Сетевая песочница (sandbox) — один из самых востребованных и зрелых типов продуктов на рынке ИБ. Она эффективна для обнаружения, остановки и расследования APT-атак и инцидентов, анализа подозрительных файлов и объектов в динамике. Песочницы постепенно эволюционируют в комплексы «Sandbox + DDP» (Distributed Deception Platform, платформа для развёртывания инфраструктуры ложных целей) и помимо всего прочего становятся одними из ключевых поставщиков данных в SIEM / XDR.
- Введение
- Что такое сетевая песочница
- Технические особенности сетевых песочниц
- 3.1. Какие типы объектов обрабатывает песочница?
- 3.2. Поддержка операционных систем и работа с образами
- 3.3. Методы обхода песочниц
- 3.4. Интересные случаи из практики
- 3.5. Как грамотно обосновать покупку сетевой песочницы?
- 3.6. Квалификация специалиста для работы с песочницей
- 3.7. Прогнозы развития сетевых песочниц
- Ответы на вопросы слушателей
- 4.1. Что такое мультисканер?
- 4.2. Зачем доставлять содержимое пользователю, если оно априори нерелевантно?
- 4.3. Если из Excel-документов удалять макросы, это будет неработающий документ?
- 4.4. Как часто приходится дорабатывать базовые механизмы детектирования с учётом новых техник обхода песочниц?
- 4.5. Требуется ли для работы песочницы доступ в интернет и как это влияет на качество детектирования?
- 4.6. Какие устройства отправляют объекты в песочницу и по каким протоколам происходит обмен?
- 4.7. Что отдаёт песочница — хеш или сигнатуру?
- 4.8. Какую информацию собирает и отправляет вендору песочница?
- 4.9. Можно ли полностью автоматизировать работу с песочницей?
- 4.10. Проактивная конвертация при защите от APT-атак эффективна?
- 4.11. Можно ли отказаться от песочницы, снизив площадь атаки другими средствами?
- Выводы
Введение
Очередной прямой эфир из студии Anti-Malware.ru прошёл 28 июля 2021 года. Эксперты обсудили сетевые песочницы (sandbox), их технические особенности и применение на практике.
Песочницы появились на рынке ИБ в 2012 году и были эффективны против APT-атак весьма продолжительное время, до формирования концепции XDR-решений. Сетевая песочница обеспечивает динамический анализ помещённых в неё подозрительных файлов в изолированной среде, а также осуществляет сбор и агрегацию информации об объекте. На выходе формируется подробный отчёт, который может быть исследован специалистом или передан для дальнейшей обработки, например, в SIEM, SOAR, XDR.
На текущий момент песочницы являются вполне зрелым классом решений. Насколько эффективна современная песочница против целевой атаки на практике? Какой вариант размещения песочницы выбрать: локальный или в облаке? С какими системами взаимодействуют песочницы и по каким протоколам, что за методы обхода используют злоумышленники? Индивидуализируется ли песочница? На эти и другие вопросы, как всегда, отвечают ведущие специалисты по ИБ.
Для обсуждения объёмной темы сетевых песочниц мы пригласили следующих спикеров, многие из которых знакомы вам по предыдущим эфирам AM Live:
- Алексей Белоглазов, технический эксперт по защите от кибератак, Check Point Software Technologies.
- Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии.
- Антон Тихонов, технический менеджер решений McAfee.
- Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО, экспертный центр безопасности Positive Technologies.
- Александра Савельева, руководитель проектов AV Soft.
- Вячеслав Гордеев, системный инженер Fortinet.
Модератором выступил Александр Русецкий, руководитель направления по защите от направленных атак в центре информационной безопасности компании «Инфосистемы Джет».
Традиционно к прямому эфиру активно подключались слушатели: поступали вопросы из чата, проводились опросы, результаты которых формировали текущую картину понимания обсуждаемой темы.
Предлагаем ознакомиться с ключевыми моментами прошедшей встречи.
Что такое сетевая песочница
Перед тем как дать определение, эксперты отметили, что сетевая песочница (sandbox) — это сформировавшийся класс решений на рынке. Основная задача песочницы — осуществлять проверку помещаемых в неё объектов, собирать события в сети для дальнейшего анализа, а также обрабатывать собранные данные. По каждому событию выносится вердикт согласно настроенным политикам. Песочница — это изолированная среда, куда отправляется на анализ объект, например полученный по электронной почте подозрительный файл.
Песочница собирает как можно больше телеметрии и контекста с предварительно настроенных в сети сенсоров. В роли сенсоров могут выступать любые существующие устройства и приложения: почтовый шлюз, агенты рабочих станций, смартфоны или межсетевой экран, который отправляет файлы на проверку в песочницу.
Алексей Вишняков:
— В статическом анализе не всегда можно обнаружить вредоносный код. Песочница позволяет развернуть образец, исследовать его работу и поведение в динамике. Песочница защищает от любых вредоносных объектов: бэкдоры, загрузчики, банкеры, вымогатели и т. д. Мобильные устройства и приложения, операционные системы — ландшафт применения огромен.
Чаще всего песочница размещается в DMZ-сегменте, между сетевым экраном периметра и ядром.
Песочница помогает защититься от APT-атаки?
Да, песочница помогает в защите от APT-атак, так как позволяет глубоко анализировать события. Вредоносный объект может иметь разные сигнатуры, обходить антивирус, но поведение остаётся примерно одинаковым, что в песочнице и отображается.
Одна из основных задач вендоров — сделать песочницу наиболее привлекательной для вредоносной программы, чтобы та могла максимально раскрыться в контролируемой безопасной среде.
В чём отличия сетевой песочницы от антивируса?
Сетевая песочница осуществляет динамический анализ объектов в изолированной среде сети и позволяет объекту максимально проявиться. Антивирус на хосте преследует цель заблокировать вредоносную программу и её действия. Антивирус или EDR — это следующий эшелон защиты.
Вредоносный объект не должен попадать на рабочую станцию, подчеркнули участники встречи.
Технические особенности сетевых песочниц
Настройки работы песочницы уникальны для каждой организации. Песочница должна блокировать вредоносные объекты, без длительных задержек проводить анализ подозрительных файлов. Но необходимо принимать во внимание риски ложного срабатывания и остановки бизнес-процессов.
В ходе обсуждения были выделены опции префильтрации для песочниц: сценарии работы для каждого сотрудника, формат файла, контекст, репутационная префильтрация (если объект был исследован ранее). Политики префильтрации настраиваются и на сенсорах, так что часть файлов, которые не должны ходить по сети, может отсекаться уже там.
Какие типы объектов обрабатывает песочница?
Антон Тихонов:
— Это могут быть ссылки, картинки, любые объекты заказчика. Файлы размером более 300 МБ нет смысла исследовать в динамике. Для анализа крупных файлов есть отдельные специфические решения, это требуется крайне редко.
Рисунок 1. Насколько вы знакомы с сетевыми песочницами?
Только 7 % слушателей ничего не слышали о песочницах. Остальные уже их используют, пробуют пилотировать и знают, как работает данный инструмент.
Поддержка операционных систем и работа с образами
Поддерживаются практически все операционные системы и серверные платформы. Если использовать поставляемые вендором образы, то мы улучшаем уровень детекта и совершенствуем антивирус. Настроенная под задачи песочница — это уже средство против целенаправленных атак. Индивидуализация, как всегда, зависит от приоритетов заказчика.
Алексей Вишняков добавил, что один из путей эволюции песочниц — в сторону DDP (ложная инфраструктура), когда мы можем создать в качестве приманки среду максимально привлекательную для злоумышленника, но безопасную для инфраструктуры компании.
Рисунок 2. Что для вас наиболее важно при выборе сетевой песочницы?
Большинство считает, что наиболее важны производительность и возможности интеграции. Далее следуют индивидуализация и стоимость.
Методы обхода песочниц
Вендоры постоянно совершенствуют эмуляцию естественных процессов в изолированной среде, чтобы песочница была неотличима от настоящего хоста. Вот основные типы техник, которые используют злоумышленники для детектирования и обхода песочниц:
- параметры окружения — гипервизор или физический хост, оперативная память, размер жёсткого диска, аптайм и т. д.;
- активность пользователя в системе — история документов и браузера, буфер обмена, количество открытых окон, софт и т. д.;
- поведенческий анализ — прокрутка контента, нажатие кнопок, перемещение курсора мышью или клавиатурой и т. д.;
- особенности работы процессора — тайминги, некоторые вычислительные операции, которые в эмулированной среде работают, а на физическом процессоре могут вызывать ошибки.
Михаил Кондрашин:
— Низкоуровневая песочница реализуется драйверами в операционной системе, факт проверки данных драйверов является лакмусовой бумажкой для злоумышленника.
Рисунок 3. Наиболее популярные методы обхода песочниц по данным Positive Technologies
Интересные случаи из практики
Эксперты поделились практическим опытом: каждый участник встречи кратко рассказал случай, когда сетевая песочница помогла остановить вредоносную программу.
Александра Савельева привела следующий пример: при «пилотировании» продукта заказчиком был обнаружен криптолокер, который сотрудники компании передавали друг другу.
Вячеслав Гордеев поделился таким примером: с помощью поведенческого анализа песочница заблокировала вредоносный объект, взламывающий Windows через уязвимость в обновлении, причём его обнаружил и EDR, это была связка решений.
Михаил Кондрашин обратил внимание на случай, когда злоумышленники прислали в компанию два практически одинаковых письма, с интервалом в секунду. Оба письма имели вредоносное содержимое, но отличались по тюнингу, что показывала песочница. Секундный интервал показывает, что злоумышленники способны оптимизировать атаку «на лету», прощупывать окружение.
Алексей Белоглазов рассказал об уязвимости в корпоративном DNS, которая открывала путь к контроллеру домена, и об изъяне в библиотеке Google Play, которая позволяла повышать привилегии для мобильных приложений, давая тем самым злоумышленнику возможность скрыть себя в коммуникациях.
Алексей Вишняков поведал о блокировке бэкдора XDSpy, который специалисты обнаружили в дампе памяти процесса, а не за счёт анализа поведения.
Антон Тихонов описал случай, когда песочница ничего не обнаружила по сигнатурам, но поведенческий анализ выдал опасность. Вендора уведомили, оперативно была выпущена сигнатура, которую взяли на вооружение и другие продукты того же производителя.
Как грамотно обосновать покупку сетевой песочницы?
Спикеры единогласно согласились, что это — разговор о рисках, которые реальны. На рынке всегда присутствуют разные заказчики: кому-то достаточно привести последствия атаки WannaCry в денежном эквиваленте, и он уже готов приобрести продукт.
Рисунок 4. Прогноз роста рынка песочниц до 2025 г. по данным grandviewresearch.com
Другой тип заказчиков приходит за аналитикой — им важно в одном отчёте увидеть как можно больше информации об объекте: исходный код, подключения, метаданные, работа с памятью и т. д. Для таких заказчиков можно развернуть демонстрацию решения на их примерах, предложить «пилот». По ходу «пилотирования» часто видно, что используемые инструменты не справляются и песочница действительно необходима для оптимизации защиты.
Не менее важно донести до заказчика, что песочница — это только один из продуктов, который обеспечивает безопасность, один из элементов экосистемы, подчеркнул Алексей Вишняков.
Рисунок 5. Для каких задач вы бы хотели использовать сетевую песочницу в первую очередь?
Самый популярный ответ — 45 % респондентов хотят использовать песочницу для проверки прикреплённых к письмам файлов.
Квалификация специалиста для работы с песочницей
При грамотном интерфейсе, качественном справочном разделе высокая квалификация сотрудника не требуется. Достаточно небольшого опыта и общего понимания работы процесса ИБ. Для разбора инцидентов и расследований необходим уровень выше.
Рисунок 6. Варианты использования песочниц
Некоторые вендоры предлагают обучение работе с песочницей на несколько дней. Отчёты песочницы прозрачны и читабельны (матрица MITRE, видеозапись рабочего стола, вызовы узлов, репутация объекта и т. д.). Собранная информация агрегируется и оптимизируется, отчёт экономит время специалиста.
Рисунок 7. Каково ваше мнение о сетевых песочницах после эфира?
Результаты эфира: 33 % убедились в правильности выбора песочницы, 26 % готовы тестировать. 24% считают такое решение избыточным.
Прогнозы развития сетевых песочниц
Делая прогнозы развития песочницы как продукта, эксперты разошлись во мнениях, но все отметили ускорение выдачи вердикта.
Александра Савельева:
— Песочницы будут более интеллектуальными и простыми в использовании, с развитым блоком машинного обучения. Также эволюция песочниц двигается в сторону более тесной интеграции с DDP-платформами.
Вячеслав Гордеев согласился с Александрой и добавил, что в песочнице вердикт будет выноситься без задержки в несколько минут, как это происходит сейчас, а мгновенно, например ещё до того, как пользователь завершит загрузку файла.
Михаил Кондрашин:
— Лет пять назад песочница была подобием решения «anti-APT». Злоумышленники развивают атаки, и на данный момент песочницы переходят в разряд компонента по безопасности, который формирует комплексный эшелон защиты. Защита от целевых атак сегодня — это XDR / EDR, где происходит анализ не объекта, а поведения сети в целом.
Алексей Белоглазов:
— Песочница сегодня — стандартный атрибут защиты инфраструктуры, они станут более доступными не только по стоимости, но и с точки зрения администрирования. Активно развиваются облачные модели. Люди не хотят этим заниматься, поэтому покупают песочницу как сервис у вендора. Я вижу этот тренд.
Алексей Вишняков:
— Произойдут переосмысление кастомизации песочницы и интеграция с DDP-решениями. Изменения ждут в оптимизации работы с аппаратной частью, с «железом», повысится скорость работы. Подход к анализу контекста тоже будет переосмыслен.
Антон Тихонов:
— Песочница будет интегрироваться с облачными решениями по безопасности. Удобно и бюджетно: быстро включить, быстро выключить. Песочница станет, если ещё не стала, одним из ключевых сенсоров XDR-решений.
Ответы на вопросы слушателей
Эфир был насыщен самыми разными вопросами слушателей, на которые эксперты дали ответы.
Что такое мультисканер?
Мультисканер — это инструмент для антивирусных ядер, которые к нему можно подключить (в определённом количестве). Как правило, достаточно двух-трёх. Также не надо забывать о производительности.
Зачем доставлять содержимое пользователю, если оно априори нерелевантно?
Алексей Белоглазов:
— Что считать релевантным контентом? Всегда есть риск ложного срабатывания. Релевантность контента пользователь определяет самостоятельно. Если письмо прошло антифишинг, то некая релевантность уже проверена. Дальше надо понять, вредоносен прикреплённый файл или нет.
Если из Excel-документов удалять макросы, это будет неработающий документ?
Вячеслав Гордеев:
— Действительно, технология CDR (Content Disarm and Reconstruction) может фильтровать макросы, которые не являются вредоносными, нарушая тем самым формат документа Excel. На почтовом шлюзе необходимо настроить доверенные источники или изменить режим работы CDR.
Как часто приходится дорабатывать базовые механизмы детектирования с учётом новых техник обхода песочниц?
Обновления детектирующих правил происходят 1–2 раза в месяц, обновление ПО подчиняется циклу разработки (3–4 месяца). Машинное обучение получает новую информацию 1–2 раза в сутки.
Репутация сайтов и узлов актуализируется примерно каждые 5 минут. Это естественный процесс, так как необходимо поддерживать высокую степень защиты.
Требуется ли для работы песочницы доступ в интернет и как это влияет на качество детектирования?
Песочница должна работать в обоих случаях, потому что применяется и на закрытых контурах, и на открытых. В целом доступ в интернет рекомендуется для более глубокого анализа, так как многие вредоносные объекты подгружают свой код извне после попадания в инфраструктуру.
Какие устройства отправляют объекты в песочницу и по каким протоколам происходит обмен?
Межсетевые экраны, почтовый шлюз, WAF. Поддерживаются многие стандартные протоколы: Syslog, ICAP, SMTP, NFS. Можно интегрировать песочницу посредством API практически в любую среду.
Антон Тихонов:
— Песочница должна интегрироваться со всеми современными средствами безопасности, которые мы используем каждый день в рабочей рутине.
Что отдаёт песочница — хеш или сигнатуру?
Зависит от того, как именно формируется сигнатура. На практике только сигнатуры недостаточно, нужны дополнительные данные (дамп памяти и т. д.). Хеш-сумма более эффективна, потому как с хешем может работать SIEM, файрвол и т. д.
Сигнатура не менее важна, потому что база данных сигнатур вендора пополняется, что ускоряет детектирование угрозы и блокирует распространение.
Хеш работает быстрее в превентивных действиях, сигнатура — это более агрегированная информация, которая требует больше времени на формирование, добавил Алексей Белоглазов.
Какую информацию собирает и отправляет вендору песочница?
Как можно больше информации об объекте, его поведении: например, метаданные, устанавливаемые соединения. Происходит и статический анализ, и динамический. То, какие данные отправляются вендору, определяет заказчик, потому что информация бывает конфиденциальной.
Можно ли полностью автоматизировать работу с песочницей?
Полностью автоматизировать нельзя. Необходимо участие эксперта, как минимум в качестве валидатора вердиктов. Если мы говорим о защите от APT-атак, о более сложных атаках, то без специалиста, без аналитики, без квалифицированных знаний песочница не будет работать в автоматическом режиме эффективно.
Проактивная конвертация при защите от APT-атак эффективна?
Алексей Белоглазов согласился с Александрой Савельевой, что необходимо сначала детектировать и остановить атаку, а потом расследовать, и добавил, что механизмы проактивной конвертации (когда из файла удаляется всё опасное содержимое) отправляют оригинальный файл в песочницу, где формируется подробный отчёт.
Можно ли отказаться от песочницы, снизив площадь атаки другими средствами?
Вячеслав Гордеев:
— Как мы отмечали ранее, песочница необходима для обнаружения неизвестных ранее атак; достаточно один раз пропустить такую атаку, и сеть будет заражена. Текущих средств защиты не будет достаточно, они будут только вспомогательными.
Выводы
Эфир AM Live показал, что большая часть специалистов знакомы с принципом работы песочницы и многие уже внедрили такое решение.
Песочница является одним из важнейших элементов в построении защиты корпоративной инфраструктуры. Современная песочница не только блокирует распространение вредоносного объекта, но и структурирует значительный объём данных динамического анализа, передавая эти данные на дальнейшую оценку специалисту или по стандартным протоколам обмена в другие ИБ-продукты.
Песочница функционирует практически с любыми операционными системами и устройствами. Применение ML-модулей постепенно ускоряет как исследование, так и выдачу вердикта. В среднем задержки в выдаче вердикта составляют несколько минут. Полностью автоматизировать работу песочницы нельзя — требуется участие специалиста с опытом в ИБ.
Эволюция песочниц движется в сторону облачных решений (песочница как сервис). Также произойдут постепенное слияние с DDP-платформами и усиление модулей машинного обучения. Мировой рынок песочниц стремительно растёт и через 2 года, по прогнозам, удвоится. Со временем ожидается снижение стоимости.
Подписывайтесь на наш канал, участвуйте в наших опросах и дискуссиях, задавайте вопросы спикерам в чате, получайте актуальную информацию по самым современным направлениям в информационной безопасности на AM Live!