Песочницу часто воспринимают как "запустили – посмотрели – решили". На практике все сложнее: поток объектов потенциально бесконечный, часть атак в ней не раскрывается, обходы стали нормой, а выбор между быстрым и глубоким анализом – это всегда компромисс. Где у динамического анализа реальные границы и какое место ему отвести рядом с EDR и поведенческой аналитикой – об этом мы и спросили экспертов.
Эксперты:
- Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC
- Алексей Дашков, директор центра развития продуктов компании NGR Softlab
- Юрий Иванов, технический директор ООО “АВ Софт”
- Сергей Крутских, менеджер по развитию бизнеса в “Лаборатории Касперского”
- Кирилл Одиноков, начальник центра контроля безопасности стороннего ПО, СберТех
- Константин Рудаков, лидер продуктовой практики PT Sandbox
- Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз, F6
Есть ли объективный предел размера объектов, которые имеет смысл отправлять в песочницу, и по каким практическим критериям его определять?
Алексей Дашков, NGR Softlab
Есть вполне логическое объяснение ограничения размера объектов, отправляемых в песочницу. Атакующие редко используют тяжелые файлы для первичного проникновения (они шумные). Обычно вектором являются легкие скрипты (VBS, PowerShell) или документы Office (до 10 Мбайт). Поэтому есть смысл ограничить динамический анализ файлами размером до 30 Мбайт, если вам отдельно не нужно проверить APK-/ISO-файлы. Все, что выше, целесообразнее проверять статическим анализатором.
Константин Рудаков, Positive Technologies
Важно учитывать сложность и формат объекта. Во-первых, проверке поддается как большой, но простой по структуре файл, так и небольшой, который может содержать множественные вложения других объектов и вредоносные мини-программы. Во-вторых, на предел размера влияют форматы больших объектов, которые оказываются несовместимы с запуском в конкретной операционной системе, например слепки виртуальных машин или целых дисков. Подобные критерии можно выявить при предварительной проверке (статическом анализе), не открывая при этом сам файл.
Юрий Иванов, АВ Софт
Объективного порога нет, так как он определяется пропускной способностью системы и временем анализа. Обычно вводят ограничения исходя из трафика (например, до 1 Гбайт) и отправляют более крупные объекты в песочницу только при наличии признаков подозрительности. При этом появляются новые типы крупных объектов, например модели ИИ (веса, датасеты, дампы памяти в форматах pkl, pth и др.). В нашей практике реализован анализ таких файлов, включая объекты размером более 100 Гбайт, полученных из открытых источников.
Сергей Крутских, "Лаборатория Касперского"
Файлы, которые поступают на проверку в песочницу, можно разделить на две группы. Первая – это небольшие файлы, которые передаются по сети и могут быть проверены на потоке. Такие файлы весят немного (до 200 Мбайт) и составляют до 95% от объема всех проверяемых образцов. Как правило, это почтовые вложения и файлы, скачанные по сети (документы, исполняемые файлы и др.). Вторая группа – это тяжелые файлы (более 200 Мбайт), которые, как правило, не передаются по сети и не используются во время атак. Например, это может быть загруженный в песочницу Linux-образ для анализа кода.
Кирилл Одиноков, СберТех
Если мы говорим об исследовании достаточно крупных системных комплексов, необходимо разделить исследуемый объект на простые артефакты, объединенные одним набором логических функций. Это могут быть отдельные вспомогательные утилиты, крупные программные модули, или исполняемые файлы с набором необходимых библиотек. Размер таких артефактов может варьироваться в зависимости от технологического стека, и выдать какую-то абсолютную верхнюю границу размера будет неправильно.
