Сайт находится в режиме обновления. Извиняемся за неудобства.

x
© 1995-2021 Компания «Инфосистемы Джет»
Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Информационная безопасность

Песочницы под микроскопом: обзор решений (продолжение)

11.07.2018

Посетителей: 185

Просмотров: 295

Время просмотра: 1.2 мин.

Плотно занявшись темой Anti–APT в целом и «песочницами» в частности несколько лет назад, мы не ожидали такого бурного прорыва на рынке. Тестируя решения, специалистам Центра информационной безопасности за это время удалось собрать множество предложений, пожеланий и замечаний. Поэтому на текущий момент в нашем распоряжении большая экспертиза по данному классу решений и, как следствие, дивиденды в виде полноценных проектных внедрений.

 

 

И вечный бой! Покой нам только снится…

А.А. Блок

 

Год назад вышел первый обзор решений класса Anti–APT, где был сделан акцент на наиболее важных, на наш взгляд, критериях по выбору «песочниц». На тот момент в них входили основные архитектурные особенности и функциональные нюансы, которые мы сформировали для себя, руководствуясь часто задаваемыми вопросами от наших заказчиков. Хочется отметить большой интерес к этой теме ИБ–специалистов как со стороны заказчиков, так и вендорского сообщества.

 

В текущей статье мы постарались актуализировать эту информацию, добавив новые критерии и кейсы, собранные на многочисленных пилотах, а также расширили список производителей, добавив к нему тех, чьи решения за год удалось протестировать на пилотных проектах. И конечно, тема импортозамещения не осталась незамеченной, тем более что в данном сегменте появляются или продолжают свое развитие все новые и новые российские продукты.

 

В рамках данной статьи рассматриваются решения следующих производителей:

 

    • FireEye с решением FireEye.
    • Trend Micro с решением Trend Micro Deep Discovery.
    • Check Point с решением Check Point SandBlast.
    • Fortinet с решением FortiSandbox.
    • Лаборатория Касперского с решением Kaspersky Anti Targeted Attack Platform (KATA).
    • Positive Technologies с решением PT Multiscanner.
    • Group–IB с решением TDS.

На сегодняшний день почта остается одним из основных каналов доставки вредоносного ПО.

 

Это могут быть и вложения, и ссылки на нелегитимный контент, поэтому необходим постоянный мониторинг почтового трафика «Песочницы» имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих «песочницах», и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

 

Существует несколько способов работы «песочниц» с точки зрения направления на них почтового трафика:

  • анализ копии писем – режим BCC;
  • режим блокировки – режим MTA;
  • режим SPAN (зеркалирование почтового трафика).

Любой продукт (в том числе «песочница») активно развивается. Регулярно выходят различные обновления, хотфиксы, патчи. В случае несвоевременного обновления (это обычно выполняется вручную) часть функций и технологий могут быть недоступны, и, как следствие, это приведет к пропуску части угроз. Не стоит забывать и о другом важной моменте: «песочнице» необходим выход в интернет для идентификации файлов/ссылок.

 

При выборе решения необходимо обеспечить максимальное покрытие сетевых протоколов (а не только почты). Все чаще и чаще наши заказчики используют мультивендорный подход к эшелонированной защите. Тенденцией становится установка второй «песочницы» от другого вендора в сети. Использовать продукы разных производителей на различных уровнях защиты, на наш взгляд, — это отличная практика по противодействию вредоносному ПО.

Конечно, в данном обзоре представлены не все решения, которые есть на рынке информационной безопасности, однако мы постарались выбрать для вас его ведущих игроков, чьи решения мы тестировали на практике. Конечно, наш обзор с течением времени будет дополняться, ведь технологии не стоят на месте. На рынок выходит все больше игроков. Решения класса «песочницы» продолжают свое развитие, расширяется их функционал: например, появляются методы идентификации ВПО на основе машинного обучения и т.п. Но подробнее об этом мы расскажем в наших будущих публикациях.

Уведомления об обновлении рубрик – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

Взгляд со стороны

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

SIEM в России — состояние и перспективы рынка

В дискуссии приняли участие Артем Медведев, Евгений Афонин, Александр Чигвинцев, Михаил Чернышев, Алексей Горелышев, Олег Бакшинский

Самый SOC. В Москве прошел второй SOC-Forum

Ведущие вендоры, интеграторы, заказчики, государственные регуляторы и эксперты приняли участие в SOC-Forum v.2.0

Особенности реализации IIoT Firewall в энергетической компании

Сценарии применения IIoT Firewall. Что дает внедрение решения? Безопасность для IIoT — якорь или драйвер?

Самый безопасный SOC

По оценкам отечественных специалистов в области ИБ, в настоящее время уровень информационной безопасности в российских компаниях по сравнению с западными не очень высок, но темпы развития в разы выше

Как заставить мобильные устройства сотрудников работать на благо безопасности компаний?

Задача организации защиты мобильных устройств, используемых сотрудниками для получения доступа к корпоративным ресурсам и документам, уже не первый год занимает одну из важнейших позиций в информационной безопасности в целом.

Обзор решений Anti-APT: от слов к делу

Современные вредоносы zero-day легко обходят традиционную защиту, поэтому появился новый класс решений Anti-APT

«Не пытайтесь накрыть все. Определите, что Вы хотите защищать?»

Своим опытом проведения пилотных проектов по защите от целенаправленных атак поделился Сергей Барбашин

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на рубрику






      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня