© 1995-2022 Компания «Инфосистемы Джет»
Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Информационная безопасность

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Главная>Информационная безопасность>Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Обзор

Песочницы под микроскопом: обзор решений (продолжение)

11.07.2018

Посетителей: 260

Просмотров: 261

Время просмотра: 2.3

Авторы

Автор
Александр Русецкий эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Плотно занявшись темой Anti–APT в целом и «песочницами» в частности несколько лет назад, мы не ожидали такого бурного прорыва на рынке. Тестируя решения, специалистам Центра информационной безопасности за это время удалось собрать множество предложений, пожеланий и замечаний. Поэтому на текущий момент в нашем распоряжении большая экспертиза по данному классу решений и, как следствие, дивиденды в виде полноценных проектных внедрений.

 

 

И вечный бой! Покой нам только снится…

А.А. Блок

 

Год назад вышел первый обзор решений класса Anti–APT, где был сделан акцент на наиболее важных, на наш взгляд, критериях по выбору «песочниц». На тот момент в них входили основные архитектурные особенности и функциональные нюансы, которые мы сформировали для себя, руководствуясь часто задаваемыми вопросами от наших заказчиков. Хочется отметить большой интерес к этой теме ИБ–специалистов как со стороны заказчиков, так и вендорского сообщества.

 

В текущей статье мы постарались актуализировать эту информацию, добавив новые критерии и кейсы, собранные на многочисленных пилотах, а также расширили список производителей, добавив к нему тех, чьи решения за год удалось протестировать на пилотных проектах. И конечно, тема импортозамещения не осталась незамеченной, тем более что в данном сегменте появляются или продолжают свое развитие все новые и новые российские продукты.

 

В рамках данной статьи рассматриваются решения следующих производителей:

 

    • FireEye с решением FireEye.
    • Trend Micro с решением Trend Micro Deep Discovery.
    • Check Point с решением Check Point SandBlast.
    • Fortinet с решением FortiSandbox.
    • Лаборатория Касперского с решением Kaspersky Anti Targeted Attack Platform (KATA).
    • Positive Technologies с решением PT Multiscanner.
    • Group–IB с решением TDS.

На сегодняшний день почта остается одним из основных каналов доставки вредоносного ПО.

 

Это могут быть и вложения, и ссылки на нелегитимный контент, поэтому необходим постоянный мониторинг почтового трафика «Песочницы» имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих «песочницах», и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

 

Существует несколько способов работы «песочниц» с точки зрения направления на них почтового трафика:

  • анализ копии писем – режим BCC;
  • режим блокировки – режим MTA;
  • режим SPAN (зеркалирование почтового трафика).

Любой продукт (в том числе «песочница») активно развивается. Регулярно выходят различные обновления, хотфиксы, патчи. В случае несвоевременного обновления (это обычно выполняется вручную) часть функций и технологий могут быть недоступны, и, как следствие, это приведет к пропуску части угроз. Не стоит забывать и о другом важной моменте: «песочнице» необходим выход в интернет для идентификации файлов/ссылок.

 

При выборе решения необходимо обеспечить максимальное покрытие сетевых протоколов (а не только почты). Все чаще и чаще наши заказчики используют мультивендорный подход к эшелонированной защите. Тенденцией становится установка второй «песочницы» от другого вендора в сети. Использовать продукы разных производителей на различных уровнях защиты, на наш взгляд, — это отличная практика по противодействию вредоносному ПО.

Конечно, в данном обзоре представлены не все решения, которые есть на рынке информационной безопасности, однако мы постарались выбрать для вас его ведущих игроков, чьи решения мы тестировали на практике. Конечно, наш обзор с течением времени будет дополняться, ведь технологии не стоят на месте. На рынок выходит все больше игроков. Решения класса «песочницы» продолжают свое развитие, расширяется их функционал: например, появляются методы идентификации ВПО на основе машинного обучения и т.п. Но подробнее об этом мы расскажем в наших будущих публикациях.

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Информационная безопасность в промышленности: уже да или еще нет?

В разных отраслях ИБ занимает различные позиции: например, в банках на обеспечение безопасности тратят намного больше, чем в промышленности. Но значит ли это, что производственные компании менее защищены? Стоит ли нам ждать кардинальных изменений в подходе к безопасности среди промышленников? Об этом в интервью нашему журналу рассказали Борис Симис, заместитель генерального директора, и Алексей Новиков, руководитель экспертного центра безопасности (PT ESC), компания Positive Technologies.

Реальные проблемы виртуальных ЦОД

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта - ориентированность на узкий спектр решаемых задач

Меняет ли машинное обучение сферу информационной безопасности

Машинное обучение — ни в коем случае не лекарство от всех болезней, но при правильном применении эта технология может существенно помочь.

MaxPatrol 8: универсальное решение может быть индивидуальным

MaxPatrol 8 – выдающийся продукт не только на отечественном рынке, но и на мировом. Это решение, которое успешно ...

Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

Директор департамента ИБ Росбанка рассказал в интервью Jet Info, как правильно подойти к выбору решения Anti-APT

Кадровый голод в ИБ

Как регуляторы влияют на рынок ИБ? Почему tinkoff.ru не торгуется с соискателями? что общего между Positive Technologies и Гнесинкой?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня