PT Sandbox: новая реальность требует новых подходов к защите инфраструктуры для заказчиков

Современное средство обеспечения информационной безопасности (ИБ) уровня предприятия обязано соответствовать реалиям корпоративных ИТ-инфраструктур. Невозможно гарантировать сохранность данных, если средства защиты не учитывают особенности внутренней сети компании — в особенности это касается крупных и средних организаций, которые являются наиболее привлекательными целями для злоумышленников и, как правило, имеют сложную, нетиповую инфраструктуру.

Компания Positive Technologies предлагает рынку отвечающее самым современным требованиям средство для защиты почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов, — передовую песочницу РТ Sandbox. Она доступна в канале ведущего¹ российского проектного ИТ-дистрибьютора OCS Distribution, который готов обеспечить обучение, поддержку в предпродажной подготовке и пилотировании этого нового инструмента корпоративной ИБ.

Проблема и решение

Пренебрегать вопросами информационной безопасности сетевой инфраструктуры в наши дни немыслимо. Исследование McAfee свидетельствует, что если в 2015 г. вредоносное ПО нанесло глобальному бизнесу ущерб в 500 млрд долл. США, в 2019-м эта сумма достигла 2 трлн долл., а уже в 2021-м выйдет на уровень 6 трлн. IBM оценивает средний убыток, который терпит бизнес из-за утечки данных, в 3,92 млн долл., а Gartner предсказывает рост мировых расходов на кибербезопасность к 2022 г. до 133,7 млрд долл. По  оценке Verizon, 52% всех брешей в периметре информационной безопасности вручную проделывают злонамеренные хакеры, 28% приходится на долю самораспространяющегося вредоносного ПО, а прочее — фишинг и старые добрые методы социальной инженерии. При этом среднее время, затрачиваемое ИТ- и ИБ-специалистами организации на выявление бреши, составляло в 2019 г. семь месяцев, по данным IBM.

Выявлять вредоносный код постфактум, по известным наперёд формальным признакам вроде контрольных сумм, в современных условиях контрпродуктивно. Злоумышленники непрерывно совершенствуют свой инструментарий так, чтобы ни сам факт атаки на инфраструктуру, ни применяемое для этой цели вредоносное ПО не обнаруживались классическими средствами защиты: антивирусами, брандмауэрами, почтовыми и веб-шлюзами. И всё же выход есть: можно создать для объектов, попадающих в инфраструктуру извне, промежуточную виртуальную среду. Своего рода карантинную зону, в которой потенциально опасные объекты могут быть полноценно исполнены: документы открыты с использованием полностью легитимной копии офисного пакета, исполняемый файл запущен в адекватном программном окружении и т. д.

Такая среда в англоязычном обиходе носит название sandbox, а по-русски о ней говорят как о «песочнице» (хотя для обозначения противопожарного оборудования, которое в данном случае и имеется в виду, адекватнее было бы применять более громоздкий термин «ящик с песком»). Смысл работы ИБ-песочницы — в надёжном разделении виртуальных машин внутри неё и всех прочих узлов защищаемой инфраструктуры. В результате вредоносный код, попадая в песочницу, обнаруживает там подходящий объект для заражения и делает своё чёрное дело, — но никакого реального ущерба компании не наносит. Песочница же анализирует происходящее в изолированной среде и выносит вердикт об опасности или безопасности исследуемого кода, будь то приложенная к электронному письму картинка или переправленный внутри Zoom-конференции текстовый документ.

Позитивные вибрации

Передовую песочницу РТ Sandbox, призванную значительно повысить защищённость сети заказчика от целевых и массовых атак с применением вредоносного ПО, в том числе эксплуатирующего уязвимости «нулевого дня», разработала и предлагает Positive Technologies. История этой компании с 900 сотрудниками (250 из них — эксперты собственного исследовательского центра безопасности, включая специалистов по защите ERP, SCADA, банков, телеком-операторов и т. д.) насчитывает 18 лет исследований и разработок в области ИБ. Глубокие НИОКР легли в основу инновационных решений и продуктов, позволяющих выявлять, верифицировать и нейтрализовывать реальные бизнес-риски, которые могут возникать в ИТ-инфраструктуре предприятий. Именно Positive Technologies обеспечивала безопасную работу сервисов, необходимых для перемещения болельщиков, регистрации компаний-перевозчиков и набора волонтёров в ходе российского ЧМ-2018. Также на счету компании опыт экспертного сопровождения глобальных событий, таких как Олимпийские игры в Сочи и выборы Президента РФ.

С помощью механизма гибкой кастомизации РТ Sandbox формирует набор виртуальных сред, позволяющий анализировать с целью выявления угроз не только файлы (например, почтовые вложения), но и весь генерируемый внутри виртуальной машины во время проверки сетевой трафик, включая шифрованный. Последнее особенно важно с прикладной точки зрения: если оставлять без внимания трафик, можно пропустить вредоносную сетевую активность файла, который иным образом себя никак не проявляет, — например, обращение ботнет-клиента к командному центру злоумышленника.

По оценке AV-Test, ежедневно в мире появляется 350 тыс. образцов вредоносного ПО, которые эксплуатируют в том числе и неизвестные на данный момент ИБ-специалистам уязвимости: понятно, что никакая антивирусная база в подобной ситуации не поможет своевременно отреагировать на угрозу. Поэтому всё чаще самые разные вендоры предлагают для защиты корпоративных сетей именно песочницы с интегрированными средствами ИБ-аналитики.

