Сертификат AM Test Lab
Номер сертификата: 185
Дата выдачи: 20.03.2017
Срок действия: 20.03.2022
3. Сценарии развертывания физических устройств FortiSandbox в защищаемой сети
5. Базовая настройка FortiSandbox
6. Настройка устройств Fortinet для взаимодействия с FortiSandbox
6.1. Настройка использования песочницы FortiSandbox по умолчанию в профиле антивирусной защиты
6.2. Настройка использования песочницы FortiSandbox по умолчанию в профиле веб-фильтра
7. Настройка профиля сканирования FortiSandbox
8. Работа с отчетами FortiSandbox
8.1. Статистика обнаруженных файлов
8.2. Статистика событий безопасности в защищаемой сети
8.3. Статистика обнаруженных URL
Введение
Устройство обнаружения сложных угроз FortiSandbox является ключевым компонентом фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), разработанным для защиты от целенаправленных атак. Оно осуществляет анализ и выявление потенциальных угроз в защищаемой сети с использованием эмуляции кода в изолированной защищенной среде.
Устройство FortiSandbox обеспечивает проактивное обнаружение и минимизацию последствий атак. Информация об обнаруженных FortiSandbox вредоносных программах передается в исследовательскую группу FortiGuard Labs для углубленного анализа.
Рисунок 1. Алгоритм обновления механизмов безопасности за счет выявленных угроз средствами FortiSandbox
Варианты поставки
FortiSandbox доступно в качестве физического или виртуального устройства (FortiSandbox-VM) или как облачный сервис защиты от сложных атак, интегрированный с межсетевым экраном FortiGate (FortiSandbox Cloud).
Рисунок 2. Линейка физических устройств FortiSandbox
Таблица 1. Характеристики физических устройств обнаружения сложных угроз FortiSandbox
FSA-1000D | FSA-3000 E | FSA-3500D | |
Физические характеристики | |||
Форм-фактор | 2 юнита | 2 юнита | 3 юнита |
Сетевые интерфейсы | 6 портов 1 Гбит Ethernet RJ452 слота 1 Гбит Ethernet SFP (оптика) | 4 порта 1 Гбит Ethernet RJ452 слота 10 Гбит Ethernet SFP+ | 20 портов 1 Гбит Ethernet RJ4510 слотов 10 Гбит Ethernet SFP+ |
Объем жесткого диска для хранения настроек, профилей, журналов работы | 4 ТБ (с возможностью расширения до 8 ТБ) | 8 ТБ (с возможностью расширения до 24 ТБ) | 10 ТБ |
Высота х Ширина х Длина (мм) | 89 x 437 x 368 | 89 x 437 x 647 | 133 x 445 x 749 |
Вес (кг) | 12,52 | 19,52 | 39,92 |
Характеристики безопасности | |||
Виртуальная «песочница» (Full Virtual Sandbox), файлов/час | 160 | 1 120 | 720 (с возможностью расширения до 1 200) |
Антивирусное сканирование (AV Scanning), файлов/час | 6 000 | 15 000 | 30 000 (с возможностью расширения до 48 000) |
Количество виртуальных машин | 8 | 56 | 36 (с возможностью расширения до 60) |
Таблица 2. Характеристики виртуального устройства FortiSandbox-VM
FortiSandbox- VM | |
Аппаратные требования | |
Поддержка гипервизора | VMware ESXi версии 5.1 или выше, Citrix XenServer 6.2 или выше, Linux KVM CentOS 7.2 или выше |
Виртуальные процессоры ( min) | 4 (рекомендуется иметь одинаковое число процессоров и виртуальных машин) |
Оперативная память ( min) | 8 ГБ |
Объем виртуального хранилища ( min/ max) | 30 ГБ / 16 ТБ |
Количество виртуальных сетевых интерфейсов ( min) | 6 |
Характеристики безопасности | |
Виртуальна «песочница», файлов/час | Зависит от аппаратного обеспечения |
Антивирусное сканирование, файлов/час | Зависит от аппаратного обеспечения |
Количество виртуальных машин | От 4 до 54 (в соответствии с лицензиями) |
FortiSandbox Cloud как сервис FortiGuard предлагает альтернативный вариант развертывания FortiSandbox, обеспечивая такое же быстрое обнаружение и автоматическое реагирование на угрозы безопасности, но в облаке. Функции FortiSandbox Cloud могут быть предоставлены либо в виде услуг по подписке на платформах безопасности Fortinet (FortiGate, FortiWiFi, FortiMail, FortiWeb), либо могут быть интегрированы в существующие службы безопасности.
