Найти в Дзене
CISOCLUB - информационная безопасность
8540 подписчиков

Типовые сценарии использования песочниц

4
9 мин
Оглавление
Изображение: recraft
Изображение: recraft

История

Песочницы — многозначный термин, который используется в самых разных областях. Например, в противопожарной безопасности песочница —это ёмкость для хранения негорючих материалов для оперативного тушения возгораний, например песка. В науке песочницы — это экспериментальные зоны, в которых можно тестировать новые идеи или разработки. Понятие песочницы прочно укоренилось и в сфере информационных технологий (ИТ) и кибербезопасности, и именно этот аспект мы рассмотрим в нашей статье.

История использования песочниц в ИТ восходит к ранним этапам развития компьютерных технологий. В 1967 году компания IBM представила архитектуру System/360 с операционной системой CP/CMS (Control Program/Cambridge Monitor System), которая позволяла запускать несколько изолированных сред — операционных систем, каждая из которых имела свой набор виртуальных устройств.

Разработка продемонстрировала большие возможности виртуализации, показав, что её можно использовать для изоляции кода и защиты системы от различных угроз. Принципы, заложенные в CP/CMS, до сих пор лежат в основе современных песочниц, активно применяемых для обеспечения безопасности в ИТ.

В начале 2000-х годов широкое распространение получили песочницы в виде специализированного решения, и их актуальность только растёт на фоне постоянно усложняющихся угроз.

Область применения

Изоляция среды и создание виртуальных двойников помогают минимизировать риски для основной системы, поэтому песочницы получили широкое применение в разных областях. Однако при использовании таких решений важно чётко понимать основные принципы работы, их возможности и ограничения.

Концепция в ИТ

Песочницы предоставляют изолированное пространство для выполнения программного кода или запуска отдельных приложений. Благодаря этому разработчики могут безопасно тестировать, анализировать, дорабатывать продукт, а так же проводить эксперименты без угрозы сбоев и негативного воздействия на связанные элементы или повреждения основной системы.

Концепция в ИБ

В области кибербезопасности термин «песочница» (NIST SP 800-95) определяется как «система, которая позволяет недоверенным приложениям работать в строго контролируемой среде с ограниченным набором разрешений, изолируя их от системного контекста». Запуская потенциально вредоносный код в песочнице, специалисты по кибербезопасности могут наблюдать за его поведением, не подвергая опасности основную систему. Это помогает им идентифицировать угрозы, анализировать вредоносное ПО и оперативно вырабатывать меры реагирования.

Несмотря на разнообразие решений, все песочницы в ИБ основаны на одном принципе: изоляции и мониторинге выполняемого кода.
Рассмотрим наиболее распространённые типы песочниц:

  • Песочница приложений: ограничивает доступ приложений к системным ресурсам и данным, предотвращая их влияние на всю систему в целом. Например, песочницы для приложений Android/iOS.
  • Механизм контроля доступа пользователей Windows (UAC): ограничивает права программ, выполняемых пользователем.
  • Песочница веб-объектов: изолирует действия веб-браузера от остальной части клиентской системы. Пример: атрибут iframe sandbox в HTML5.
  • Песочница виртуальной машины Java (JVM)
  • Песочницы для анализа вредоносных программ: изолируют среду исследования объектов от производственных сред и предоставляют функции для детального отслеживания поведения. Примеры: функция Windows Sandbox (Windows 10+), Cuckoo Sandbox, Kaspersky Research Sandbox, SecBox.

Варианты использования

Программно-аппаратные песочницы, облачные песочницы, изолированные контейнеры — примеры реализации песочниц, используемых в сфере кибербезопасности. Каждый из этих инструментов обладает уникальными возможностями и находит применение в различных сценариях.

Среди возможных сценариев использования песочниц есть несколько наиболее распространённых:

  • Песочница для анализа потока данных;
  • Песочница как инструмент исследователя в области кибербезопасности;
  • Песочница как виртуальная лаборатория.

Каждый из этих вариантов имеет свои особенности. Так, в случае использования песочницы для анализа потока данных необходимо предусмотреть наличие механизмов для балансировки нагрузки между множеством экземпляров песочниц, а также мониторинга загруженности каждого экземпляра. Ещё одним важным элементом являются интерфейсы приёма объектов на сканирование. Они могут включать как специализированные механизмы, такие как протокол ICAP, обеспечивающий быстрое клиент-серверное взаимодействие с возможностью предоставления бинарного результата сканирования («хороший»/«плохой»), так и более гибкие интерфейсы, такие как OpenAPI. OpenAPI позволяет не только принимать объект и возвращать бинарный вердикт, но и предоставляет доступ к интерфейсу мониторинга загруженности системы, а также расширенным данным по анализу объекта, таким как структура графа активности для визуализации в стороннем интерфейсе или показания телеметрии, собранные в процессе исполнения объекта.

При использовании песочницы как исследовательского инструмента или виртуальной лаборатории для обучения на первое место выходит наличие расширенного набора получаемых артефактов. Среди них особо ценны подробный аналитический отчет, дампы памяти операционной системы и отдельных системных процессов, списки системных вызовов, сетевые взаимодействия исследуемого объекта, а также дополнительные файлы, созданные в процессе сканирования. Этот перечень можно продолжить, однако важно, чтобы все доступные аналитические данные предоставлялись специалисту в удобном для восприятия и анализа виде. В противном случае обилие доступной информации теряет ценность из-за сложности её использования.

Интеграция

Не стоит также упускать из виду интеграционные возможности современных песочниц, которые позволяют реализовать многоуровневые адаптивные системы кибербезопасности. Получая в песочницах ценную информацию о тактиках, техниках и процедурах (TTPs) злоумышленников, её можно использовать для обогащения других решений, к примеру:

  • SIEM (Security Information Events Management): песочницы предоставляют системам SIEM полный обзор событий безопасности и позволяют командам безопасности сопоставлять различные типы угроз, обогащая их потоком индикаторов компрометации (IoC).
  • EDR (Endpoint Detection and Response): песочницы могут обогащать системы EDR индикаторами компрометации (IoC), что позволяет автоматически блокировать вредоносные объекты на уровне конечных точек, а также автоматизировать исследование киберинцидентов.
  • NGFW (Next Generation Firewall): информация, собранная в результате анализа поведения вредоносных образцов в песочнице, может быть использована для повышения эффективности сигнатур обнаружения IDS/IPS или списков контроля доступа (ACL) в сети.
  • Систем мультисканирования: такие приложения служат интеграционным уровнем: они собирают различные типы файлов (документы, изображения, исполняемые файлы) из разных источников и передают их в песочницу для сбора информации о поведении этих объектов. Полученные данные возвращаются в виде короткого ответа в систему мультисканирования, что помогает принять решение о блокировке объекта в автоматическом режиме. Это, в свою очередь, позволяет предотвратить или снизить риск негативного воздействия исследуемого объекта на системы и сети компаний, использующих комплексное решение.

Сложности и ограничения

Несмотря на широкие возможности обнаружения угроз в песочницах, киберпреступники выработали ряд методов, позволяющих определять окружение, в котором исполняется их вредоносное ПО, и скрывать рабочую логику при анализе в песочнице. Эти методы (Sandbox evasion techniques) позволяют зловредам оставаться незамеченными и продолжать распространяться угрожая крупным компания и частным пользователям.

Методы уклонения

Один из распространённых методов уклонения, используемых злоумышленниками — так называемые проверки системы (System Checks). Он заключается в поиске определённых файлов или каталогов, которые часто встречаются в песочницах. Например, вредоносное ПО может попытаться обнаружить файлы, связанные с виртуальными машинами, инструментами отладки, защитными решениями, а также проверять наличие определённых аппаратных или программных конфигураций, характерных для изолированных сред. Обнаруживая эти и другие аномалии, вредоносное ПО может определить, что оно выполняется в песочнице и, соответствующим образом скорректировать своё поведение.

Некоторые зловреды разработаны таким образом, чтобы не выполнять никаких вредоносных действий сразу после запуска. Эта техника, известная как Time based evasion, может быть эффективной для противодействия песочницам, имеющим ограничения по времени исполнения или вычислительным ресурсам.

Для сокрытия деятельности вредоносного ПО широко используются дополнительные методы уклонения, такие как перехват API (перехват и модификация системных вызовов), использование руткитов для модификации ядра операционной системы, а также подмена процессов посредством инъекции вредоносного кода в легитимные системные процессы.

Чтобы противодействовать этим методам, производители песочниц постоянно улучшают свои решения, делая песочницы менее заметными для злоумышленников. Однако, даже если вредоносное ПО успешно определяет своё нахождение в песочнице, оставленные при этом следы имеют высокую ценность для анализа. Эти следы обязательно повлияют на итоговый скоринг объекта и будут включены в итоговый отчет, на основе которого аналитики смогут сделать обоснованные выводы об истинной природе объекта.

Заключение

Технологии песочниц, когда-то бывшие нишевым инструментом для специалистов по кибербезопасности, сегодня стали неотъемлемой частью комплексных систем защиты информации. Они играют важную роль в предотвращении кибератак благодаря возможности изолировать потенциально вредоносный код для анализа.

Развитие песочниц тесно связано с несколькими ключевыми направлениями. В первую очередь это интеграция с технологиями машинного обучения, позволяющая более точно определять неизвестные угрозы и адаптироваться к постоянно меняющемуся ландшафту киберугроз. А также рост числа кибератак требует увеличения вычислительных ресурсов для использования песочниц, поэтому производители развивают облачные варианты песочниц.

Однако, несмотря на все преимущества, песочницы сталкиваются с рядом вызовов, в числе которых появление более изощрённых методов обхода и вероятность ложных срабатываний. Для их решения необходимо продолжать развивать технологии, усиливать сотрудничество между исследователями, разработчиками и пользователями в части обмена информацией киберразведки. Это будет способствовать созданию более эффективных и надёжных решений, способных противостоять современным киберугрозам.

📷
📷

Автор: Антон Тихонов, эксперт решений по защите от сложных угроз в «Лаборатории Касперского».

Оригинал публикации на сайте CISOCLUB: "Типовые сценарии использования песочниц".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.