PT Sandbox

PT Sandbox проверяет все письма, поступающие на почтовый сервер, несколькими антивирусами, а также с помощью YARA-правил, разработанных экспертным центром PT ESC. Подозрительные файлы и ссылки дополнительно проверяются в изолированной виртуальной среде методом поведенческого анализа с настраиваемым машинным обучением. Это позволяет обнаруживать неизвестное, скрытое и маскирующееся вредоносное ПО и блокировать его попадание в контур компании.

PT Sandbox позволяет проверять файлы на наличие угроз перед их загрузкой на корпоративные сетевые ресурсы. Выявляет угрозы в файлах, передаваемых в корпоративных системах документооборота.

PT Sandbox обладает архитектурным преимуществом, позволяющим анализировать сложное вредоносное ПО на уровне гипервизора. Уникальный анализатор работает на трех уровнях: пользовательское пространство, ядро ОС и гипервизор, обеспечивая комплексную защиту как от массовых угроз, так и от редко встречающихся, но более опасных вредоносных программ — руткитов и буткитов.

PT Sandbox хранит дампы трафика и информацию о событиях. Благодаря этому эксперты SOC могут всесторонне изучить поведение обнаруженного вредоносного ПО. PT Sandbox упрощает проактивный поиск угроз и автоматизирует исследование подозрительных объектов, найденных в инфраструктуре.

Он анализирует объект сразу в нескольких виртуальных средах, записывает всю активность и предоставляет исследователю подробный граф поведения и полезные артефакты. Результаты анализа соотносятся с матрицей MITRE ATT&CK, помогают быстрее принять компенсирующие меры и понять, на каком этапе атаки находятся злоумышленники.

PT Anti-APT — комплекс для выявления сложных угроз, созданный на базе системы поведенческого анализа сетевого трафика PT NAD и сетевой песочницы PT Sandbox. Совокупность продуктов позволяет выявлять целевые атаки как на периметре, так и внутри сети, сокращая время скрытого присутствия злоумышленника в контуре компании.

PT NAD проверяет на наличие угроз копию трафика, перенаправленную с сетевого устройства. Файлы, передаваемые в трафике, PT NAD отправляет на анализ в PT Sandbox. Песочница проверяет, есть ли в них вредоносное содержимое, и возвращает вердикт в PT NAD.

PT Sandbox выполняет задачу анализа вредоносного ПО в составе XDR-решения Positive Technologies. MaxPatrol EDR передает файлы на проверку в PT Sandbox и в случае обнаружения угрозы блокирует ее на всех узлах. Данные о найденном вредоносном содержимом PT Sandbox передает в SIEM-систему.

PT Sandbox помогает выявлять атаки типа supply chain, направленные не на компанию, а на ее клиентов. В ходе такой атаки злоумышленники находят на веб-сайте уязвимость, которая позволяет разместить вместо легитимного файла вредоносный объект, эксплуатирующий уязвимость программы. При интеграции с межсетевым экраном уровня веб-приложений (web application firewall) PT Sandbox получает от него загружаемый документ, выявляет угрозу и позволяет ее заблокировать.

Интеграция PT Sandbox со средствами контроля и анализа трафика позволяет выявлять и блокировать вредоносное ПО в пользовательском веб-трафике, обеспечивая продвинутую многоуровневую защиту от целевых атак, сложного вредоносного ПО и угроз со стороны APT-группировок. PT Sandbox анализирует файлы из трафика, защищаемого межсетевыми экранами и межсетевыми экранами уровня веб-приложений, и возвращает вердикт о вредоносности файлов.

PT Sandbox обеспечивает безопасность данных в репозиториях разработки. Проверка собственных приложений с помощью поведенческого анализа перед их публикацией позволяет избежать участия в атаках на цепочки поставок, обеспечивая дополнительную безопасность пользователей.

Использование связки PT Sandbox и MaxPatrol VM позволяет реализовать в компании эффективный процесс управления уязвимостями и предотвратить потенциальную эксплуатацию злоумышленниками тех из них, для которых еще не выпущено исправление.