Для использования сервиса FortiSandbox Cloud пользователь должен иметь соответствующий аккаунт.
Сценарии развертывания физических устройств FortiSandbox в защищаемой сети
FortiSandbox поддерживает несколько режимов развертывания. В самом простом изолированном (Standalone) режиме FortiSandbox подключается к SPAN-портам коммутатора. Такое подключение лучше всего подходит для добавления защиты от сложных угроз к уже имеющимся системам защиты. При этом администратор имеет возможность загружать подозрительные файлы на проверку с помощью графического интерфейса.
Рисунок 3. Изолированный режим использования FortiSandbox
В более продвинутом режиме интеграции (Integrated) различные продукты Fortinet (FortiGate, FortiMail, FortiWeb, FortiClient) могут перехватывать и передавать FortiSandbox подозрительный контент для анализа. Для конфигурации этих продуктов с использованием FortiSandbox достаточно ввести IP-адрес сервера FortiSandbox. Такое взаимодействие является наиболее эффективным, чтобы мгновенно блокировать известные угрозы без снижения производительности сети и уменьшения поверхности атак. Кроме того, такая интеграция обеспечивает своевременное восстановление и генерацию отчетов для этих устройств.
Рисунок 4. Интеграция FortiSandbox с другими продуктами Fortinet
При использовании FortiSandbox в распределенных сетях межсетевые экраны FortiGate развертываются в филиалах организации и отправляют подозрительные файлы центральному устройству FortiSandbox. Такая интеграция позволяет защитить от угроз отдаленные сегменты сети при низкой совокупной стоимости.
Рисунок 5. Развертывание FortiSandbox с распределенной сети предприятия
Поскольку существует ограничение на количество обрабатываемых файлов один устройством FortiSandbox за определенный момент времени, для балансировки нагрузки в условиях высокой доступности применяется кластер FortiSandbox HA Cluster.
Рисунок 6. Кластер FortiSandbox
Функциональные возможности
FortiSandbox использует систему эмуляции кода для раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак. Для оценки угрозы исполняемых файлов, сжатых файлов (ZIP-файлов) и широкого набора файлов приложений (таких как Adobe Flash, Adobe PDF, JavaScript и т. д.) FortiSandbox использует виртуальные машины, оснащенные инструментами, эмулирующими типичную рабочую среду (операционные системы и программное обеспечение). FortiSandbox поддерживает возможность создания собственных образов, включающих конкретное программное обеспечение, используемое заказчиком.
Поскольку проверка каждого файла в изолированной среде — ресурсоемкая и долгосрочная задача, способная ограничить общее число оцененных подозрительных файлов и значительно снизить производительность, то перед выполнением в FortiSandbox подозрительные файлы подвергаются предварительной фильтрации: выполняется антивирусное сканирование (AV Engine) и делается запрос к облачному сервису FortiGuard (Cloud Query). Если в ходе предварительной проверки наличие или отсутствие угрозы со стороны файла не идентифицировано, то образец файла передается для дальнейшего анализа в виртуальную «песочницу» (Full Virtual Sandbox), включающую эмуляцию кода. Если образец оказывается вредоносным, то FortiSandbox (при наличии соответствующей настройки) загружает данные о вредоносной программе в FortiGuard Labs, которые будут проанализированы специалистами и в конечном итоге войдут в обновления продуктов Fortinet для всех пользователей.
Рисунок 7. Технологии обнаружения угроз средствами FortiSandbox
FortiSandbox предоставляет подробные отчеты о перехваченных пакетах, исходных файлах, логи трассировки и скриншоты, дающие представление о выявленных угрозах. Данная информация позволяет ускорить восстановление и обновление защиты.
Базовая настройка FortiSandbox
Базовая настройка FortiSandbox осуществляется с помощью интерфейса командной строки. Доступ к нему предоставляется по протоколу SSH через интерфейс администрирования (port1) или с помощью COM-порта. При этом выполняется только начальная настройка, поскольку устройства FortiSandbox, как правило, конфигурируются с помощью графического интерфейса.
Рисунок 8. Начальная страница интерфейса администратора (Dashboard)
Интерфейс port3 зарезервирован для связи виртуальных машин с внешней сетью, поскольку обращение файлов к интернету является важным фактором при определении, является ли файл вредоносным. При этом port3 должен быть изолирован от внутренней сети. Другие порты используются для получения файлов и связи между узлами кластера. В режиме кластера FortiSandbox использует TCP-порты 2015 и 2018.
Рисунок 9. Сетевые интерфейсы FortiSandbox
Устройства FortiSandbox версии FSA-1000D и FSA-3000D поддерживают управление и обновление с помощью средства централизованного управленияFortiManager.
FortiSandbox уведомляет администратора об обнаруженных угрозах по электронной почте в соответствии с установленным уровнем тревоги. Также возможна настройка отправки администратору отчета о работе FortiSandbox в разные периоды времени (час, день, неделя).
Рисунок 10. Настройка уведомлений по электронной почте
По умолчанию на каждое устройство FortiSandbox установлены следующие образы виртуальных машин: Microsoft Windows XP SP 3 (32-разрядная версия), Windows 7 (32-разрядная версия) и Windows 7 SP 1 (64-разрядная версия).
Рисунок 11. Доступные образы виртуальных машин
Пользователи могут также приобрести, скачать и установить дополнительные образы Android, Windows 8.1 и Windows 10. Для этого необходимо приобрести официальную лицензию у авторизованных партнеров Fortinet.
На виртуальные машины установлено следующее программное обеспечение:
- Adobe Flash Player;
- Adobe Reader;
- Java Run Time;
- MSVC Run Time;
- Microsoft .Net Framework;
- Microsoft Office (только для WINXPVM и WIN7X86VM);
- веб-браузеры.
Настройка устройств Fortinet для взаимодействия с FortiSandbox
Для инспекционного контроля устройства Fortinet настраиваются для передачи файлов на FortiSandbox. Для FortiMail доступна отправка подозрительных вложений электронной почты на FortiSandbox, FortiGate поддерживает отправку всех файлов для проверки. FortiSandbox возвращает обратно на FortiGate и FortiMail статистические данные. При интеграции с FortiGate поддерживаются следующие протоколы: HTTP, FTP, POP3, IMAP, SMTP, MAPI, IM и их зашифрованные версии.
Рисунок 12. Настройка межсетевого экрана FortiGate для взаимодействия с FortiSandbox
FortiSandbox может генерировать пакеты вредоносных программ и черный список URL по результатам сканирования и распространять их на устройства FortiGate и защиту конечных точек FortiClient для антивирусного сканирования и веб-фильтрации с целью блокирования вредоносного программного обеспечения.
FortiGate или FortiClient отправляют на FortiSandbox запрос на получение пакета вредоносных программ каждые две минуты. Запрос включает в себя версию пакета, хранящегося на устройстве FortiGate или FortiClient (версия 0.0 символизирует об отсутствии пакета вредоносных программ). FortiSandbox получает запрос и сравнивает версию пакета с версией последнего пакета на FortiSandbox. В случае если версии не совпадают, FortiSandbox обновляет пакеты на FortiGate или FortiClient, отправляя актуальную версию пакета вредоносных программ.
Настройка использования песочницы FortiSandbox по умолчанию в профиле антивирусной защиты
Если FortiSandbox обнаруживает угрозу, он создает соответствующую сигнатуру для этого файла, которая добавляется в базу данных сигнатур антивируса межсетевого экрана FortiGate.
Рисунок 13. Настройка антивирусной защиты
Настройка использования песочницы FortiSandbox по умолчанию в профиле веб-фильтра
Если FortiSandbox обнаруживает угрозу безопасности, то URL-адрес, по которому исходила угроза, будет добавлен в список URL-адресов, блокируемых FortiGate.
Рисунок 14. Настройка веб-фильтра
Настройка профиля сканирования FortiSandbox
Страница профиля позволяет настроить типы файлов, которые помещаются в очередь на сканирование. Она также позволяет настроить образы виртуальных машин для сканирования предопределенных и пользовательских типов файлов.
Рисунок 15. Страница профиля сканирования
Список файлов, поддерживаемых FortiSandbox по умолчанию, приведен ниже.
