Среди инструментов кибербезопасности есть те, что уже давно стали необходимым набором – золотым стандартом обеспечения защиты, и те, которые компании внедряют для усиления эффекта, когда этого требует специфика инфраструктуры и бизнеса. Если вы задумались о песочнице (Sandbox), то очевидно, уровень зрелости ИБ в компании уже достаточно высок, чтобы применять дополнительные методы фильтрации и оценки вредоносных ПО.
Когда нужна песочница?
Основные каналы распространения вредоносного ПО – это почта и веб-трафик. Даже если в компании настроены классические средства защиты – антивирусы, антиспамы, межсетевые экраны, IPS, почтовые и веб-шлюзы, все равно риск проникновения злоумышленников в инфраструктуру с помощью 0-day уязвимостей.
В большинстве антивирусов по умолчанию работает сигнатурный анализ, который не способен защитить от 0-day уязвимостей. А если, к тому же, обновление сигнатурных баз настроено условно на интервал раз в сутки, это позволит злоумышленникам беспрепятственно проникнуть и закрепиться в инфраструктуре компании. Кроме того, злоумышленники постоянно придумывают новые техники обхода защиты антивирусов, поэтому компаниям, чья инфраструктура представляет особый интерес для целевых и массовых атак, прибегают к дополнительным инструментам мониторинга и анализа распространяемых вредоносов.
Песочница (Sandbox) – это одно из таких решений, которое позволяет внутри обособленной виртуальной среды провести динамический анализ подозрительных файлов, ссылок. Песочница максимально имитирует рабочую станцию в сети, поэтому вирус, оказавшись внутри песочницы, начинает воспроизводить все свои действия. И если принцип антивируса – обнаружить и заблокировать опасность, то песочница позволяет определить паттерн поведения нового зловреда.
Чем удобна песочница?
Песочницы как дополнительные решения по выявлению и защите инфраструктуры компании позволяют без риска заражения системы и влияния на инфраструктуру зафиксировать следы аномальной или вредоносной активности, проанализировать его действие на разных ОС и в том числе оценить реакцию антивирусных решений.
Кроме того, песочница помогает автоматизировать процесс анализа файлов и за короткое время дает развернутый ответ специалисту, что содержится внутри подозрительного файла или ссылки. Если полученные данные выявляют новую аномалию, они, как правило, переходят в руки реверс-инженеров и аналитиков по threat intelligence для более глубинного исследования.
Поэтому можно отметить следующие преимущества:
- Изолированность: нет риска заразить систему, все конфиденциальные данные компании остаются сохранными;
- Поддерживают самые популярные ОС, позволяют проанализировать действие вредоноса сразу на разные типы систем;
- Скорость и автоматизация: могут анализировать файлы и ссылки на потоке по заранее определенным параметрам;
- Гибкость при интеграции: можно ставить как “в разрыв”, так и на зеркалированный трафик;
- Позволяют формировать актуальную базу знаний о новых вредоносах, усиливать защиту от атак злоумышленников;
- Снижают нагрузку на специалистов по мониторингу угроз ИБ.
Какую песочницу выбрать?
Позволить себе разработать собственное решение могут далеко не все компании, да и в случае даже крупных ИТ-гигантов это не всегда необходимо – потребуется огромное количество ресурсов (финансы, люди, время), чтобы воплотить в жизнь то, что уже в принципе создано опытными вендорами ИБ-услуг. Поэтому, по сути, существует два способа внедрить песочницу в инфраструктуру компании – покупка решения для самостоятельного использования или подписка на облачный сервис.
И если в первом случае необходима самостоятельная интеграция решения и дальнейшее обслуживание собственными силами ИБ-подразделения, то в случае SaaS-модели – это возможность использовать сервис провайдера без дополнительной нагрузки на штат сотрудников.
Нет однозначного решения, какая модель поставки лучше, – все зависит от специфики и потребностей компании. Если компания располагает штатом сотрудников и видит необходимость самостоятельно проводить расследования аномалий и инцидентов, то конечно, ей следует интегрировать песочницу в инфраструктуру компании. Более того, возможны варианты одновременного использования сразу нескольких продуктов от разных вендоров, если требования компании к информационной безопасности крайне высокие. Например, именно к такому решению мы пришли внутри VK.
Но если компания понимает, что в ее модели рисков угрозы 0-day не так велики или она не располагает таким количеством сотрудников ИБ, чтобы уделять время расследованию угроз, это функцию можно делегировать надежным поставщикам.
Что предусмотреть при установке песочницы?
Если компания приняла решение об установке песочницы в инфраструктуру, необходимо тщательно продумать принцип ее архитектурного внедрения. Чтобы результат ее работы был максимально эффективным, чтобы общий уровень защищенности рос и действительно показывал, что те или иные вектора атак перекрываются, очень важна правильная интеграция.
Например, если два основных канала поступления вредоносных файлов из почтового или сетевого трафика, то песочницу необходимо установить «в разрыв» этих трафиков. При этом важно учесть объем этих трафиков, чтобы работа песочницы не вызвала деградацию каналов связи и не наносила урон бизнесу. Здесь необходимо правильно рассчитать нагрузку с учетом потенциального роста компании хотя бы на ближайшие 1-2 года, и соответственно, провести пилотные нагрузочные тестирования песочницы. Кроме того, в рамках пилотирования песочницы необходимо определить свой Detection Rate – сформировать максимально широкую выборку по типам вредоносов, которые будет обрабатывать песочница.
Подводные камни
Надо понимать, что ни одна песочница не гарантирует 100% защиту от проникновения вредоносного ПО. На любое действие возникает противодействие, и злоумышленники находят способы обхода в том числе и изолированных виртуальных машин. Как это происходит? Например, могут применять отсрочку запуска вредоносного кода, пользуясь тем, что большинство песочниц анализируют файлы или ссылки в ограниченные временные сроки, или запрос на взаимодействие с пользователем, обнаружение реальной среды или функций системы. Поэтому даже любой автоматизированный процесс стоит держать на контроле и перепроверять специалистами по ИБ.
Автор: Никита Галимов, руководитель отдела обработки и реагирования на инциденты ИБ VK.
Оригинал публикации на сайте CISOCLUB: "Использование песочниц (Sandbox) для обеспечения кибербезопасности: преимущества и ограничения".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
