Positive Technologies представила пятую версию песочницы для защиты от целевых и массовых атак с применением вредоносного ПО — PT Sandbox. Возможности обновленного продукта будут особенно актуальны для российских компаний, уже использующих отечественное ПО или переходящих на него. Среди важных изменений — установка на Astra Linux, а также добавление виртуальных сред с поддержкой российских операционных систем Astra Linux и «РЕД ОС».
Ловим атаки на Astra Linux и «РЕД ОС»
За счет поддержки виртуальной среды «РЕД ОС» в PT Sandbox 5.0 расширились возможности имитации реальной инфраструктуры. Кроме того, в песочнице можно воспроизводить операционную систему Astra Linux, среда которой была добавлена в предыдущем релизе. В новой версии продукта специалисты Positive Technologies наполнили эти виртуальные среды кастомизированными приманками, которые помогают обнаружить вредоносные программы, направленные на ОС Astra Linux и «РЕД ОС», и вовремя обнаружить атаки на инфраструктуру компаний. Приманки имитируют файлы и процессы, характерные для государственных организаций. Кроме того, песочница Positive Technologies с помощью поведенческого анализа теперь обнаруживает вредоносный код в установочных пакетах DEB1 и RPM2.
Таким образом, PT Sandbox 5.0 позволяет государственным ведомствам, субъектам КИИ и другим отечественным организациям выявлять сложные атаки с применением вредоносного ПО, специально разработанного под их инфраструктуру.
Снижаем требования к аппаратному обеспечению
Одним из ключевых изменений песочницы стало снижение требований к аппаратным ресурсам до 30% (по данным результатов тестирования Positive Technologies) и достижение вендоронезависимости, что позволяет компаниям уменьшить затраты на приобретение оборудования. Теперь PT Sandbox можно развернуть на серверах с прошивкой BIOS или UEFI. Кроме того, песочницу Positive Technologies можно установить на российскую операционную систему Astra Linux 1.7, а ранее полученный сертификат соответствия ФСТЭК разрешает использовать ее в государственных информационных системах до первого класса защищенности.
«Наша команда разработки проделала огромную работу, чтобы максимально покрыть регуляторные требования, которые организации обязаны соблюдать при переходе на отечественное ПО. Релиз включает обновления, которые позволяют PT Sandbox распознавать вредоносные программы и хакерские инструменты, созданные злоумышленниками специально для атак на российские компании. Такой подход позволяет выстроить более эффективную и персонализированную защиту от актуальных киберугроз», — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies.
Обезвреживаем почту и проверяем гиперссылки в письмах
По результатам пилотных проектов по внедрению PT Sandbox, больше всего вредоносного ПО (49%) было найдено в почтовом трафике. Чтобы не допустить проникновение вредоносных программ в корпоративную сеть, PT Sandbox обезвреживает письма с вредоносным вложением. Если вложение представляет угрозу, то система самостоятельно удаляет прикрепленный файл. Безопасные сообщения при этом приходят без задержек, чтобы работа песочницы не замедляла бизнес-процессы.
Также в PT Sandbox появилась автоматическая проверка гиперссылок в электронных письмах. Фишинговые ссылки, переход по которым запускает загрузку вредоносного вложения, — классический элемент целенаправленной атаки на компанию через ее сотрудников. По статистике Positive Technologies, в 2022 году злоумышленники доставляли вредоносное ПО в организации через электронные письма в 42% случаев.
Доставляем экспертизу за 2,5 часа
PT Sandbox регулярно получает сведения о новейших вредоносных программах. Для этого специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) постоянно отслеживают активность хакерских группировок, анализируют актуальные киберугрозы и разрабатывают способы их детектирования, которые затем передают в продукты. Уникальная экспертиза позволяет выявлять и предотвращать атаки на ранних этапах.
«PT Sandbox практически в 100% случаев обнаруживает общие угрозы с помощью специальных расширений, не требующих непрерывного обновления. Это стало возможным благодаря унификации и оптимизации продвинутых модулей обнаружения, — рассказывает Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center). — При этом совместно с нашей командой threat intelligence мы видим, как инструменты атакующих меняются, поэтому создали механизм доставки экспертных пакетов в PT Sandbox в пределах 2,5 часов. Это позволяет закрыть оставшиеся доли угроз, требующих незамедлительной реакции. Важно, что быстрые процессы выпуска экспертных пакетов не оказывают негативного влияния ни на качество обнаружения, ни на производительность продукта, и максимально позволяют защитить наших клиентов от новейших угроз».
Другие улучшения
Новая версия PT Sandbox содержит обновления, облегчающие работу специалистов по ИБ и ускоряющие реагирование на киберугрозы. Результаты поведенческого анализа потенциально опасных файлов сопоставляются с тактиками и техниками из матрицы MITRE ATT&CK для Linux-систем (песочница также покрывает аналогичную матрицу для операционных систем семейства Windows) — это помогает операторам понять, на какой стадии атаки находятся злоумышленники, и принять превентивные или компенсирующие меры защиты. Чтобы аналитики ИБ имели все необходимые для расследования данные, в частности о том, какой ущерб инфраструктуре мог нанести зловред, PT Sandbox определяет его класс — в карточку объекта добавлено специальное поле с кратким описанием типа вредоносной программы и ее функциями.
Важное обновление для компаний, которые используют PT Sandbox для защиты не только корпоративного, но и технологического сегмента. Индустриальная версия песочницы, входящая в состав PT Industrial Cybersecurity Suite3, получила образ виртуальной машины для анализа поведения файлов в промышленной IT-инфраструктуре. Этот образ воспроизводит рабочую станцию оператора, инженера АСУ ТП и содержит профильные программы Siemens, TRACE MODE, Wonderware.
Кроме того, в PT Sandbox расширена интеграция с другими продуктами Positive Technologies: так, теперь песочница может передавать в MaxPatrol SIEM информацию не только о проверенных файлах, но и о ссылках. Кроме того, из интерфейса PT Sandbox можно в один клик перейти в карточку сессии PT Network Attack Discovery, во время которой был обнаружен и отправлен на анализ подозрительный файл.
Заявку на пилотный проект PT Sandbox 5.0 можно оставить, заполнив форму. Действующие пользователи смогут обновить версию продукта, обратившись в техническую поддержку.
- Формат пакетов программного обеспечения, используемого для Debian и производных дистрибутивов, таких как Linux Mint, Kali Linux, Ubuntu.
- Формат пакетов программного обеспечения, используемого для дистрибутивов Linux.
- Платформа для выявления киберугроз и реагирования на инциденты в промышленных системах от компании Positive Technologies.