Однако все ли ящики с песком одинаково полезны? Одна из ярких маркетинговых характеристик песочниц — высокая производительность даже на скромном «железе». Но обрадует ли заказчика, если из десятков тысяч протестированных в песочнице за сутки вложений даже одно-единственное будет пропущено — и откроет злоумышленникам доступ к чувствительным данным?

Облачные песочницы в этом смысле надёжнее, поскольку аппаратные ресурсы для их запуска на стороне провайдера практически не ограничены. Но, доверяя свои данные облачному провайдеру, заказчик заведомо сам теряет над ними контроль, — а это устраивает далеко не всех. Ситуацию усугубляет то, что ради ускорения развёртывания песочниц и гарантированной стабильности их работы вендоры нередко поставляют их как стандартизованные виртуальные среды с минимальным набором ПО. Такие среды либо вовсе невозможно настроить под специфические требования ИБ-службы заказчика, либо обходится это крайне дорого — поскольку цену здесь по собственному усмотрению устанавливают вендоры, не слишком заинтересованные в том, чтобы клиенты массово кастомизировали их продукты.

Очевидно, важнейший критерий качества виртуального ящика с песком — качество детектирования им угроз, выражающееся в минимальном количестве как ложноположительных, так и ложноотрицательных срабатываний. А этого, в свою очередь, возможно достичь исключительно путём детальнейшей кастомизации виртуальной изолированной среды под конкретные аппаратно-программные параметры развёрнутой у заказчика инфраструктуры.

Вот почему подлинно эффективная песочница — не коробочный антивирус, который можно взять с полки в магазине и развернуть на любом ПК с одной и той же эффективностью. Для адекватного внедрения песочницы необходимо сочетание предусмотренных вендором широких возможностей кастомизации и обеспечиваемого интегратором скрупулёзного аудита клиентской сети.

Песочница РТ Sandbox в полной мере заслуживает права называться передовой, поскольку поддерживает гибкую кастомизацию — и позволяет тонкой настройкой виртуальных сред в точности эмулировать реальные рабочие станции заказчика. Так, если в компании пользуются браузером Chrome самой последней версии, то и на виртуальных машинах в песочнице будет развёрнут в точности такой же, а не браузер по умолчанию. В результате вредоносное ПО, рассчитанное на запуск именно в этом браузере, проявит себя в изолированной среде и будет своевременно обнаружено до того, как получит шанс заразить «боевые» ПК сотрудников.

Песочницам чрезвычайно важно обладать надёжной защитой от хакерских техник обнаружения. Если вредоносное ПО опознает, что находится в виртуальной среде, то условие его активации не будет выполнено. Проверяемый объект себя не проявит, будет признан безопасным — и попадёт в инфраструктуру предприятия с очевидными неприятными последствиями. Именно поэтому PT Sandbox не позволяет опознавать себя более чем 20 используемым злонамеренными хакерами техникам обнаружения песочниц. Кроме того, продукт предусматривает интеграцию с другими средствами ИБ того же разработчика, такими как система глубокого анализа трафика PT Network Attack Discovery и межсетевой экран для защиты веб-приложений PT Application Firewall.

Дистрибьютор всем поможет

Системные интеграторы и поставщики ИБ-решений найдут в PT Sandbox эффективное гибкое средство обеспечения безопасности в сетях корпораций, крупных и средних заказчиков, на которых в первую очередь как раз и нацелены хорошо продуманные кастомизированные кибератаки. Решение особенно придётся ко двору компаниям, ориентированным на использование отечественных программных разработок, равно как и крупным государственным и коммерческим структурам, учреждениям здравоохранения, науки, энергетики, банковской сферы, транспорта и другим.

Многие участники российского ИТ-канала располагают специалистами достаточной квалификации, чтобы самостоятельно произвести развёртывание PT Sandbox в инфраструктуре заказчика. Однако в любом случае не окажется лишней та поддержка, которую в развитие продуктового направления Positive Technologies предлагает своим партнёрам дистрибьюторская компания OCS, зарекомендовавшая себя на российском рынке сильнейшей ИТ-экспертизой и всегда готовая прийти на помощь партнёрам в работе с заказчиками.

Благодаря широкой сети офисов в 26 городах России, OCS оказывает дилерам услуги, актуальные при реализации сложных проектов. Интеграторам с проектами для крупных корпоративных и государственных клиентов наверняка пригодятся особые кредитные условия и иные финансовые сервисы (включая товарное кредитование, хеджирование валютных рисков и лизинг), которые можно получить как непосредственно в OCS, так и при её посредничестве в партнёрских компаниях. Дистрибьютор готов содействовать партнёрам и в предоставлении комплексной экспертизы в проектах, оказывать пресейловую поддержку, обучать специалистов дистанционно с использованием платформы ЗубрIT, предоставлять демонстрационную версию продукта.

Кроме того, в ходе развёртывания у заказчиков пилотных проектов с участием PT Sandbox, PT Application Firewall, PT Network Attack Discovery, PT Application Inspector партнёрам OCS будут доступны инженерные и интеллектуальные мощности как вендора, так и дистрибьютора.

Напомним, что сотрудничество OCS и Positive Technologies началось ещё в 2015 году, а сегодня дистрибьютор имеет возможность предлагать партнёрам различные решения вендора на базе аппаратных платформ разных производителей.

По поводу приобретения решений Positive Technologies и за бесплатными пилотными проектами PT Sandbox обращайтесь в компанию OCS.

¹ По данным рейтинга CRN/RE «Лучшие российские ИТ-дистрибьюторы 2019».

Статья на правах рекламы