Приманки, имитирующие в изолированной виртуальной среде настоящие файлы, процессы или данные, провоцируют вредоносное ПО на взаимодействие и тем самым помогают выявить присутствие хакеров в инфраструктуре.
Ключевым изменением в PT Sandbox 2.2 стали приманки, которые могут спровоцировать инструменты взломщика на то, чтобы проявить себя. В частности, это файлы-приманки, содержащие поддельные учетные записи пользователей, файлы конфигурации или другую конфиденциальную информацию, потенциально интересную атакующему. При попытке кражи таких данных PT Sandbox оперативно выявит угрозу. Примерно так же действуют и процессы-приманки: они имитируют работу банковских приложений, ПО разработчиков или обычную пользовательскую активность, и продукт выявляет попытки злоумышленников вмешаться в них.
Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой — от среды, которая должна быть максимально похожа на привычное окружение пользователя. Зловреды чаще всего ищут интересные им файлы, работающие процессы, изменения в буфере обмена. Злоумышленникам это нужно для кражи конфиденциальной информации, а в песочницах используется как своеобразный триггер. Если в системе мало процессов, нет нужных файлов и прочих признаков работы пользователя, то ВПО просто не будет ничего делать, посчитав систему неинтересной. Развивая deception-технологии в нашей песочнице, мы побуждаем вредоносные программы к активным действиям и тем самым помогаем своевременно их выявлять, улучшая качество защиты.
Алексей Вишняков,
руководитель отдела обнаружения вредоносного ПО PT Expert Security Center.
Также технологии обмана в PT Sandbox 2.2 реализованы в поддельных, но корректных по формату приватных данных: например, пароли или номера карт помещаются в виде приманки в буфер обмена пользователя, который так любят перехватывать трояны-шпионы.
Компания должна выстраивать защиту исходя из того, какие риски считает наиболее приоритетными. Ключевой набор приманок, который наши эксперты сформировали, исследуя деятельность хакерских группировок, доступен нашим заказчикам "из коробки". Однако при необходимости мы можем добавить в PT Sandbox дополнительные приманки по запросу клиента. Это сделает защиту более персонализированной и позволит компании нивелировать угрозы, направленные на системы, которые критически важны для конкретного бизнеса.
Ксения Кириллова,
менеджер по продуктовому маркетингу Positive Technologies
Для более точной имитации работы пользователя в виртуальные среды PT Sandbox были добавлены дополнительные программы: видеоплеер, оптимизатор системы, платформа для видеосвязи, эмуляторы промежуточного кода. Также теперь продукт покрывает еще больше существующих уязвимостей в офисных и других приложениях — этого удалось достичь благодаря расширению числа версий ПО, установленного в песочнице.
PT Sandbox — песочница для защиты от целевых и массовых атак с применением неизвестного вредоносного ПО. Она поддерживает гибкую настройку виртуальных сред с учетом особенностей реальных рабочих станций и надежно защищена от техник обхода песочниц. Продукт проводит комплексный анализ файлов и трафика, в том числе шифрованного, а также выявляет скрытые и новейшие угрозы с помощью регулярного ретроспективного анализа.
PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их сведениями об угрозах, связанных с вредоносным ПО.