Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Информационная безопасность

Обзор решений класса Anti-APT с акцентом на наиболее важные критерии по выбору «песочниц»

Главная>Информационная безопасность>Песочницы под микроскопом: обзор решений (продолжение)
Информационная безопасность Обзор

Песочницы под микроскопом: обзор решений (продолжение)

Дата публикации:
11.07.2018
Посетителей:
484
Просмотров:
492
Время просмотра:
2.3

Авторы

Автор
Александр Русецкий Руководитель направления защиты от направленных атак центра информационной безопасности «Инфосистемы Джет»
Плотно занявшись темой Anti–APT в целом и «песочницами» в частности несколько лет назад, мы не ожидали такого бурного прорыва на рынке. Тестируя решения, специалистам Центра информационной безопасности за это время удалось собрать множество предложений, пожеланий и замечаний. Поэтому на текущий момент в нашем распоряжении большая экспертиза по данному классу решений и, как следствие, дивиденды в виде полноценных проектных внедрений.

 

 

И вечный бой! Покой нам только снится…

А.А. Блок

 

Год назад вышел первый обзор решений класса Anti–APT, где был сделан акцент на наиболее важных, на наш взгляд, критериях по выбору «песочниц». На тот момент в них входили основные архитектурные особенности и функциональные нюансы, которые мы сформировали для себя, руководствуясь часто задаваемыми вопросами от наших заказчиков. Хочется отметить большой интерес к этой теме ИБ–специалистов как со стороны заказчиков, так и вендорского сообщества.

 

В текущей статье мы постарались актуализировать эту информацию, добавив новые критерии и кейсы, собранные на многочисленных пилотах, а также расширили список производителей, добавив к нему тех, чьи решения за год удалось протестировать на пилотных проектах. И конечно, тема импортозамещения не осталась незамеченной, тем более что в данном сегменте появляются или продолжают свое развитие все новые и новые российские продукты.

 

В рамках данной статьи рассматриваются решения следующих производителей:

 

    • FireEye с решением FireEye.
    • Trend Micro с решением Trend Micro Deep Discovery.
    • Check Point с решением Check Point SandBlast.
    • Fortinet с решением FortiSandbox.
    • Лаборатория Касперского с решением Kaspersky Anti Targeted Attack Platform (KATA).
    • Positive Technologies с решением PT Multiscanner.
    • Group–IB с решением TDS.

На сегодняшний день почта остается одним из основных каналов доставки вредоносного ПО.

 

Это могут быть и вложения, и ссылки на нелегитимный контент, поэтому необходим постоянный мониторинг почтового трафика «Песочницы» имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих «песочницах», и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

 

Существует несколько способов работы «песочниц» с точки зрения направления на них почтового трафика:

  • анализ копии писем – режим BCC;
  • режим блокировки – режим MTA;
  • режим SPAN (зеркалирование почтового трафика).

Любой продукт (в том числе «песочница») активно развивается. Регулярно выходят различные обновления, хотфиксы, патчи. В случае несвоевременного обновления (это обычно выполняется вручную) часть функций и технологий могут быть недоступны, и, как следствие, это приведет к пропуску части угроз. Не стоит забывать и о другом важной моменте: «песочнице» необходим выход в интернет для идентификации файлов/ссылок.

 

При выборе решения необходимо обеспечить максимальное покрытие сетевых протоколов (а не только почты). Все чаще и чаще наши заказчики используют мультивендорный подход к эшелонированной защите. Тенденцией становится установка второй «песочницы» от другого вендора в сети. Использовать продукы разных производителей на различных уровнях защиты, на наш взгляд, — это отличная практика по противодействию вредоносному ПО.

Конечно, в данном обзоре представлены не все решения, которые есть на рынке информационной безопасности, однако мы постарались выбрать для вас его ведущих игроков, чьи решения мы тестировали на практике. Конечно, наш обзор с течением времени будет дополняться, ведь технологии не стоят на месте. На рынок выходит все больше игроков. Решения класса «песочницы» продолжают свое развитие, расширяется их функционал: например, появляются методы идентификации ВПО на основе машинного обучения и т.п. Но подробнее об этом мы расскажем в наших будущих публикациях.

Уведомления об обновлении тем – в вашей почте

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Реальные проблемы виртуальных ЦОД

В настоящее время на рынке представлен широчайший спектр решений для защиты серверов и центров обработки данных от различных угроз. Несмотря на особенности каждого из продуктов, объединяет их одна общая черта - ориентированность на узкий спектр решаемых задач

Особенности реализации IIoT Firewall в энергетической компании

Сценарии применения IIoT Firewall. Что дает внедрение решения? Безопасность для IIoT — якорь или драйвер?

Самый безопасный SOC

По оценкам отечественных специалистов в области ИБ, в настоящее время уровень информационной безопасности в российских компаниях по сравнению с западными не очень высок, но темпы развития в разы выше

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Взгляд со стороны

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

Кадровый голод в ИБ

Как регуляторы влияют на рынок ИБ? Почему tinkoff.ru не торгуется с соискателями? что общего между Positive Technologies и Гнесинкой?

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Кибератаки на критическую инфраструктуру — миф или реальность?

Число кибератак на промышленные системы растет. Если недавно эта проблема носила умозрительный характер, сейчас она приобрела реальные очертания. Причем нарушение промышленной безопасности чревато последствиями, далеко выходящими за рамки финансового ущерба и потери деловой репутации.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня