Зачем нужна песочница?

Злоумышленники постоянно развивают вредоносное ПО так, чтобы его не обнаруживали классические средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы.

Выявлять такое вредоносное ПО может отдельный класс решений — песочницы. Песочница запускает файл в изолированной виртуальной среде, анализирует действия, которые он совершает в системе, и выдает вердикт о том, безопасен этот файл или нет.

Наше решение

PT Sandbox – передовая песочница, которая позволяет защитить компанию от целевых и массовых атак с применением современного вредоносного ПО. Она поддерживает гибкую удобную кастомизацию виртуальных сред для анализа и обнаруживает угрозы не только в файлах, но и в трафике.

Интерактивный дашборд PT Sandbox
Система статического и динамического анализа для выявления вредоносных объектов – Positive Technologies Sandbox

Определяет все популярные векторы атак

PT Sandbox контролирует основные каналы передачи файлов и ссылок в инфраструктуре. Анализирует вложения электронной почты и документы в файловых хранилищах, которые загружаются на корпоративные сайты и скачиваются из интернета, а также выявляет угрозы в трафике корпоративной сети организации.

Возможности продукта

PT Sandbox — гибкая система защиты от новейших и актуальных для российского рынка угроз, адаптируется под специфику бизнеса благодаря:


  • гибкой кастомизации виртуальных сред: в них можно добавить специфическое ПО, которое действительно используется в компании и может стать точкой входа для злоумышленников;
  • уникальным «приманкам», провоцирующим вредоносное ПО совершить активные действия и выдать себя. Файлы-приманки содержат поддельные учетные записи, файлы конфигурации или другую информацию, имитирующую данные реальной инфраструктуры;
  • настраиваемому машинному обучению, которое повышает точность выявления неизвестных целенаправленных угроз. С его помощью анализируются более 8500 признаков поведения объекта: действия процессов, цепочки последовательностей вызовов API, сетевое взаимодействие, создаваемые вспомогательные объекты.

Установка на Astra Linux и поддержка анализа в средах с «РЕД ОС»

PT Sandbox поддерживает виртуальные среды с Windows различных версий и с российскими ОС, такими как Astra Linux и «РЕД ОС». Продукт определяет, на каком этапе находятся злоумышленники, и соотносит результат анализа с техниками и тактиками атакующих по матрице MITRE ATT&CK для Linux.

PT Sandbox полностью адаптирован и готов к установке на ОС Astra Linux.

И злоумышленники, и эксперты по информационной безопасности следят за тенденциями рынка. Одна из них — переход компаний из государственного сектора на ОС Astra Linux. Не все производители средств защиты информации уделяют должное внимание этой операционной системе. Учитывая предстоящие изменения, большое число её пользователей в результате могут оказаться под угрозой.

На вебинаре расскажем, с какими трудностями мы столкнулись при внедрении Astra Linux в PT Sandbox в качестве образа для анализа потока файлов и как дорабатывали систему динамического анализа DRAKVUF. Представим новые плагины для DRAKVUF на Linux: procmon, ptracemon, ebpfmon, unixsocketmon. Расскажем о покрытии матрицы MITRE ATT&CK под Linux.

Смотреть

PT Sandbox поддерживает работу в промышленных сетях

PT Sandbox обнаруживает неизвестное вредоносное ПО, нацеленное на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей. Продукт дает возможность кастомизировать среду эмуляции и «приманки» с учетом специфики инфраструктуры промышленного предприятия.

Промышленность входит в тройку наиболее атакуемых отраслей в РФ. Основным рабочим методом злоумышленников в этой отрасли стабильно остается применение вредоносного ПО.

На вебинаре мы познакомимся с промышленной версией песочницы PT Sandbox. Она позволяет выявлять действия специфических зловредов, нацеленных на инфраструктуру промышленных предприятий. Разберем ряд кейсов с выявлением подобных угроз, а также рассмотрим, какие задачи PT Sandbox решает в составе PT ICS — комплексного решения для защиты АСУ ТП.

Смотреть

Почему необходима кастомизация виртуальных сред?

Вредоносные программы для целевых атак разрабатываются под конкретную компанию и используемое в ней ПО. Для их выявления в песочнице должен работать тот же софт, что и на реальной рабочей станции.

Вредоносная программа, созданная под Google Chrome, стоящий на ваших рабочих станциях, не запустится в песочнице, в которой стоит Edge. Как итог — песочница без кастомизации пропустит файл, и ваша компания будет скомпрометирована.

PT Sandbox решает эту проблему — настраивайте виртуальные среды так, как вам необходимо.

Подробнее о кастомизации

В статье на Хабре мы объясняем, почему нужно эмулировать работу реальных рабочих станций и как изменились техники вредоносных программ для обхода песочниц в последние годы, а также рассказываем, какие технологии применяем в продукте для защиты от подобных техник.

Вебинары о детектировании сложного вредоносного программного обеспечения

Руткиты: что это такое и чем опасно

Вебинары об экспертной эксплуатации PT Sandbox

Верификация срабатываний в PT Sandbox

Интеграция с продуктами Positive Technologies

Заходите в телеграм-чат о PT Sandbox. Наши эксперты ответят на вопросы, посоветуют полезные ссылки и будут держать в курсе новостей продукта.

Подписаться

Условия приобретения

Права на использование PT Sandbox предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