Дмитрий Черников, F6
Лимит определяется не столько мегабайтами, сколько сценарием применения песочницы. В поточных песочницах для почты, веб-трафика и агентского анализа размер файла критичен: важно уложиться в допустимое время обработки потока. В исследовательской песочнице допустимы более крупные объекты и гибкие сценарии анализа. Поэтому корректнее говорить не о потолке, а о балансе между скоростью, полнотой проверки и задачей анализа. F6 MDP поддерживает 338 форматов и автоматически подбирает пароли к зашифрованным архивам, включая поиск пароля в цепочке писем и может быть как потоковой песочницей, так и исследовательской.
Какие этапы атаки или техники принципиально плохо раскрываются в песочнице даже при корректной настройке среды?
Сергей Крутских, "Лаборатория Касперского"
Песочница – это мощный инструмент по выявлению киберугроз. Важную роль в этом процессе играет корректная установка и настройка решения. Однако данный класс решений менее эффективен против детектирования техник, которые входят в MITRE, например Reconnaissance (разведка) или Resource Development (подготовка ресурсов). Классические песочницы слабо раскрывают атаки на домен, Active Directory и др. Песочницы типа Next Generation данную проблему решают.
Шаих Галиев, Positive Technologies
Базовый сценарий не предусматривает обнаружения фишинга, социальной инженерии, принуждения пользователя к различным манипуляциям на рабочей станции. Малоприменимы также сценарии с обнаружением атак с сетевой эксплуатацией уязвимостей публикуемых серверных приложений. Поэтому современным песочницам необходимо постоянно совершенствовать механизмы статического, репутационного и действующего в динамике с внешними ресурсами анализа объектов. В том числе необходимо поддерживать интеграцию с другими системами защиты, к примеру с EDR- и NTA-/NDR-решениями.
Кирилл Одиноков, СберТех
Я считаю, что хуже всего раскрываются отложенные сценарии и проверки на виртуальную среду. Сложно также анализируются атаки, завязанные на внешнюю инфраструктуру. Даже корректно настроенная среда не всегда воспроизводит реальные условия эксплуатации.
Дмитрий Черников, F6
Песочница ограниченно раскрывает техники, которым нужен реальный контекст инфраструктуры или длительное присутствие: горизонтальное перемещение, многошаговая эскалация привилегий, атаки с отложенной полезной нагрузкой, а также действия через штатные инструменты ОС, если их смысл проявляется только в длинной цепочке. Именно поэтому в MXDR F6 песочница MDP работает в связке с EDR и NTA – каждый модуль закрывает слепые зоны другого.
Юрий Иванов, АВ Софт
Как правило, сложно раскрываются техники, зависящие от длительного времени ожидания, взаимодействия пользователя или специфической инфраструктуры, то есть атаки, активируемые только при наличии внутренних сервисов. При этом часть таких сценариев может выявляться по статическим и поведенческим индикаторам. Кроме того, современные песочницы позволяют настраивать более длительный анализ и различные профили среды выполнения.
Алексей Дашков, NGR Softlab
Прежде всего есть техники обхода песочницы, которые проверяют состояние окружения на хосте и позволяют ВПО не светиться в окружении песочницы. Существуют также бесфайловые угрозы, когда файлы не записываются на диск, все хранится в оперативной памяти. Кроме того, можно отметить руткиты, которые выполняются на уровне ядра, и песочница их просто не зарегистрирует.
Какие методы обхода песочниц сегодня наиболее эффективны и какие архитектурные решения действительно усложняют их применение?
Шаих Галиев, Positive Technologies
Я бы отметил сложные, комбинированные цепочки атак, использующие методы психологического воздействия на пользователя, включая фишинг с применением социальной инженерии. Поэтому современным песочницам важно взаимодействовать с многоуровневыми решениями для защиты электронной почты: функции антифишинга и глубокая антивирусная поведенческая проверка используются в нашем решении для многоуровневой защиты почты PT Email Security. Сейчас также часто применяются технологии машинного обучения для семантического анализа писем на предмет яркой эмоциональной окраски, принуждения к действиям и подобных манипуляций с пользователем.
