© 1995-2022 Компания «Инфосистемы Джет»
Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Информационная безопасность

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Главная>Информационная безопасность>Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Обзор

Песочницы под микроскопом: обзор решений (продолжение)

11.07.2018

Посетителей: 332

Просмотров: 345

Время просмотра: 2.3

Авторы

Автор
Александр Русецкий Руководитель направления защиты от направленных атак центра информационной безопасности «Инфосистемы Джет»
Плотно занявшись темой Anti–APT в целом и «песочницами» в частности несколько лет назад, мы не ожидали такого бурного прорыва на рынке. Тестируя решения, специалистам Центра информационной безопасности за это время удалось собрать множество предложений, пожеланий и замечаний. Поэтому на текущий момент в нашем распоряжении большая экспертиза по данному классу решений и, как следствие, дивиденды в виде полноценных проектных внедрений.

 

 

И вечный бой! Покой нам только снится…

А.А. Блок

 

Год назад вышел первый обзор решений класса Anti–APT, где был сделан акцент на наиболее важных, на наш взгляд, критериях по выбору «песочниц». На тот момент в них входили основные архитектурные особенности и функциональные нюансы, которые мы сформировали для себя, руководствуясь часто задаваемыми вопросами от наших заказчиков. Хочется отметить большой интерес к этой теме ИБ–специалистов как со стороны заказчиков, так и вендорского сообщества.

 

В текущей статье мы постарались актуализировать эту информацию, добавив новые критерии и кейсы, собранные на многочисленных пилотах, а также расширили список производителей, добавив к нему тех, чьи решения за год удалось протестировать на пилотных проектах. И конечно, тема импортозамещения не осталась незамеченной, тем более что в данном сегменте появляются или продолжают свое развитие все новые и новые российские продукты.

 

В рамках данной статьи рассматриваются решения следующих производителей:

 

    • FireEye с решением FireEye.
    • Trend Micro с решением Trend Micro Deep Discovery.
    • Check Point с решением Check Point SandBlast.
    • Fortinet с решением FortiSandbox.
    • Лаборатория Касперского с решением Kaspersky Anti Targeted Attack Platform (KATA).
    • Positive Technologies с решением PT Multiscanner.
    • Group–IB с решением TDS.

Авторы

На сегодняшний день почта остается одним из основных каналов доставки вредоносного ПО.

 

Это могут быть и вложения, и ссылки на нелегитимный контент, поэтому необходим постоянный мониторинг почтового трафика «Песочницы» имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих «песочницах», и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

 

Существует несколько способов работы «песочниц» с точки зрения направления на них почтового трафика:

  • анализ копии писем – режим BCC;
  • режим блокировки – режим MTA;
  • режим SPAN (зеркалирование почтового трафика).

Любой продукт (в том числе «песочница») активно развивается. Регулярно выходят различные обновления, хотфиксы, патчи. В случае несвоевременного обновления (это обычно выполняется вручную) часть функций и технологий могут быть недоступны, и, как следствие, это приведет к пропуску части угроз. Не стоит забывать и о другом важной моменте: «песочнице» необходим выход в интернет для идентификации файлов/ссылок.

 

При выборе решения необходимо обеспечить максимальное покрытие сетевых протоколов (а не только почты). Все чаще и чаще наши заказчики используют мультивендорный подход к эшелонированной защите. Тенденцией становится установка второй «песочницы» от другого вендора в сети. Использовать продукы разных производителей на различных уровнях защиты, на наш взгляд, — это отличная практика по противодействию вредоносному ПО.

Конечно, в данном обзоре представлены не все решения, которые есть на рынке информационной безопасности, однако мы постарались выбрать для вас его ведущих игроков, чьи решения мы тестировали на практике. Конечно, наш обзор с течением времени будет дополняться, ведь технологии не стоят на месте. На рынок выходит все больше игроков. Решения класса «песочницы» продолжают свое развитие, расширяется их функционал: например, появляются методы идентификации ВПО на основе машинного обучения и т.п. Но подробнее об этом мы расскажем в наших будущих публикациях.

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

Кадровый голод в ИБ

Как регуляторы влияют на рынок ИБ? Почему tinkoff.ru не торгуется с соискателями? что общего между Positive Technologies и Гнесинкой?

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Обзор средств защиты виртуальной инфраструктуры

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды

«Центр оперативного управления ИБ – гарантия и уверенность в уровне обеспечения информационной безопасности»

На сегодняшний день главной целью злоумышленников является не просто взлом сети или проникновение в систему, а извлечение прибыли.

Особенности реализации IIoT Firewall в энергетической компании

Сценарии применения IIoT Firewall. Что дает внедрение решения? Безопасность для IIoT — якорь или драйвер?

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Как заставить мобильные устройства сотрудников работать на благо безопасности компаний?

Задача организации защиты мобильных устройств, используемых сотрудниками для получения доступа к корпоративным ресурсам и документам, уже не первый год занимает одну из важнейших позиций в информационной безопасности в целом.

CyberCrimeCon 2017. Угрозы формата hi-tech

В октябре компания Group-IB провела ежегодную конференцию CyberCrimeCon 2017, посвященную тенденциям развития киберпреступлений и технологиям проактивной защиты. На конференции были представлены результаты отчета Hi-Tech Crime Trends 2017

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня