Строим эффективный конвейер файлового трафика для песочницы

Поиск баланса между глубиной исследования и пропускной способностью становится ключевой задачей построения архитектуры ИБ. И в этом случае на помощь приходит концепция многоуровневой фильтрации и оркестрации файлов.

Автор: Алексей Дашков, директор центра развития продуктов NGR Softlab

Современные песочницы (Sandbox) давно перестали быть просто модным дополнением к корпоративному антивирусу. Сегодня это мощнейший инструмент динамического анализа, необходимый для выявления целевых атак и сложной вредоносной нагрузки. Но чем основательнее становится анализ, тем острее ощущается классическая проблема любой системы глубокой проверки: как пропустить через сито анализа весь объем входящих данных, не потеряв при этом в производительности?

Проблема "дикого запада" файловых потоков

Чтобы понять, почему даже самая совершенная песочница может оказаться бесполезной, нужно посмотреть, как файлы попадают в организацию. В типовом крупном Enterprise существует множество точек входа: корпоративная почта (шлюзы и клиенты), прокси-серверы, FTP-репозитории, файловые хранилища и веб-приложения, загружающие пользовательский контент.

Чаще всего в компании нет единого центра управления этими потоками. Файлы обрабатываются разрозненно: где-то работает антивирус на почтовом шлюзе, а где-то – DLP на прокси-сервере. Песочницы же, если они есть, подключаются точечно и получают далеко не все подозрительные объекты на анализ. Что имеем в итоге?

• Дублирование нагрузки – один и тот же файл может быть проверен несколькими СЗИ по пути следования. Статистика показывает, что из 100 тыс. файлов, поступающих за сутки, уникальными оказываются лишь 10–15 тыс., а остальные 85% – дубликаты, и это дополнительно нагружает СЗИ.
• Слепые зоны – потоки со второстепенных (на первый взгляд) каналов связи остаются без динамического анализа.
• Шум – песочница захлебывается от мусора. Вместо анализа сложных APT-угроз, она вынуждена переваривать тонны безобидных обновлений ПО, изображений, рекламных баннеров и макросов, которые лучше было отсеять на ранних этапах. При этом каждое 500-е письмо может содержать реальную угрозу, но обнаружить ее в общем потоке становится все труднее.

Источники трафика и их особенности

Основной объем файлового трафика компании генерирует электронная почта, на которую приходится до 70% всего потока. Через нее проходят преимущественно офисные документы, PDF и архивы, причем около 85% объектов дублируются (пользователи во вложениях по кругу гоняют одни и те же документы), а значительная часть представлена небольшими файлами сравнительно безопасных форматов вроде изображений или текстов.

Чтобы подготовить почтовый трафик для песочницы, необходимо уметь распаковывать архивы (не все СЗИ корректно работают с архивами), проводить дедупликацию по хешам, исключая из динамического анализа файлы txt, png, jpg, mp4 меньше 1 МБ, – это снижает нагрузку на песочницу до 70% и убирает из очереди те файлы, чья проверка в эмуляторе заведомо бессмысленна. Дополнительно лучше применять технологию CDR для очистки документов от макросов и скриптов, чтобы пользователь мог получить обезвреженный файл немедленно, не дожидаясь результатов глубинного анализа из песочницы.

Веб-трафик, занимающий второе место по объему, несет в себе исполняемые файлы, архивы и скрипты, поэтому к нему требуется применять усиленный контроль: особое внимание следует уделять EXE-объектам, а зашифрованные архивы без явно переданного пароля лучше не пропускать вовсе, так как подбор паролей к архивам на потоке может создавать довольно высокую нагрузку на песочницу.

Мессенджеры отличаются жесткими требованиями к скорости доставки – задержка даже в 30–60 сек. здесь недопустима, поэтому в этом канале приоритет отдается CDR и статическому анализу, а на динамический анализ попадают лишь объекты, вызывающие обоснованные подозрения после первичной проверки.

В сетевых хранилищах файлы живут годами, создавая риски каскадного заражения, поэтому применительно к ним оптимальным решением является контроль потока в момент копирования. Если требуется сканирование уже накопленных данных, то стоит проводить его в часы минимальной нагрузки, временно заменяя подозрительные файлы ярлыками с уведомлением пользователя о проверке.

Наконец, трафик из СЭД, CRM и ERP на 95% состоит из документов размером 1–10 МБ. Здесь на первый план выходит защита от утечек, а песочница подключается только для особо подозрительных объектов, не перегружая систему анализом заведомо безопасных данных.

Умный хаб вместо разрозненных сенсоров

Нам нужен не просто еще один антивирус, а оркестратор, который возьмет на себя функции диспетчера. Именно такой подход реализован в Системе управления безопасностью файлов (СУБФ)1, разработанной NGR Softlab.

Основная идея заключается в том, чтобы превратить хаотичное движение файлов в четкий конвейер (Pipeline). Все входящие файлы, независимо от источника их появления (почта, веб-трафик, сменные носители, сетевые папки), стекаются в единый хаб. Здесь они проходят первичную обработку и классификацию, и только потом направляются к конкретным инструментам детектирования – будь то сигнатурный антивирус, песочница или система класса DLP (см. рис. 1).

Рис. 1. Как работает Система управления безопасностью файлов

Такой подход решает сразу несколько задач, критически важных для эффективной работы песочницы.

Задача 1: подготовка трафика

Первая и главная боль любой песочницы – нагрузка. Современные высокоинтерактивные песочницы эмулируют работу целой операционной системы, запуская файл в виртуальной среде. Это требует времени и ресурсов. Запускать там каждый входящий PDF-файл – непозволительная роскошь.

Система управления безопасностью файлов берет на себя роль сита. Она применяет политики, которые отсеивают до 90–95% входящего потока еще до того, как дело дойдет до эмуляции. Как это работает?

• Верификация по типу и размеру. Небольшие файлы безопасных форматов отсеиваются сразу.
• Дедупликация. Дубликаты файлов не попадают в СЗИ повторно в течение заданного периода времени.
• Статический анализ. Проверка на соответствие формату, выявление мусорных данных или простейших упаковщиков.
• Репутация. Обращение к базам репутации файлов.

В результате в песочницу уходит не более 1% от исходного потока. Это именно те файлы, которые действительно вызывают подозрения после первичного анализа: новые исполняемые файлы, документы с подозрительными макросами или файлы, пришедшие из нетипичного для компании источника. Песочница перестает работать как мусоросжигательный завод, превращаясь в инструмент глубокого анализа для сложных угроз.

Задача 2: классификация, нормализация и обогащение контекстом

Даже 1% трафика, который отправляется в песочницу, требует подготовки. Просто перебросить файл из почтового шлюза в песочницу недостаточно для качественного анализа.

Оркестратор обогащает файл метаданными перед отправкой в СЗИ, добавляя:

• источник – откуда пришел файл (внешняя почта, USB-носитель конкретного сотрудника, скачивание по HTTP);
• классификацию – файл содержит персональные данные или коммерческую тайну;
• результаты первичных проверок – что показали антивирусы на первом уровне, есть ли подозрения на шифровальщик (по поведенческим признакам на уровне агента).

Так песочница получает не просто сырой файл, а полноценную карточку с набором тегов. В свою очередь, это позволяет организовать эффективную маршрутизацию файла по цепочкам СЗИ без лишних этапов проверки и с максимальной скоростью обеспечения эффективной защиты.

Задача 3: оркестрация множества песочниц и других СЗИ

В крупных инфраструктурах редко используется одна песочница, а также могут применяться решения от разных вендоров: одни лучше детектируют угрозы для Windows, другие специализируются на Android или Linux, третьи используются для изоляции проверки APT. СУБФ в этом случае выступает в роли маршрутизатора.

Мы можем выстроить конвейер следующим образом:

1. Файл приходит в систему.
2. Определяются его тип (PE-файл, скрипт, документ Office) и категория содержимого (ПДн).
3. Запускается политика: все исполняемые файлы отправлять в песочницу А, все документы Office – сначала в DLP, затем в песочницу Б для глубокой эмуляции офисных приложений.
4. Результаты из разных СЗИ собираются обратно в оркестратор, коррелируются, и выдается единый вердикт.

Система управления безопасностью файлов как центр оркестрации

Именно роль центрального оркестратора выполняет СУБФ от NGR Softlab. Она становится единой точкой контроля, через которую проходят все файлы независимо от их источника. Система берет на себя рутинные, но критически важные задачи: дедуплицирует входящий поток по хешам, определяет реальный тип файла по сигнатурам, может самостоятельно выявлять вредоносные образцы по их характерным признакам с помощью YARA-правил, а при необходимости очищать содержимое от потенциально опасных элементов с помощью технологии CDR. На основе гибких правил и кастомных цепочек проверок СУБФ маршрутизирует объекты в нужные СЗИ – антивирусы, песочницы, DLP-системы – равномерно распределяя нагрузку между ними и не допуская возникновения узких мест. После завершения всех проверок система собирает результаты в едином окне, формирует консолидированные отчеты.

С технической стороны решение легко встраивается в существующую инфраструктуру благодаря поддержке протоколов ICAP, FTP, SFTP, S3, NFS/SMB и отправке логов по Syslog. При типовой инсталляции система способна обрабатывать до 200 тыс. файлов в сутки на обычных HDD, что делает ее пригодной для компаний любого масштаба без необходимости покупки дорогостоящего оборудования.

Почему так лучше?

Помимо чисто технических аспектов, создание хаба для файлов дает важные организационные преимущества. У многих клиентов сегодня нет единого окна для расследования инцидентов, связанных с файлами. Журналы почтового шлюза живут отдельно, отчеты песочницы – отдельно, а DLP-системы фиксируют факт отправки файла, но не видят, что с ним было дальше.

Централизованная система управления безопасностью файлов становится единым реестром. Она позволяет:

• проследить полный жизненный цикл файла внутри периметра;
• автоматически реагировать на угрозы: если спустя час после проверки песочница (получив обновленные сигнатуры) изменила вердикт с "чисто" на "заражено", то оркестратор может найти все копии этого файла в почтовых ящиках или файловых хранилищах и поместить их в карантин;
• формировать отчетность для регуляторов о том, как именно обрабатываются входящие данные.

Будущее: от среды исполнения к поведенческому движку

Будущее песочниц действительно лежит в плоскости гибридных решений. Мы уже видим, как технологии EDR и Sandbox сближаются: поведенческий анализ на хосте дополняет эмуляцию в изолированной среде.

Но какой бы сложной ни стала песочница завтрашнего дня, ей всегда будет требоваться чистый, отфильтрованный и контекстно-обогащенный входной поток. И в этом смысле Система управления безопасностью файлов перестает быть просто опцией и становится обязательным элементом зрелой инфраструктуры информационной безопасности. Она не подменяет собой песочницу, а выводит ее работу на качественно новый уровень, позволяя командам ИБ заниматься реальными угрозами, а не разбором завалов из файлового мусора.

1. https://www.ngrsoftlab.ru/multicheck

Реклама: ООО «ЭнДжиАр Софтлаб». ИНН 7730252130. Erid: 2SDnjc62Xx6