PT Sandbox получил новые возможности для проактивного поиска угроз

Positive Technologies выпустила версию песочницы для защиты от целевых и массовых атак — PT Sandbox 4.0. В обновленном продукте расширены возможности для проактивного поиска угроз — threat hunting, благодаря гибкому поиску и настраиваемым параметрам фильтрации. Кроме того, PT Sandbox теперь поддерживает серверные операционные системы (ОС) Microsoft — Windows Server 2016 и Windows Server 2019. Это позволяет воспроизводить в песочнице соответствующие виртуальные машины и детектировать атаки, направленные на данные типы ОС.

В PT Sandbox 4.0 появился гибкий механизм поиска, который помогает аналитику ИБ искать следы компрометации и проверять гипотезы, выдвинутые в рамках threat hunting. Пользователи песочницы могут создавать сложные запросы для отбора заданий на анализ файлов. Среди возможных критериев — имена и форматы файлов, сетевые индикаторы, хеш-суммы, имена детектов, адреса отправителей и получателей писем, классы угроз и прочие текстовые подстроки. Это позволяет, например, найти в ретроспективе определенное вредоносное поведение и связать разрозненные, на первый взгляд, инциденты в единую цепочку атаки.

«PT Sandbox поможет выстроить threat hunting компаниям, не имеющим на текущий момент других средств мониторинга, обладающих функциональностью для threat hunting, например, систем анализа трафика. Зная признаки вредоносной программы, атакующей определенную отрасль, тип бизнеса или страну, пользователи песочницы могут настроить повторяющийся уточненный поиск для обнаружения этой киберугрозы», — комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies.

Для расширения возможностей имитации реальной инфраструктуры компании в PT Sandbox добавлена поддержка Windows Server 2016 и Windows Server 2019.

«Мы расширяем возможности нашей песочницы и теперь воспроизводим в виртуальных средах не только рабочие станции пользователей, но и серверные машины. Это позволяет PT Sandbox детектировать атаки, заточенные под серверные операционные системы», — говорит Ольга Тихонова, менеджер по разработке PT Sandbox.

Сделать работу с PT Sandbox еще удобнее для пользователей позволила новая система хранения событий. Сейчас в интерфейсе продукта в режиме реального времени отображается статус выполнения каждого задания и обновляются данные по результатам статического и динамического анализа файлов. Специалист по ИБ еще до завершения сканирования может отслеживать статусы выполнения заданий и совершать их проверку, сверяясь с правилами экспертного центра безопасности Positive Technologies PT Expert Security Center (PT ESC).