Таблица 3. Список поддерживаемых файлов
Исполняемые | BAT, CMD, DLL, EXE, JAR, MSI, PS1, UPX, WSF и VBSПоскольку не все DLL-файлы могут быть выполнены в приделах виртуальной машины, рекомендуется для этого типа файлов включить предварительную фильтрацию |
Архивные | 7Z, ARB, BZIP, BZIP2, CAB, EML, GZIP, LZW, RAR, TAR, XZ и т. д. |
Скриптовые | JavaScript/HTML, Batch Script, Power Shell, VBS |
Microsoft Office | Word, Excel, PowerPoint, Outlook и т.д. |
Adobe | PDF, SWF, Flash |
Статические веб-файлы | HTML, JS, URL, LNK |
Файлы ОС Android | APK |
Повышение производительности сканирования и уменьшение числа ложных срабатываний достигается за счет использования белых и черных списков. Списки содержат контрольные суммы файлов (MD5, SHA1 или SHA256), а также перечень доменов, с которых загружаются файлы.
Рисунок 16. Белые и черные списки файлов в FortiSandbox
YARA — третий механизм обнаружения вредоносных программ, осуществляющий сопоставление с образом. FortiSandbox позволяет пользователю составлять собственные правила YARA. Правила помещаются в ASCII-файл. Каждое правило содержит следующую информацию:
- ID — идентификатор правила (задается автоматически);
- Yara Rule Name — название правила;
- Default Description — описание правила;
- Rules Risk Level — задается уровень риска для правила от 0 (нет риска) до 10 (наивысший уровень риска). Все Yara-правила в одном Yara-файле имеют одинаковый уровень;
- File Type — типы файлов для сканирования. Файл правил Yara может быть применен к нескольким типам файлов;
- YARA Rule File — текстовый файл, содержащий Yara-правила.
FortiSandbox позволяет задать специфичные категории URL-адресов. URL-адреса этих категорий будут иметь уровень угрозы Clean.
Рисунок 17. Перечень специфичных категории URL-адресов
Работа с отчетами FortiSandbox
Интерфейс администратора предоставляет подробную и наглядную информацию о выявленных угрозах средствами FortiSandbox.
Статистика обнаруженных файлов
На странице «Сводные отчеты» раздела «Обнаруженные файлы» администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:
- Scanning Statistics отображает таблицу предоставления информации о проверяемых файлах для выбранного устройства за выбранный период времени.
- Scanning Statistics by Type отображает таблицу, содержащую информацию о типах файлов, рейтинге, и подсчет событий для выбранного устройства за выбранный период времени.
- Top Targeted Hosts отображает график количества инфекционных событий для конкретных хостов.
- File Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени для выбранного устройства.
- Top Infectious URLs отображает график наиболее популярных инфекционных URL-адресов, которые были обнаружены в течение выбранного периода времени.
- Top Malware отображает график инфекционных событий конкретных вредоносных программ, которые произошли для выбранного устройства в течение выбранного периода времени.
- Top Callback Domains отображает график наиболее посещаемых доменов, которые посещали файлы при их выполнении в виртуальной среде.
- Top File Types отображает статистику наиболее популярных типов файлов, которые были обнаружены в течение выбранного периода времени.
Рисунок 18. Страница «Сводные отчеты» раздела «Обнаруженные файлы», содержащая графическую информацию о событиях безопасности
Страница «Вредоносные файлы» (Malicious files) содержит информацию о вредоносном ПО, которое было обнаружено с помощью антивирусного сканера. Пользователь может получить развернутую информацию, создать отчет в формате PDF или CSV для всех вредоносных файлов в зависимости настроек фильтрации.
Рисунок 19. Страница «Вредоносные файлы»
Рисунок 20. Подробная информация об обнаруженном вредоносном файле
FortiSandbox имеет функцию повторного сканирования. Когда появляется новая сигнатура антивируса, FortiSandbox выполнит второе антивирусное сканирование всех заданий за последние 48 часов, чьи рейтинги «Чистый» или «Подозрительный» с использованием новой сигнатуры. Обнаруженные вирусы будут отображаться на этой странице с значком «Повторное сканирование» рядом со значком «Подробнее». Пользователи также могут вручную выполнить повторное сканирование файла.
Страница «Подозрительные файлы» содержит информацию о файлах, продемонстрировавших подозрительное поведение в «песочнице». Пользователю предоставляется развернутая информация о файлах и возможность создать файл отчета.
Рисунок 21. Перечень файлов, продемонстрировавших подозрительное поведение в песочнице
Рисунок 22. Подробная информация о подозрительном файле в FortiSandbox
Чистые и неизвестные файлы, а также файлы без рейтинга отображаются на странице «Чистые файлы».
Рисунок 23. Перечень файлов, прошедших проверку в FortiSandbox без выявления подозрительного или вредоносного поведения
Рисунок 24. Подробная информация о чистом файле в FortiSandbox
Статистика событий безопасности в защищаемой сети
Оповещения событий безопасности позволяют анализировать активность сети, источники угроз и атакуемые узлы сети. Трафик сканируется системой предотвращения вторжений для детализации информации.
На странице «Сводные отчеты» (Summary Reports) раздела «Оповещения сети» (Network Alerts) администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:
- Event Trend отображает график, предоставляющий информацию о количестве сетевых атак, посещениях подозрительных URL, обращений файлов к ботнет-сетям из виртуальной среды в течение определенного периода времени.
- Top Network Attacks отображает график, предоставляющий информацию о количестве и типе сетевых атак.
- Top Attacked Hosts отображает график, предоставляющий информацию о наиболее часто атакуемых хостах защищаемой сети.
- Top Communicated Botnet отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями.
- Top Botnet Infected Hosts отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями среди зараженных хостов защищаемой сети.
- Top Visited Suspicious URL Hosts отображает график, предоставляющий информацию о наиболее посещаемых подозрительных URL-адресах.
- Top Hosts Visiting Suspicious URL отображает график, предоставляющий информацию о хостах сети, наиболее часто посещающих подозрительные URL-адреса.
FortiSandbox сканирует перехватываемый трафик для выявления подключений к ботнет-серверам и сетевых атак, используя базу данных сигнатур системы предупреждения вторжений. Затем FortiSandbox сравнивает этот трафик с базой данных веб-фильтра.
Просмотр сетевых оповещений (взломщик, ботнет, URL) доступен на странице «Оповещения сети». Пользователю предоставляется развернутая информация и возможность создать файл отчета.
Рисунок 25. Страница «Оповещения сети»
Статистика обнаруженных URL
На странице «Сводные отчеты» раздела «Обнаруженные URL» (URL Detection) администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:
- Scanning Statistics отображает график, предоставляющий информацию об URL-адресах, сканируемых в ОС за выбранный период времени.
- Scanning Statistics by Type отображает график, предоставляющий информацию о типах URL, рейтинге и подсчете событий за выбранный период времени.
- Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени.
- Top Infectious URLs отображает график, предоставляющий информацию о наиболее популярных зараженных URL-адресах, обнаруженных в течение выбранного периода времени.
Страница «Подозрительные URL» (содержит информацию о URL-адресах, продемонстрировавших подозрительное поведение в «песочнице». Пользователю предоставляется развернутая информация и возможность создать файл отчета.
Чистые и неизвестные файлы, а также файлы без рейтинга отображаются на странице «Чистые URL».
Выводы
Сетевое устройство безопасности FortiSandbox является полнофункциональной сетевой песочницей, интегрированной с анализом угроз FortiGuard Labs и механизмами безопасности продуктов Fortinet, таких как FortiGate, FortiClient, FortiWeb и FortiMail, что позволяет в режиме реального времени обеспечить безопасность контролируемой сети и конечных точек на каждом уровне защиты.
В 2016 году FortiSandbox в составе новой платформы информационной безопасности Fortinet Security Fabric вошло Топ-10 продуктов для защиты сетей.
Физические устройства FortiSandbox предназначены для защиты вычислительных сетей крупных компаний и корпораций. Благодаря различным вариантам встраивания устройства могут распределять нагрузку и защищать удаленные сегменты сети. Использование таких устройств обусловлено их высокой производительностью. Однако использование дополнительных функций безопасности влечет за собой увеличение себестоимости решения.
Для небольших компаний Fortinet предлагает альтернативный вариант сетевой «песочницы» без снижения скорости обнаружения и реагирования на угрозы безопасности — FortiSandbox Cloud.
Достоинства:
- Высокая производительность и скорость анализа сетевого трафика.
- Наличие большого числа сетевых портов и возможность расширения за счет дополнительных интерфейсов.
- Поддержка нескольких сценариев развертывания.
- Интеграция с другими продуктами Fortinet, поддержка FortiGuard Labs.
- Поддержка масштабируемости и кластеризации.
- Управление единым средством централизованного управленияFortiManager.
Недостатки:
- Отсутствие русской локализации.
- Использование дополнительных функций безопасности и образов виртуальных машин требует приобретение дополнительных лицензий.