PT Sandbox

PT Sandbox проверяет все письма, поступающие на почтовый сервер, несколькими антивирусами, а также с помощью YARA-правил, разработанных экспертным центром PT ESC. Подозрительные файлы и ссылки дополнительно проверяются в изолированной виртуальной среде методом поведенческого анализа с настраиваемым машинным обучением. Это позволяет обнаруживать неизвестное, скрытое и маскирующееся вредоносное ПО и блокировать его попадание в контур компании.

PT Sandbox позволяет проверять файлы на наличие угроз перед их загрузкой на корпоративные сетевые ресурсы. Выявляет угрозы в файлах, передаваемых в корпоративных системах документооборота.

PT Sandbox обладает архитектурным преимуществом, позволяющим анализировать сложное вредоносное ПО на уровне гипервизора. Уникальный анализатор работает на трех уровнях: пользовательское пространство, ядро ОС и гипервизор, обеспечивая комплексную защиту как от массовых угроз, так и от редко встречающихся, но более опасных вредоносных программ — руткитов и буткитов.

​​PT Sandbox поддерживает threat hunting — проактивный поиск угроз, а также глубокий ручной анализ вредоносных объектов, сохраняя дампы трафика и события: система исследует образцы в нескольких виртуальных средах, фиксирует их активность, формирует поведенческие графы и артефакты, сопоставляя результаты с MITRE ATT&CK для быстрого понимания стадии атаки и выбора мер реагирования.

PT Anti-APT — комплекс для выявления сложных угроз, созданный на базе системы поведенческого анализа сетевого трафика PT NAD и сетевой песочницы PT Sandbox. Совокупность продуктов позволяет выявлять целевые атаки как на периметре, так и внутри сети, сокращая время скрытого присутствия злоумышленника в контуре компании.

PT NAD проверяет на наличие угроз копию трафика, перенаправленную с сетевого устройства. Файлы, передаваемые в трафике, PT NAD отправляет на анализ в PT Sandbox. Песочница проверяет, есть ли в них вредоносное содержимое, и возвращает вердикт в PT NAD.

PT Sandbox выполняет задачу анализа вредоносного ПО вместе с решениями Positive Technologies по защите конечных устройств. MaxPatrol EDR передает файлы на проверку в PT Sandbox и в случае обнаружения угрозы блокирует её на всех узлах. Данные о найденном вредоносном содержимом  PT Sandbox передаёт в SIEM-систему.

PT Sandbox помогает выявлять атаки типа supply chain, направленные не на компанию, а на ее клиентов. В ходе такой атаки злоумышленники находят на веб-сайте уязвимость, которая позволяет разместить вместо легитимного файла вредоносный объект, эксплуатирующий уязвимость программы. При интеграции с межсетевым экраном уровня веб-приложений (web application firewall) PT Sandbox получает от него загружаемый документ, выявляет угрозу и позволяет ее заблокировать.

Интеграция PT Sandbox со средствами контроля и анализа трафика позволяет выявлять и блокировать вредоносное ПО в пользовательском веб-трафике, обеспечивая продвинутую многоуровневую защиту от целевых атак, сложного вредоносного ПО и угроз со стороны APT-группировок. PT Sandbox анализирует файлы из трафика, защищаемого межсетевыми экранами и межсетевыми экранами уровня веб-приложений, и возвращает вердикт о вредоносности файлов.

PT Sandbox обеспечивает безопасность данных в репозиториях разработки. Проверка собственных приложений с помощью поведенческого анализа перед их публикацией позволяет избежать участия в атаках на цепочки поставок, обеспечивая дополнительную безопасность пользователей.

Использование связки PT Sandbox и MaxPatrol VM позволяет реализовать в компании эффективный процесс управления уязвимостями и предотвратить потенциальную эксплуатацию злоумышленниками тех из них, для которых еще не выпущено исправление.