Как работает Песочница

Современные кибератаки все чаще ориентированы на конкретную отрасль (банки, ритейл, промышленность, госсектор, интернет-магазины и т.п.) или конкретную компанию. Уникальный характер таких угроз позволяет с легкостью обходить классические средства защиты – антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы и т.д. Конечная цель злоумышленников – перевести деньги в свою пользу, осуществить шпионаж, кражу ценной информации, вымогательство, остановить производство и вывести из строя оборудование. Такие средства по обнаружению современных атак, как песочница, а также превентивные меры (аналитика по инцидентам, локализация заражения в сети, действия по предотвращению атаки и исключению повторных инцидентов) помогают эффективно нейтрализовать целевые атаки.

Что такое песочница?

Песочница – механизм для безопасного исполнения программ. Песочницы часто используют для запуска непроверенного кода из неизвестных источников и обнаружения вирусов и закладок. У антивирусных средств простые методы обнаружения, такие как сигнатурный анализ, наличие поведенческого анализа, не позволяют обнаружить тщательно спланированное проникновение. А средства ATP полностью эмулируют запуск в работу файла на обычной ОС с полным анализом происходящего. По факту мы запускаем его на изолированной станции под пристальным наблюдением. Это особенно актуально в тех случаях, когда вредоносная программа выдерживает паузу в начале своей работы.

В песочницу не пойдет известный и заведомо вредоносный код, потому что вердикт и так понятен, межсетевой экран его не пропустит. Только если у межсетевого экрана недостаточно данных для принятия решения, он отправляет его в песочницу.

Песочница может быть облачной, а может работать на стороне заказчика, сути это не меняет. Код запускается, его поведение мониторится. Таким образом можно отследить, что происходит на виртуальной машине и посмотреть, что этот файл мог бы сделать, если бы попал на нашу машину.

Обычно не все межсетевые экраны умеют задерживать файл для получения вердикта от песочницы, требуется еще агент на рабочей станции. А нужен он затем, что после того, как файл скачан, проверка в песочнице не происходит мгновенно (производитель обычно гарантирует в районе 5 минут SLA). В любом случае у пользователя довольно много времени, чтобы этот файл открыть. Часто это целый комплекс технических решений на разных уровнях, который служит для одной задачи.

Вендоры поддерживают специализированные базы знаний, которые позволяют выделять большее число угроз. Есть репутационные проверки, когда, условно, у вас или в облаке проверили какой-то файл, и нет смысла его «гонять» заказчику по всему миру опять в таких же песочницах и выносить вердикт в каждой инфраструктуре. В этом случае используется репутационная модель, единая сеть безопасности. Туда попадает необходимая информация, а затем на ее основании формируется индикатор компрометации. То есть выявляется вредоносный файл, мы понимаем, как он работает, и в этом случае эффективнее разослать информацию о нем по своим клиентам. А в общую базу данных добавить сведения о том, как этот файл работает. Если он обратился к какому-то файлу, сделал переименование, совокупность этих факторов может означать индикатор компрометации, разослав который всем, мы можем быстро обнаруживать уязвимость, не прибегая к возможностям песочницы.

Проверка на вредоносность не должна идти первой в линии защиты. Сначала это могут быть межсетевое экранирование, антиспам, антифишинг, которые внедрены в почтовую систему, прокси-сервера, обнаружение вторжения на сетевом уровне, и только после прохождения файлом этих барьеров идет песочница – крайняя мера защиты. На этом этапе необходимо понимать, что оперативность проверки файла требует больших ресурсов, большой поток таких файлов повлечет за собой дополнительные затраты. Чтобы их сократить, необходимо сперва максимально эффективно использовать существующие средства защиты.