Решения типа Sandbox («песочница») становятся всё популярнее. Они позволяют выявлять сложные и индивидуализированные вредоносные программы в почтовом и веб-трафике. Компания может интегрировать песочницу в свою сеть самостоятельно, а может обратиться к сервис-провайдеру. Второй вариант более экономичен и менее трудозатратен для заказчика. За счёт чего формируется эта экономия?
1. Введение
2. Как работает песочница
3. Варианты реализации песочницы
4. Песочница для защиты почтового трафика
4.1. Традиционная модель
4.2. Сервисная модель
5. Песочница для защиты веб-трафика
5.1. Традиционная модель
5.2. Сервисная модель
6. Выводы
Введение
Сегодня базовых средств ИБ, таких как антивирусы, прокси-серверы, системы обнаружения вторжений, антиспам-решения, межсетевые экраны и другие, уже недостаточно для обеспечения реальной кибербезопасности организации. С февраля количество кибератак на российские компании впечатляюще растёт. И если в I квартале это в основном были массовые атаки на каналы связи (DDoS) и веб-сайты, то сейчас увеличилось число точечных ударов по конкретным отраслям и организациям. Профессиональные злоумышленники используют самостоятельно разработанные инструменты и уязвимости «нулевого дня», которые не распознаются классическими сигнатурными и репутационными решениями. Для защиты от ранее неизвестных угроз, сложных вредоносных программ и целевого фишинга разработан класс решений под названием Sandbox («песочница»).
Как работает песочница
Песочница — это изолированная виртуальная среда для безопасного открытия файлов и запуска программ. Она имитирует функциональную операционную систему, благодаря чему вредоносная программа «решает», что попала на настоящий компьютер, и начинает выполнять нежелательные действия. Песочница анализирует активность файла и либо блокирует его, либо пропускает дальше.
Обычно песочница интегрируется в сеть организации для дополнительной проверки файлов в почтовом и веб-трафике. При этом решение крайне редко устанавливают как единственный инструмент защиты. Чтобы не «засорять» виртуальную среду большим количеством файлов и не замедлять её работу, трафик сначала фильтруют первичными базовыми средствами: антиспам-фильтрами, межсетевыми экранами, прокси-серверами, потоковыми антивирусами. В песочницу же попадают замаскированные файлы, обнаружить которые обычный антивирус не может.
Важно интегрировать песочницу в инфраструктуру так, чтобы она именно блокировала угрозы. Обычного обнаружения (когда в систему отправляются копии файлов) недостаточно: угроза достигнет цели. Поэтому для почтового и веб-трафика песочницу требуется устанавливать «в разрыв». При этом веб-трафик необходимо проверять весь, включая SSL.
Песочница для защиты почтового трафика
В качестве примера возьмём компанию из 500 сотрудников, каждый из которых пользуется корпоративной почтой. Мы исходим из того, что почтовый канал не защищён антиспам-решением, поэтому сравниваем традиционную модель (закупка антиспама с песочницей) и сервисный подход (защита электронной почты (SEG) + Sandbox).
#Аналитика
#бизнес
#РТК-Солар
#сетеваябезопасность
#sandbox
