляет в нем уязвимости, а PT Sandbox помогает убедиться, что готовая сборка не была скомпрометирована.
Производительность песочницы критична для работы в потоке. Чтобы снизить нагрузку на инфраструктуру без потери эффективности системы, мы реализовали в PT Sandbox два механизма:
- Префильтринг. При попадании в песочницу объект проходит первичный анализ: система определяет его тип, целевую ОС и др. Благодаря этому мы сразу отсекаем лишние проверки. Например, файлы для Linux не загружаются в виртуальные машины Windows, а неисполняемые объекты тестируются в статике — без попыток запуска в изолированной среде.
- Управление очередностью проверки файлов. Администраторам доступен просмотр деталей, отмена заданий, повышение и понижение приоритета файлов. Также мы улучшили внутреннюю логику очередей.
Кроме того, мы в три раза увеличили количество виртуальных машин. Раньше из-за ограничений гипервизора на одном сервере можно было запустить не больше 15 виртуальных машин. В конце 2024 г. мы увеличили этот показатель до 45.
Все это помогло нам повысить производительность PT Sandbox в 9 раз. Отмечу, что время анализа каждого файла по-прежнему колеблется в пределах 1–2 минут, но теперь песочница может обрабатывать значительно больше объектов на том же количестве серверов. Проще говоря, мы заметно снизили требования к железу.
EDR
Интеграция с EDR осуществляется через API. Когда EDR обнаруживает подозрительную активность на рабочей станции, подозрительный файл автоматически передается в песочницу для поведенческого анализа. После получения вердикта от PT Sandbox оператор может заблокировать вредонос ли пометить объект как легитимный.
Почта
Здесь все просто: песочница анализирует файлы, ссылки и архивы на предмет сложных угроз, которые могут пропускать традиционные антиспам- и антифишинг-решения. К слову, для объективной оценки защиты почты рекомендуем сервис для имитации атак PT Knockin: подробнее — в статье.
Важные обновления PT Sandbox в 2024 г.:
- Добавили возможность извлекать ссылки из документов и писем. Раньше система анализировала только репутацию ссылок, а теперь проводит полноценный разбор их содержимого.
- Расширили возможности сигнатурного анализа новым антивирусом — VBA32 (входит в «коробку» вместе с NANO).
- Внедрили поддержку ложной виртуализации. Раньше PT Sandbox устанавливался только на железо, теперь работает и в виртуальных средах.
- Добавили поддержку новых ОС: ALT Linux, Windows 11, «ОСнова» и обновленных версий Debian.
Планы на будущее
Мы определили два вектора развития PT Sandbox: будем расширять функциональность песочницы и растить на ее основе новые продукты. С первым все просто: стабильные ежемесячные релизы никуда не уйдут, а вот составлять долгосрочные роадмапы с жестко закрепленными фичами не планируем. Мы будем гибко адаптировать продукт под запросы клиентов: вы можете предложить новую функцию, и если она получит поддержку других пользователей, то сразу поднимется в списке приоритетов для разработчиков.
Что касается второго вектора, в этом году мы фокусируется на следующих задачах:
- Разработка почтового шлюза. Планируем выпустить решение для базовой защиты почты с функциями антиспама, антифишинга, настройками префильтрации и встроенными антивирусными движками. Вместе с PT Sandbox решение будет обеспечивать комплексную защиту почтового сервера.
- Разработка облачных версий песочницы и почтового шлюза. Для представителей SMB классическая песочница on-premise — это сложно и дорого. Поэтому мы работаем над облачной версией PT Sandbox, которая будет интегрироваться с инфраструктурой российских cloud-провайдеров.