Юрий Иванов, АВ Софт
Наиболее распространены проверки виртуальной среды, многоступенчатые атаки и отложенная активация вредоносной логики. В ATHENA используется гибридная архитектура: глубокий мультисигнатурный статический и эвристический анализ выявляет значительную часть угроз еще до запуска в песочнице, а динамический анализ дополняет его поведенческими индикаторами. Дополнительно поддерживаются кастомизация сред выполнения, настраиваемые индикаторы и модели ИИ для анализа артефактов.
Дмитрий Черников, F6
Сегодня наиболее результативны методы, которые позволяют вредоносному объекту распознать искусственную среду или скрыть полезную нагрузку до момента анализа: артефакты виртуализации, отсутствие пользовательской активности, таймерные задержки, а также простые техники антианализа ввиде зашифрованных архивов. В MDP F6 этому противостоят морфинг-профили с имитацией рабочей среды заказчика, эмуляция действий пользователя, полноценная сетевая доступность, а для почтовых сценариев – автоматический поиск паролей в тексте письма и связанных вложениях.
Кирилл Одиноков, СберТех
Наиболее эффективны тайминговые техники, отложенная активация и ожидание реальной активности пользователя. Усложняет их применение многоэтапный анализ: повторные запуски, изменение системного времени и имитация пользовательской активности. Важна не глубина одного запуска, а вариативность сценариев.
Можно ли считать легковесный анализ полноценной песочницей?
Сергей Крутских, "Лаборатория Касперского"
Мы не разделяем данное утверждение. Песочница – это набор большого количества движков, которые работают вместе, дополняют друг друга и позволяют использовать сложную детектирующую логику для выявления угроз.
Дмитрий Черников, F6
Нет. Легковесный анализ (статика, эмуляция, репутация) – это фильтр первой линии, но не песочница. Полноценная песочница предполагает исполнение объекта в реальной ОС с контролируемым окружением. MDP F6 поддерживает Windows и Linux, обе разрядности, автоматическую повторную детонацию в другой ОС при обнаружении несоответствия, видеозапись экрана и извлечение конфигурации ВПО. Статика хороша для скорости, но только динамика выявляет реальное поведение.
Юрий Иванов, АВ Софт
Легковесный анализ обычно нельзя считать полноценной песочницей. Как правило, это ускоренные методы: эмуляция, ограниченное исполнение или анализ отдельных признаков объекта. Они позволяют быстро отсеивать часть угроз, но не раскрывают полный поведенческий профиль. Поэтому на практике используется комбинированный подход. В ATHENA, например, реализован быстрый поведенческий анализ URL и сайтов в браузере, а при выявлении подозрительной активности объект может быть открыт уже в полноценной песочнице.
Алексей Дашков, NGR Softlab
Скорее нет, чем да. Основная задача песочницы – выявление угроз, которые сложно обнаружить тем же антивирусом. Легковесный анализ – это компромисс, который сильно снизит качество обнаружения угроз.
Кирилл Одиноков, СберТех
Нет, на мой взгляд легковесный анализ нельзя считать полноценной песочницей, это скорее быстрый предварительный этап, который дает базовое понимание и помогает отфильтровать объекты, но не способен полноценно воспроизвести поведение в реалистичной среде, отследить сложные цепочки действий. Полноценная песочница предполагает запуск в изолированной среде с возможностью углубленного анализа и дополнительных сценариев.
Константин Рудаков, Positive Technologies
Легковесный анализ не является полноценной заменой песочницы и может снизить уровень защищенности. Поэтому более эффективно проводить полную проверку потенциально опасных объектов на этапе предварительного (статического) анализа. И затем проверять в изолированной виртуальной среде песочницы поток файлов, отфильтрованный от заведомо безопасных и заведомо опасных объектов.
В каких сценариях песочница не заменяет EDR и поведенческую аналитику, а лишь дополняет их?
Дмитрий Черников, F6
Песочница эффективна для детонации объектов и первичного анализа, но не заменяет EDR и поведенческую аналитику там, где атака развивается уже в реальной инфраструктуре. Длительное присутствие, горизонтальное перемещение, бесфайловые техники, злоупотребление штатными утилитами и сетевые коммуникации лучше выявляются за счет телеметрии хоста и сети. Поэтому песочница – важный, но не единственный слой защиты.
Константин Рудаков, Positive Technologies
Не на всех источниках песочница может блокировать опасные объекты, получаемые пользователем в реальном времени. Отсюда и необходимость интегрировать песочницу с другими классами средств. Сами по себе классы песочницы и EDR значительно отличаются, но при этом дополняют друг друга: песочница позволяет EDR заранее проверять подозрительные файлы и осуществлять реагирование (блокирование файла, рабочей станции, сети) до момента реализации угрозы.
Юрий Иванов, АВ Софт
Песочница анализирует отдельные объекты (файлы, ссылки) до их попадания в инфраструктуру, тогда как EDR и поведенческая аналитика наблюдают за активностью уже на рабочих станциях и серверах. Как правило, песочница работает на периметре – почтовый трафик, ICAP, файловые хранилища. Таким образом она дополняет EDR, обеспечивая более раннее выявление вредоносных объектов. При этом важно, чтобы EDR поддерживал интеграцию с песочницей для обмена индикаторами, результатами анализа или для передачи файла на анализ, который прошел мимо песочницы.
Алексей Дашков, NGR Softlab
Песочница бессильна там, где нет файла для анализа. Она не заменяет EDR там, где вредоносная активность происходит в оперативной памяти. На этапе Lateral Movement, когда нужно смотреть сетевую активность между хостами. Аномалии на длинных временных промежутках также не подвластны песочницам.
Кирилл Одиноков, СберТех
Песочница не заменяет EDR и поведенческую аналитику в сценариях, где важны непрерывный мониторинг хостов, выявление действий уже внутри сети, расследование цепочки событий и быстрое реагирование на инцидент. Сама по себе песочница хорошо проверяет отдельные файлы и объекты в изоляции, но не видит полной картины поведения пользователя или процесса в реальной среде. Поэтому при тихой атаке, работе с легитимными утилитами и внутренних атаках песочница лишь дополняет защиту на рабочей станции.
Сергей Крутских, "Лаборатория Касперского"
Песочница и EDR – это два класса решений, которые прекрасно дополняют друг друга для детектирования сложных угроз. Существует ряд техник, которые более глубоко раскрываются в песочнице, нежели в классическом EDR при мониторинге хостовой телеметрии. Примерами таких техник являются Access Token Manipulation T1134, Process Injection T1055, Obfuscated Files or Information T1027 и др.
Если бы сегодня нужно было спроектировать систему динамического анализа заново, какой один принцип вы сделали бы ключевым – масштабируемость, реалистичность среды или поведенческую аналитику?
Кирилл Одиноков, СберТех
Я бы сделал ключевым принципом реалистичность среды, потому что без нее и масштабируемость, и поведенческая аналитика начинают терять смысл. Если объект понимает, что находится в искусственной среде, он просто не покажет настоящее поведение, и тогда хоть анализируй его, хоть собирай поведенческие сигналы, данные будут неполными или ложными.
Сергей Крутских, "Лаборатория Касперского"
При проектировании песочницы большой упор следует делать на возможности имитации инфраструктуры (домен, Active Directory, работ пользователя в домене, доступность некоторых сервисов внутри имитируемой инфраструктуры).
Шаих Галиев, Positive Technologies
Масштабируемость без двух столпов экспертизы песочницы (реалистичности среды и поведенческой аналитики) не принесет результата. Поскольку решения со слабыми возможностями персонализации под реальную инфраструктуру и ограниченными средствами аналитики могут быть уязвимы даже перед массовыми атаками с использованием вредоносного ПО.
Дмитрий Черников, F6
Ключевым принципом я бы сделал реалистичность среды. Без нее масштабируемость теряет смысл: объекты обрабатываются быстро, но вредоносный код распознает искусственное окружение и не раскрывает поведение. Поведенческая аналитика тоже работает полноценно только там, где образец действительно исполнился. Поэтому реалистичность – фундамент динамического анализа, а масштаб и аналитика должны строиться уже поверх него.
Алексей Дашков, NGR Softlab
Я бы сделал ключевым принципом реалистичность среды. Потому что это единственный принцип, без которого все остальные теряют смысл. Можно построить бесконечно масштабируемую систему с самым мощным поведенческим анализом, но если вредоносная программа с помощью техник Evasion обнаружит, что она находится в виртуальной среде или песочнице, она просто не запустит свой вредоносный код.
Юрий Иванов, АВ Софт
Ключевым принципом я бы выбрал реалистичность среды, потому что именно она напрямую влияет на способность раскрывать современные угрозы и снижать эффективность Anti-Sandbox техник. Масштабируемость и поведенческая аналитика критически важны, но без правдоподобной среды даже мощная аналитика может не увидеть полезной активности. На практике оптимальна гибридная архитектура, где реалистичность среды дополняется масштабируемостью и развитой аналитикой.
Какие новые функции появятся в песочницах в ближайшие 1–2 года?
Юрий Иванов, АВ Софт
В ближайшие годы песочницы будут активнее использовать ИИ, в том числе в On-Prem-системах (ранее ИИ в основном использовался в облачных песочницах). Потоковые модели ИИ будут чаще применяться для анализа объектов, а большие модели для интерпретации отчетов и формирования выводов, а также для имитации действий пользователя и управления средой выполнения. Будет расширяться также поддержка новых типов объектов: контейнеров, специализированных приложений и моделей машинного обучения.
Сергей Крутских, "Лаборатория Касперского"
Об актуальности сетевых песочниц для защиты от сложных атак впервые написал Gartner в еще 2016 г. С момента выпуска статьи прошло практически десять лет, и теперь с уверенностью можно сказать, что сетевая песочница стала неотъемлемой частью информационной безопасности любой организации. В числе перспективных направлений развития решений этого класса – максимальная кастомизация образа и окружения виртуальных машин в песочнице, развитие кросс-продуктовых интеграций, например с антивирусом и MDR. Такие интеграции позволяют получить дополнительный контекст для расследования (дерево запуска процессов, скачанная полезная нагрузка, PCAP-трафика, сгенерированного вредоносом, указание техник MITRE, скриншоты исполнения сэмпла и др., чего антивирус сам по себе при детекте не показывает).
Кирилл Одиноков, СберТех
Начнут внедрять ИИ и машинное обучение для сбора и обучения песочницы, интеграцию с почтовыми клиентами, более кастомизируемый анализ, например имитацию поведения типичного пользователя конкретной организации.
Дмитрий Черников, F6
Песочницы будут глубже анализировать не только исполняемый код, но и смысловое содержимое объектов: интерфейсы фишинговых страниц, документы с визуальными приманками, QR-коды, поддельные формы авторизации, элементы социальной инженерии. То есть детонация станет одновременно и поведенческой, и семантической – с пониманием того, что именно пытаются внушить пользователю.
Константин Рудаков, Positive Technologies
Мы видим, что все больше технологий, которые строились на средствах с определенными правилами обнаружения, будут использовать машинное обучение. Мы также ожидаем оптимизацию ресурсов песочницы, в том числе интеллектуальное ограничение на виды объектов, отправляемых на проверку.
Алексей Дашков, NGR Softlab
Думаю, что в ближайшие пару лет в песочницах появится ИИ как для анализа артефактов, так и для более совершенной эмуляции.