Компания Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО. Продукт предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.

Песочница PT Sandbox позволяет моделировать точные профили рабочих станций пользователей, вплоть до версии ОС и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).

Как поясняют в компании, злоумышленники развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели, и подобное ПО можно обнаружить только в песочнице. Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным, например, только с одним браузером. Вредоносные файлы, которые рассчитаны на наличие другого браузера, вплоть до совпадения версий, в такой ситуации не срабатывают. Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.

PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться вредоносное ПО, которое пытается скрыть себя. Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов даже при высокой нагрузке. Кроме того, PT Sandbox имеет механизм ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 ч, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы нового, ранее нигде не выявленного, вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.

Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.

PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies – Network Attack Discovery, Application Firewall, MaxPatrol SIEM – и обогащает их знаниями об угрозах, связанных с вредоносным ПО.