Сетевые песочницы
Средства для безопасного обнаружения неизвестных вредоносных программ
Описание и назначение
Сетевые песочницы — это программные или программно-аппаратные комплексы, позволяющие обезопасить внутреннюю сеть организации от еще неизвестных вредоносных компьютерных программ, а также выявить целевые атаки на инфраструктуру. Это достигается путем эмуляции кода в изолированной среде и является отличием сетевых песочниц от классических сетевых антивирусов. Несмотря на то, что некоторые антивирусы, предназначенные для установки на рабочие станции пользователей, способны выполнять функции сетевой песочницы, такие проверки существенно добавляют нагрузку на CPU.
Сетевая песочница позволяет воспроизводить действия различных вредоносов в подготовленной для этого среде. Например, проверить как поведет себя вирус на различных операционных системах. При этом при использовании сетевых песочниц не обязательно предоставлять доступ во внешнюю или внутреннюю сеть для проверки поведения вредоносных программ. Некоторые функции можно эмулировать — подключение к интернету, подключение внешних накопителей и другое. Это все позволяет защититься от ряда атак с применением уязвимостей нулевого дня или вредоносных программ, которые не детектируется наиболее известными антивирусными программами.
Другими словами, к функциям сетевых песочниц относятся:
- Обнаружение и предотвращение целевых атак и неизвестных ранее вредоносных программ, которые могут быть пропущены традиционными антивирусными программами. Это подразумевает эмуляцию в так называемой виртуальной среде, и на основе результатов осуществление блокирования файлов и электронных сообщений. Помимо этого, сетевые песочницы позволяют защититься от атак, которые были разработаны с применением протоколов SSL, TLS, а также угроз, которые могут быть в исполняемых файлах такого программного обеспечения, как Microsoft Office, Adobe и других, позволяя проверять множество различных форматов файлов, таких как PDF, XLS, DOCX, EXE, CSV, а также архивных TAR, ZIP и RAR.
- Проверка в облаке на наличие угроз. Под этим понимаются возможности облачного сервиса, который производит проверку электронных сообщений и вложений. Учитывая, что все поступающие файлы проверяются внутри сетевой песочницы, при ее применении уменьшается шанс ложного срабатывания.
- Постоянное обновление сигнатур. Многие сетевые песочницы в настоящее время поддерживают возможность быстрого обновления сигнатур. Это достигается за счет того, что как только в одной из сетевых песочниц произойдет эмуляция неизвестного ранее вредоносного файла, сигнатуры этого файла попадают в общую базу сигнатур.
Помимо указанных функций, сетевые песочницы позволяют администраторам осуществлять мониторинг безопасности, подготавливать отчеты по найденным угрозам.
Помимо того, что сетевые песочницы могут встраиваться в инфраструктуру организации, еще одним способом их использования является облачный сервис. То есть в организации настраивается передача файлов и данных, которые приходят на шлюз, на облачный сервис. В этом облачном сервисе развернута инфраструктура для эмуляции эксплойтов и вредоносных программ. Также информация может передаваться в облачный сервис посредством применения сетевых агентов, которые могут быть установлены на серверы электронной почты.
В то же время сетевые песочницы могут быть встроенной функциональностью других сетевых устройств безопасности, таких как межсетевые экраны, системы предотвращения вторжений, UTM-устройства, почтовые шлюзы и шлюзы для защиты доступа к веб-ресурсам. Однако наиболее распространенным вариантом внедрения сетевых песочниц является использование отдельных устройств и их тесная интеграция с вышеуказанными элементами инфраструктуры организации.
Список средств защиты
PT Sandbox — песочница в исполнении компании Positive Technologies. Отличительными особенностями продукта является возможность гибко настраивать виртуальные среды в соответствии с реальными рабочими станциями.
Также PT Sandbox предлагает глубокий комплексный анализ файлов и защиту от...
KATA Sandbox – технология, которая позволяет анализировать поведение объектов в виртуальной среде. Представляет собой отдельное устройство, которое не имеет информации о серверах KATA/KEDR. Использует ряд запатентованных технологий для качественной детонации получаемых на анализ объектов,...