PT Sandbox — специальная система имитации корпоративной инфраструктуры ("песочница") для маскировки реальной ИТ-системы и защиты ее от массовых атак с применением современного вредоносного ПО. Система дает возможность быстро создавать набор настраиваемых виртуальных сред с учетом различий в наборах софта, например, у бухгалтера и разработчика; обнаруживает угрозы в файлах и трафике (в том числе шифрованном) и закрывает все возможные направления проникновения вредоносного ПО в сеть организации. PT Sandbox обнаруживает и блокирует как распространенные зловреды (например, шифровальщики, вайперы), так и сложный инструментарий хакерских группировок (руткиты, буткиты); позволяет моделировать точные профили рабочих станций пользователей – вплоть до версии операционной системы и браузера, что дает возможность обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки).Особенность продукта - обнаружение неизвестного ранее вредоносного ПО, разработанного для атак на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей.
Сегодня атакующе ПО использует различные способы обхода песочниц - например, распознает свое нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. PT Sandbox избегает обнаружения подобными техниками и заставляет зловредное ПО проявить себя.
Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Встроенный механизм ретроспективного анализа
перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если ранее файл не казался подозрительным, хотя и содержал в себе элементы нового, ранее нигде не выявленного, вредоносного кода, то с обновлением сигнатур PT Sandbox обнаружит угрозу сразу же сообщит об этом.
PT Sandbox прошла сертификационные испытания ФСТЭК России и может применяться в государственных информационных системах, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Сертификат №4604 действителен до 25 октября 2027 г. PT Sandbox подтвердила соответствие техническим условиям и требованиям нормативного документа «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утв. приказом ФСТЭК России от 2 июня 2020 г. №76) по 4 уровню доверия.
Среди возможностей продукта — добавление виртуальных сред с поддержкой операционных систем Astra Linux и «Ред ОС» для имитации реальной инфраструктуры и выявления атак с применением специфического вредоносного ПО, заточенного под данные ОС. Возможность кастомизации виртуальных сред для анализа поведения файлов позволяет госсектору и отечественным организациям, как уже использующим эти OC, так и планирующим установить их, выявлять сложные атаки с применением вредоносного ПО, специально заточенного под их инфраструктуру и рабочие станции.
В состав виртуальных сред включены кастомизированные приманки, которые помогают обнаружить вредоносные программы, направленные на ОС Astra Linux и «Ред ОС», и вовремя обнаружить атаки на инфраструктуру компаний. Приманки имитируют файлы и процессы, характерные для государственных организаций. Кроме того, песочница Positive Technologies с помощью поведенческого анализа теперь обнаруживает вредоносный код в установочных пакетах DEB и RPM.
Продукт обеспечивает комплексный анализ объектов за счет комбинации методов обнаружения ВПО: статического анализа несколькими антивирусами, проверки правилами PT ESC, поведенческого анализа с настраиваемым машинным обучением. Результаты поведенческого анализа потенциально опасных файлов сопоставляются с тактиками и техниками из матрицы MITRE ATT&CK для Linux-систем и операционных систем семейства Windows для превентивных и компенсирующих мер защиты. Функция мониторинга сетевых портов позволяет контролировать сетевые соединения, инициированные вредоносным ПО, с помощью более 7 тыс. сетевых правил, позволяющих системе анализа трафика PT Network Attack Discovery выявлять атаки на периметре и внутри сети. В процессе поведенческого анализа gродукт разбирает и проверяет на вредоносное содержимое не только установочные пакеты DEB, но и все файлы в них по отдельности.
Интеграция со средством проверки ссылок по индикаторам компрометации Positive Technologies Indicators of Compromise (PT IoC) обогащает детекты и избавляет от необходимости писать точечные правила, что позволяет аналитикам ИБ быстрее и более полно проводить анализ киберинцидента. Благодаря этому в PT Sandbox повыcилась точность и скорость обнаружения угроз. Например, в точечном срабатывании указывается класс вредоносной программы, ее название или имя эксплойта.
Для борьбы с распространением вроденосных программ через упаковщики функция статистического анализа PT Sandbox распаковывает установочные пакеты, созданные при помощи ASPack, FSG, MPRESS, PECompact и UPX. Это позволяет песочнице Positive Technologies эффективно обнаруживать работу пентестерского и хакерского инструментария, которого невозможно выявить динамически.
При проверке PDF-файлов PT Sandbox относит к потенциально опасным те из них, которые зашифрованы, содержат объекты OLE, сценарии JavaScript или в которых настроены действия при открытии, так как файл может запустить обращение к вредоносному ресурсу. При необходимости клиент может задать любые другие критерии для определения небезопасных PDF-документов.
Особенность PT Sandbox - обнаружение буткитов, нового опасного класса вредоносного ПО. Буткиты внедряются до загрузки операционной системы и помогают другому вредоносному ПО незаметно закрепиться в ней до запуска. Для их выявления специалисты Positive Technologies разработали технологию, по заявлению представителей компании, не имеющую аналогов на российском рынке песочниц. Специальный плагин bootkitmon в PT Sandbox детектирует буткиты как старого образца (разработанные под BIOS), так и современные (ориентированные на прошивку UEFI, например Mosaic Regressor, TrickBoot и FinSpy) на всех этапах их работы. На российском рынке сетевых песочниц защита от подобного рода киберугроз представлена впервые.
По итогам первых внедрений PT Sandbox, основной канал атак вредоносного ПО (49%) - почтовый трафик. Для отражения таких атак PT Sandbox обезвреживает письма с вредоносным вложением. Если вложение представляет угрозу, то система самостоятельно удаляет прикрепленный файл. Безопасные сообщения при этом приходят без задержек, чтобы работа песочницы не замедляла бизнес-процессы.
Для борьбы с фишингом PT Sandbox автоматически проверяет гиперссылки в электронных письмах. Фишинговые ссылки, переход по которым запускает загрузку вредоносного вложения, — классический элемент целенаправленной атаки на компанию через ее сотрудников. По статистике Positive Technologies, в 2022 г. злоумышленники доставляли вредоносное ПО в организации через электронные письма в 42% случаев.
Гибкий механизм поиска помогает аналитику ИБ искать следы компрометации и проверять гипотезы, выдвинутые в рамках threat hunting. Пользователи песочницы могут создавать сложные запросы для отбора заданий на анализ файлов. Среди возможных критериев — имена и форматы файлов, сетевые индикаторы, хеш-суммы, имена детектов, адреса отправителей и получателей писем, классы угроз и прочие текстовые подстроки. Это позволяет, например, найти в ретроспективе определенное вредоносное поведение и связать разрозненные, на первый взгляд, инциденты в единую цепочку атаки. Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.
Индустриальная версия песочницы, входящая в состав PT Industrial Cybersecurity Suite, получила образ виртуальной машины для анализа поведения файлов в промышленной ИТ-инфраструктуре. Этот образ воспроизводит рабочую станцию оператора, инженера АСУ ТП и содержит профильные программы Siemens, TRACE MODE, Wonderware.
Кроме того, в PT Sandbox расширена интеграция с другими продуктами Positive Technologies – PT Network Attack Discovery, PT Application Firewall, Maxpatrol SIEM. Так, теперь песочница может передавать в MaxPatrol SIEM информацию не только о проверенных файлах, но и о ссылках. Кроме того, из интерфейса PT Sandbox можно в один клик перейти в карточку сессии PT Network Attack Discovery, во время которой был обнаружен и отправлен на анализ подозрительный файл.