Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Информационная безопасность

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Главная>Информационная безопасность>Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Обзор

Песочницы под микроскопом: обзор решений (продолжение)

Дата публикации:
11.07.2018
Посетителей:
1292
Просмотров:
1359
Время просмотра:
2.3

Авторы

Автор
Александр Русецкий Руководитель направления защиты от направленных атак центра информационной безопасности «Инфосистемы Джет»
Плотно занявшись темой Anti–APT в целом и «песочницами» в частности несколько лет назад, мы не ожидали такого бурного прорыва на рынке. Тестируя решения, специалистам Центра информационной безопасности за это время удалось собрать множество предложений, пожеланий и замечаний. Поэтому на текущий момент в нашем распоряжении большая экспертиза по данному классу решений и, как следствие, дивиденды в виде полноценных проектных внедрений.

 

 

И вечный бой! Покой нам только снится…

А.А. Блок

 

Год назад вышел первый обзор решений класса Anti–APT, где был сделан акцент на наиболее важных, на наш взгляд, критериях по выбору «песочниц». На тот момент в них входили основные архитектурные особенности и функциональные нюансы, которые мы сформировали для себя, руководствуясь часто задаваемыми вопросами от наших заказчиков. Хочется отметить большой интерес к этой теме ИБ–специалистов как со стороны заказчиков, так и вендорского сообщества.

 

В текущей статье мы постарались актуализировать эту информацию, добавив новые критерии и кейсы, собранные на многочисленных пилотах, а также расширили список производителей, добавив к нему тех, чьи решения за год удалось протестировать на пилотных проектах. И конечно, тема импортозамещения не осталась незамеченной, тем более что в данном сегменте появляются или продолжают свое развитие все новые и новые российские продукты.

 

В рамках данной статьи рассматриваются решения следующих производителей:

 

    • FireEye с решением FireEye.
    • Trend Micro с решением Trend Micro Deep Discovery.
    • Check Point с решением Check Point SandBlast.
    • Fortinet с решением FortiSandbox.
    • Лаборатория Касперского с решением Kaspersky Anti Targeted Attack Platform (KATA).
    • Positive Technologies с решением PT Multiscanner.
    • Group–IB с решением TDS.

На сегодняшний день почта остается одним из основных каналов доставки вредоносного ПО.

 

Это могут быть и вложения, и ссылки на нелегитимный контент, поэтому необходим постоянный мониторинг почтового трафика «Песочницы» имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих «песочницах», и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

 

Существует несколько способов работы «песочниц» с точки зрения направления на них почтового трафика:

  • анализ копии писем – режим BCC;
  • режим блокировки – режим MTA;
  • режим SPAN (зеркалирование почтового трафика).

Любой продукт (в том числе «песочница») активно развивается. Регулярно выходят различные обновления, хотфиксы, патчи. В случае несвоевременного обновления (это обычно выполняется вручную) часть функций и технологий могут быть недоступны, и, как следствие, это приведет к пропуску части угроз. Не стоит забывать и о другом важной моменте: «песочнице» необходим выход в интернет для идентификации файлов/ссылок.

 

При выборе решения необходимо обеспечить максимальное покрытие сетевых протоколов (а не только почты). Все чаще и чаще наши заказчики используют мультивендорный подход к эшелонированной защите. Тенденцией становится установка второй «песочницы» от другого вендора в сети. Использовать продукы разных производителей на различных уровнях защиты, на наш взгляд, — это отличная практика по противодействию вредоносному ПО.

Конечно, в данном обзоре представлены не все решения, которые есть на рынке информационной безопасности, однако мы постарались выбрать для вас его ведущих игроков, чьи решения мы тестировали на практике. Конечно, наш обзор с течением времени будет дополняться, ведь технологии не стоят на месте. На рынок выходит все больше игроков. Решения класса «песочницы» продолжают свое развитие, расширяется их функционал: например, появляются методы идентификации ВПО на основе машинного обучения и т.п. Но подробнее об этом мы расскажем в наших будущих публикациях.

Уведомления об обновлении тем – в вашей почте

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Кадровый голод в ИБ

Как регуляторы влияют на рынок ИБ? Почему tinkoff.ru не торгуется с соискателями? что общего между Positive Technologies и Гнесинкой?

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Самый безопасный SOC

По оценкам отечественных специалистов в области ИБ, в настоящее время уровень информационной безопасности в российских компаниях по сравнению с западными не очень высок, но темпы развития в разы выше

CyberCrimeCon 2017. Угрозы формата hi-tech

В октябре компания Group-IB провела ежегодную конференцию CyberCrimeCon 2017, посвященную тенденциям развития киберпреступлений и технологиям проактивной защиты. На конференции были представлены результаты отчета Hi-Tech Crime Trends 2017

Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня