Скорость работы песочницы PT Sandbox выросла в девять раз

В девять раз снизилось количество серверного оборудования, требуемого на аналогичную нагрузку год назад

Positive Technologies представила новую версию сетевой песочницы для защиты от сложного вредоносного ПО — PT Sandbox 5.17. По сравнению с релизом 5.7, вышедшим год назад, производительность продукта выросла в девять раз, при этом качество обнаружения осталось на высоком уровне. Таких результатов удалось добиться за счет совокупности новых возможностей, реализованных в песочнице в течение года.

Одним из самых значимых обновлений, благодаря которым скорость работы PT Sandbox выросла, стало увеличение количества виртуальных машин, параллельно запускаемых на одном узле поведенческого анализа. Команда разработки оптимизировала процессы эмуляции аппаратного обеспечения, внедрив модули перехвата системных вызовов для проверок. Это позволило ускорить запуск анализа поведения файлов, а также увеличить объем регистрируемых событий информационной безопасности и повысить вероятность обнаружения киберугроз. 

Вторым фактором, который повлиял на повышение производительности продукта, стала предварительная фильтрация файлов. PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те объекты, которые отвечают установленным политикам ИБ. Обновленная песочница позволяет настроить фильтрацию объектов под конкретные сценарии, связанные в том числе с сезонными проектами компаний, например с важными конференциями, предоставлением финансовой отчетности, презентациями новых решений. Команда детально проработала набор экспертных параметров для определения потенциально опасных объектов. Благодаря этому администраторы, которые работают с продуктом, могут либо сделать проверки более глубокими, либо ускорить работу системы, сократив объем данных для поведенческого анализа.

Изменения в работе с очередностью проверки файлов также повлияли на скорость PT Sandbox. Файлы, отправленные на поведенческий анализ, всегда проверяются в порядке очереди, а начиная с версии PT Sandbox 5.15 этой очередью можно управлять. Администраторам доступен просмотр деталей, отмена заданий, повышение и понижение приоритета файлов. Вместе с этим улучшена внутренняя логика очередей, например появилась возможность использования результатов предыдущих проверок. В условиях больших потоков файлов, на обработку которых может уйти от нескольких часов до нескольких дней, эта функциональность заметно ускоряет работу PT Sandbox.

Благодаря новым возможностям песочница требует в девять раз меньше¹ аппаратных ресурсов для запуска виртуальных машин. Клиенты, которые уже используют продукт, смогут гибко подстроить PT Sandbox под масштабирование инфраструктуры. Новым пользователям последняя версия позволит сэкономить на «железе», но при этом выстроить эффективные и управляемые процессы обнаружения сложных угроз.

Действующие пользователи могут обновить продукт до версии 5.17, обратившись в техническую поддержку, или самостоятельно через интерфейс PT Sandbox.

Обо всех технологиях, появившихся в песочнице за прошедший год, команда расскажет 10 декабря в 14:00 на вебинаре «PT Sandbox: синергия экспертизы и функциональности».

1. Средний результат, полученный с 10 000 почтовых ящиков, на которых проводилось тестирование.