Сценарии использования сетевой песочницы FortiSandbox

Сценарии использования сетевой песочницы FortiSandbox

Сценарии использования сетевой песочницы FortiSandbox

Anti-Malware.ru продолжает рассказывать о сетевом устройстве безопасности FortiSandbox компании Fortinet, позволяющем обнаружить сложные угрозы в изолированной защищенной среде (песочнице). В статье подробно описаны возможности использования FortiSandbox в зависимости от нужд заказчика и особенностей защищаемой сети: как устройство помогает автоматизировать процессы обеспечения безопасности, усилить уже работающие средства защиты, контролировать инфраструктуру организации и т. д.

 

 

  1. Введение
  2. Характеристики FortiSandbox
    1. 2.1. Функциональные возможности
    2. 2.2. Специализация
    3. 2.3. Производительность
    4. 2.4. Масштабирование
  3. Сценарии использования FortiSandbox
    1. 3.1. FortiSandbox — компонент Fortinet Security Fabric
    2. 3.2. Усиление сторонних средств защиты
    3. 3.3. Автоматизация процессов и функций безопасности
    4. 3.4. Контроль над инфраструктурой сети заказчика
    5. 3.5. FortiSandbox — источник разведданных для Threat Intelligence
  4. Выводы

 

 

Введение

Устройство обнаружения сложных угроз FortiSandbox является ключевым продуктом Fortinet для защиты от целенаправленных атак, атак нулевого дня. FortiSandbox входит в платформу Fortinet Security Fabric, объединяющую все средства защиты Fortinet в одну архитектуру, и является компонентом фреймворка Fortinet Advanced Threat Protection (Fortinet ATP).

Устройство FortiSandbox обеспечивает проактивное обнаружение и минимизацию последствий атак. Информация об обнаруженных FortiSandbox вредоносных программах передается в исследовательскую группу FortiGuard Labs для углубленного анализа и подготовки обновлений для средств защиты информации Fortinet.

С вариантами поставки устройств FortiSandbox, их техническими характеристиками и сценариями развертывания в защищаемой сети можно ознакомиться в нашем сертифицированном обзоре.

 

Рисунок 1. Линейка физических устройств FortiSandbox

Линейка физических устройств FortiSandbox

 

Характеристики FortiSandbox

Функциональные возможности

Как уже неоднократно упоминалось, FortiSandbox — это прежде всего средство раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак за счет эмуляции кода в изолированной среде. Выявления осуществляются по:

  • анализу поведения подозрительного объекта в песочнице;
  • аномальной активности объекта (изменение привилегий, операции с файлами, доступ к системному реестру Windows, запуск процессов и загрузка DLL);
  • вредоносной активности (избыточный/зашифрованный трафик, DNS-запросы);
  • именам файлов, URL и IP-адресам.

FortiSandbox использует компактный язык распознавания образов (Compact Pattern Recognition Language, CPRL), разработанный исследователями FortiGuard Labs и запатентованный Fortinet для глубокой проверки и проактивного обнаружения сигнатур. Одна подпись CPRL помогает детектировать 50 000 или более вариантов семейства вредоносных программ. Он включает дешифрование, распаковку и эмуляцию кода для статического анализа, что уменьшает объем кода, который требует полной проверки в песочнице.

Антивирусное сканирование FortiSandbox, использующее CPRL, полностью поддерживает 32-битный и 64-разрядный код на платформах Microsoft Windows, macOS X, Linux, Android, Windows Mobile, iOS, Blackberry и устаревший Symbian.

FortiSandbox также используется для выявления уже известных угроз. Однако в настоящее время одного детектирования угроз недостаточно: если мы говорим о комплексных мерах защиты, необходимы активные действия для предотвращения атак. Поэтому в FortiSandbox предусмотрены механизмы мгновенного подавления вредоносных действий, такие как:

  • блокирование IP-адреса отправителя вредоносного электронного письма;
  • предотвращение коммуникации устройств с сервером команд и управления ботнетом (Command and control, C&C);
  • карантин зараженных устройств;
  • подтверждение компрометации и удаление зараженных файлов.
  • Для последующего предотвращения возможности проведения атак FortiSandbox поддерживает:
  • обновление репутации IP-адресов;
  • категорирование новых веб-сайтов для фильтрации;
  • обновление правил системы предотвращения вторжений для блокирования C&C-трафика;
  • обновление сигнатур антивируса для вложений электронной почты.

 

Рисунок 2. Границы влияния FortiSandbox для защиты от сложных угроз и целенаправленных атак

 Границы влияния FortiSandbox для защиты от сложных угроз и целенаправленных атак

Специализация

В своем продукте FortiSandbox компания Fortinet реализовала идею универсальной песочницы, позволяющей осуществлять выявление и анализ угроз для всех векторов защиты. Это позволяет снизить затраты на обеспечение безопасности и нагрузку на ИТ-отдел, сокращая число сетевых песочниц.

 

Рисунок 3. Принцип использования одного экземпляра FortiSandbox для нескольких источников событий безопасности

 Принцип использования одного экземпляра FortiSandbox для нескольких источников событий безопасности

Производительность

Производительность FortiSandbox зависит от числа виртуальных машин — количества одновременных сеансов анализа. Поскольку проверка каждого файла в изолированной среде — это ресурсоемкая и долгосрочная задача, способная ограничить общее число оцененных подозрительных файлов и значительно снизить производительность, перед выполнением в FortiSandbox подозрительные файлы подвергаются предварительной фильтрации: проводится антивирусное сканирование (AV Engine) и делается запрос к облачному сервису FortiGuard (Cloud Query). Статический анализ одного образца по оценкам производителя занимает в среднем 15-20 секунд, полная эмуляция образца по самым негативным оценкам занимает до 3 минут. Поэтому чем меньше данных передается на анализ в песочницу, тем выше вероятность обнаружить неизвестную угрозу и анализировать новые образцы.

 

Таблица 1. Производительность разных форм-факторов FortiSandbox

 

Виртуальное устройство FSA-VM

Физические устройства

Облачный сервис FSA- Cloud

FSA-1000D

FSA-3000E

FSA-3500D

Количество виртуальных машин

2-8

8

56

60

В соответствии с лицензией

Виртуальная песочница, файлы/час

40-160

160

1 120

1 200

В соответствии с лицензией

Антивирусное сканирование, файлы/час

1 000+

6 000

15 000

48 000

В соответствии с лицензией

 

Для того чтобы не проверять образцы повторно, для каждого файла сохраняется его контрольная сумма, но если для антивируса выпускаются новые сигнатуры, FortiSandbox выполняет повторный анализ файлов с целью обнаружения ранее не выявленных угроз.

Масштабирование

Поскольку существует ограничение на количество обрабатываемых файлов одним устройством FortiSandbox за определенный момент времени, для балансировки нагрузки в условиях высокой доступности применяется кластер FortiSandbox HA Cluster, обеспечивающий горизонтальное масштабирование FortiSandbox.

 

Рисунок 4. Кластер FortiSandbox

 Кластер FortiSandbox

 

Кластер поддерживает до 100 устройств FortiSandbox и любое количество интегрированных устройств. При этом управление и настройка кластера осуществляется через единую консоль администратора.

 

Сценарии использования FortiSandbox

FortiSandbox — компонент Fortinet Security Fabric

Продукты Fortinet могут перехватывать и передавать в FortiSandbox через Fortinet Security Fabric подозрительный контент для анализа с целью противодействия угрозам нулевого дня и целенаправленным атакам.

Для инспекционного контроля FortiGate, FortiMail, FortiWeb настраиваются через интерфейс администратора в один клик для передачи файлов на FortiSandbox. Для FortiMail доступна отправка подозрительных вложений электронной почты на FortiSandbox. FortiGate поддерживает отправку всех файлов для проверки, протоколы HTTP, FTP, POP3, IMAP, SMTP, MAPI, IM и их зашифрованные версии. FortiSandbox возвращает обратно на FortiGate и FortiMail статистические данные и результаты сканирования.

Такое взаимодействие является наиболее эффективным, позволяя мгновенно блокировать известные угрозы без снижения производительности сети и уменьшения поверхности атак. Кроме того, такая интеграция обеспечивает своевременное восстановление и генерацию отчетов для этих устройств.

 

Рисунок 5. Взаимодействие FortiSandbox с другими продуктами Fortinet в концепции Fortinet Security Fabric

 Взаимодействие FortiSandbox с другими продуктами Fortinet в концепции Fortinet Security Fabric

 

С подробной информацией о настройке устройств Fortinet для взаимодействия с песочницей можно ознакомиться в предыдущем обзоре.

Усиление сторонних средств защиты

Благодаря политике Fortinet результаты анализа угроз доступны для средств защиты других производителей через API FortiSandbox. FortiSandbox использует адаптеры для подключения к сторонним продуктам, поддерживает связь со средством защиты конечных точек Carbon Black Cb Protection и клиентами ICAP. По протоколу ICAP осуществляется интеграция со сторонними прокси-серверами, веб-шлюзами и системами анализа контента.

Интеграция Carbon Black с FortiSandbox предоставляет пользователям, у которых уже есть доступ к Carbon Black Cb Protection, возможность использовать функции Fortinet ATP через Fortinet Security Fabric. Carbon Black возлагает на себя функции защиты конечных точек с помощью механизмов управления приложениями, а FortiSandbox анализирует потенциально вредоносные программы, переданные от Cb Protection. Такое взаимодействие повышает эффективность средств защиты и снижает время отклика на ранее неизвестные угрозы, уменьшая риск потери данных и нарушения бизнес-процессов.

 

Рисунок 6. Пример интеграции FortiSandbox и Carbon Black Cb Protection

 Пример интеграции FortiSandbox и Carbon Black Cb Protection

 

Для подключения FortiSandbox к Cb Protection через интерфейс администратора создается новый адаптер, содержащий следующие параметры:

  • наименование адаптера;
  • IP-адрес сервера Cb Protection;
  • токен API, сгенерированный на сервере Cb Protection;
  • серийный номер сервера Cb Protection.

 

Рисунок 7. Создание адаптера взаимодействия с Carbon Black Cb Protection

 Создание адаптера взаимодействия с Carbon Black Cb Protection

Автоматизация процессов и функций безопасности

FortiSandbox предоставляет клиентам возможность автоматизировать некоторые ключевые функции и процессы (например, отправка файла или URL-адреса на проверку, получение результатов сканирования FortiSandbox) с помощью REST API. Некоторые популярные сценарии использования API включают:

  • отправку файлов с использованием простого скрипта. Пользователь, имея большое количество файлов, может запустить сканирование вне обычных часов работы. Это могут быть файлы, ранее сохраненные в карантине, перехваченные агентами конечных станций. Написав простой сценарий отправки, пользователь устраняет необходимость передачи файлов через графический интерфейс;
  • отправку файлов из сторонних инструментов. Пользователь может иметь стороннюю инфраструктуру, которую необходимо интегрировать с FortiSandbox. API позволяет отправлять файлы и результаты запросов сканирования в режиме реального времени.

Контроль над инфраструктурой сети заказчика

FortiSandbox обеспечивает поддержку сканирования вложений для приложений ActiveSync и OWA (Outlook Web Access), позволяя анализировать внутреннюю почту.

FortiSandbox проводит сканирование сетевых ресурсов SMB/NFS. Сканирование может быть запланировано на время, когда FortiSandbox находится в простое, например, ночью. Подозрительные файлы помещаются карантин.

FortiSandbox — источник разведданных для Threat Intelligence

Летом 2017 года компания Fortinet запустила службу разведки глобальных угроз FortiGuard Threat Intelligence Service (TIS). FortiGuard TIS — это облачная платформа для анализа угроз, которая предоставляет информацию об угрозах и тенденции их активности, позволяя безопасникам мгновенно понять, как развиваются угрозы в глобальном масштабе.

 

Рисунок 8. Интерфейс Threat Intelligence Service

 Интерфейс Threat Intelligence Service

 

FortiGuard TIS использует опыт Fortinet FortiGuard Labs для исследований в области интеллектуальной разведки. FortiGuard Labs состоит из более чем 200 экспертов-исследователей, анализирующих данные, собранные из более чем трех миллионов датчиков по всему миру.

По данным Gartner, к 2018 году 60% организаций начнут использовать сервисы Treat Intelligence (TI) для корректировки стратегии защиты.

 

Рисунок 9. Уровни Threat Intelligence

 Уровни Threat Intelligence

 

Ключевым звеном операционного уровня TI является FortiSandbox, потребляющий и генерирующий данные по TI. Среди таких данных используются индикаторы компрометации (Indicators of Compromise, IOC) — элементы информации, используемые для поиска и идентификации потенциально скомпрометированных систем.

В качестве IOC используются:

  • IP-адреса и домены;
  • URL-адреса;
  • контрольные суммы файлов;
  • e-mail-адреса;
  • X-Mailer;
  • HTTP User Agent;
  • File Mutex.

 

Рисунок 10. FortiSandbox в концепции Threat Intelligence

 FortiSandbox в концепции Threat Intelligence

 

Выводы

Сетевое устройство безопасности FortiSandbox обеспечивает надежную защиту от сложных угроз и целенаправленных атак в случаях, когда традиционные устройства безопасности малоэффективны. По результатам независимых тестов и исследований, FortiSandbox входит в число лидеров в своем сегменте.

FortiSandbox — универсальный архитектурный продукт. Одно устройство защищает все векторы атак и подстраивается под особенности защищаемой сети, позволяя направить максимальные силы на защиту наиболее ценной информации и закрывая наиболее уязвимые места. Не секрет, что человеческий фактор — наиболее распространенная причина нарушения информационной безопасности, поэтому специалисты Fortinet уделяют особое внимание и присваивают высокий приоритет защите электронной почты как основному вектору проникновения атак.

Информация об обнаруженных угрозах мгновенно распространяется в рамках одной организации благодаря интеграции FortiSandbox с другими продуктами Fortinet. Интеграция с анализом угроз FortiGuard Labs позволяет накапливать знания об угрозах, совершенствуя механизмы безопасности СЗИ Fortinet и развивать концепцию Threat Intelligence.

FortiSandbox — это относительно молодой продукт на рынке, в котором были учтены сложности других вендоров, при этом он поддерживает широкий набор платформ и прикладного программного обеспечения. Разработчик предусмотрел прикладной программный интерфейс, обеспечивающий интеграцию бизнес-процессов и песочницы. При необходимости заказчику доступно линейное масштабирование устройств для балансировки нагрузки. 

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru