Зачем нужна песочница?

Злоумышленники постоянно развивают вредоносное ПО так, чтобы его не обнаруживали классические средства защиты: антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы.

Выявлять такое вредоносное ПО может отдельный класс решений — песочницы. Песочница запускает файл в изолированной виртуальной среде, анализирует действия, которые он совершает в системе, и выдает вердикт о том, безопасен этот файл или нет.

Почта — самый популярный способ доставки вредоносного ПО

По данным Positive Technologies 75% кибератак начинаются с вредоносного электронного письма. Злоумышленники совершенствуют вредоносное ПО, придумывают техники обхода защиты, поэтому важно постоянно тестировать почту на уязвимости, чтобы устранить основной вектор атак.

PT Knockin поможет протестировать безопасность корпоративной электронной почты. Проверит эффективность антивируса, почтового шлюза, песочницы и других средств защиты, даст рекомендации по устранению недостатков.

ПРОВЕРИТЬ ПОЧТУ

Наше решение

PT Sandbox – передовая песочница, которая позволяет защитить компанию от целевых и массовых атак с применением современного вредоносного ПО. Она поддерживает гибкую удобную кастомизацию виртуальных сред для анализа и обнаруживает угрозы не только в файлах, но и в трафике.

Интерактивный дашборд PT Sandbox
Система статического и динамического анализа для выявления вредоносных объектов – Positive Technologies Sandbox

Определяет все популярные векторы атак

PT Sandbox контролирует основные каналы передачи файлов и ссылок в инфраструктуре. Анализирует вложения электронной почты и документы в файловых хранилищах, которые загружаются на корпоративные сайты и скачиваются из интернета, а также выявляет угрозы в трафике корпоративной сети организации.

Возможности продукта

PT Sandbox — гибкая система защиты от новейших и актуальных для российского рынка угроз, адаптируется под специфику бизнеса благодаря:


  • гибкой кастомизации виртуальных сред: в них можно добавить специфическое ПО, которое действительно используется в компании и может стать точкой входа для злоумышленников;
  • уникальным «приманкам», провоцирующим вредоносное ПО совершить активные действия и выдать себя. Файлы-приманки содержат поддельные учетные записи, файлы конфигурации или другую информацию, имитирующую данные реальной инфраструктуры;
  • настраиваемому машинному обучению, которое повышает точность выявления неизвестных целенаправленных угроз. С его помощью анализируются более 8500 признаков поведения объекта: действия процессов, цепочки последовательностей вызовов API, сетевое взаимодействие, создаваемые вспомогательные объекты.

Установка на Astra Linux и поддержка анализа в средах с «РЕД ОС»

PT Sandbox поддерживает виртуальные среды с Windows различных версий и с российскими ОС, такими как Astra Linux и «РЕД ОС». Продукт определяет, на каком этапе находятся злоумышленники, и соотносит результат анализа с техниками и тактиками атакующих по матрице MITRE ATT&CK для Linux.

PT Sandbox полностью адаптирован и готов к установке на ОС Astra Linux.

Как мы реализовали поддержку Astra Linux в PT Sandbox

И злоумышленники, и эксперты по информационной безопасности следят за тенденциями рынка. Одна из них — переход компаний из государственного сектора на ОС Astra Linux. Не все производители средств защиты информации уделяют должное внимание этой операционной системе. Учитывая предстоящие изменения, большое число её пользователей в результате могут оказаться под угрозой.

На вебинаре расскажем, с какими трудностями мы столкнулись при внедрении Astra Linux в PT Sandbox в качестве образа для анализа потока файлов и как дорабатывали систему динамического анализа DRAKVUF. Представим новые плагины для DRAKVUF на Linux: procmon, ptracemon, ebpfmon, unixsocketmon. Расскажем о покрытии матрицы MITRE ATT&CK под Linux.

Смотреть

PT Sandbox поддерживает работу в промышленных сетях

PT Sandbox обнаруживает неизвестное вредоносное ПО, нацеленное на компоненты АСУ ТП (SCADA) иностранных и отечественных производителей. Продукт дает возможность кастомизировать среду эмуляции и «приманки» с учетом специфики инфраструктуры промышленного предприятия.

Песочница промышленного масштаба: защищаемся от атак на АСУ ТП с помощью PT Sandbox

Промышленность входит в тройку наиболее атакуемых отраслей в РФ. Основным рабочим методом злоумышленников в этой отрасли стабильно остается применение вредоносного ПО.

На вебинаре мы познакомимся с промышленной версией песочницы PT Sandbox. Она позволяет выявлять действия специфических зловредов, нацеленных на инфраструктуру промышленных предприятий. Разберем ряд кейсов с выявлением подобных угроз, а также рассмотрим, какие задачи PT Sandbox решает в составе PT ICS — комплексного решения для защиты АСУ ТП.

Смотреть

Почему необходима кастомизация виртуальных сред?

Вредоносные программы для целевых атак разрабатываются под конкретную компанию и используемое в ней ПО. Для их выявления в песочнице должен работать тот же софт, что и на реальной рабочей станции.

Вредоносная программа, созданная под Google Chrome, стоящий на ваших рабочих станциях, не запустится в песочнице, в которой стоит Edge. Как итог — песочница без кастомизации пропустит файл, и ваша компания будет скомпрометирована.

PT Sandbox решает эту проблему — настраивайте виртуальные среды так, как вам необходимо.

Подробнее о кастомизации

В статье на Хабре мы объясняем, почему нужно эмулировать работу реальных рабочих станций и как изменились техники вредоносных программ для обхода песочниц в последние годы, а также рассказываем, какие технологии применяем в продукте для защиты от подобных техник.

Вебинары о детектировании сложного вредоносного программного обеспечения

Руткиты: что это такое и чем опасно
Руткиты: что это такое и чем опасно
Плагин rootkitmon для DRAKVUF. Выявление руткитов с помощью PT Sandbox
Плагин bootkitmon для DRAKVUF. Обнаружение буткитов с помощью PT Sandbox

Вебинары об экспертной эксплуатации PT Sandbox

Верификация срабатываний в PT Sandbox
Верификация срабатываний в PT Sandbox
Повышение привилегий в системе: детектирование техник на примере PT Sandbox
Проактивный поиск угроз с помощью PT Sandbox

Материалы

Выписка из Единого реестра российских программ

Выписка из реестра №8642

Документация на справочном портале

Справка администратора
Справка по публичному API
Справка специалиста по безопасности
Справка пользователя

Документация

Руководство пользователя
Руководство разработчика
Руководство администратора
Руководство специалиста по безопасности
Сертификат соответствия ФСТЭК России
Краткое описание продукта

Новости

Positive Technologies: в 2023 году выкупы вымогателям превысили 1 миллиард долларов
Positive Technologies: в 73% успешных атак на организации киберпреступники применяют вредоносное ПО
Positive Technologies заплатит белым хакерам 60 млн рублей за закладку в коде своих продуктов
Смотреть все новости →

Интеграция с продуктами Positive Technologies

PT XDR PT XDR передает в PT Sandbox файлы для анализа, песочница обнаруживает угрозы и возвращает результат. На основе этих данных PT XDR блокирует доступ к объекту на узлах.
MaxPatrol SIEM

PT Sandbox передает в MP SIEM уведомления о выявленных угрозах. Это дает более полную картину состояния инфраструктуры и позволяет точнее выявлять инциденты.
PT Application Firewall

PT AF передает файлы на комплексный анализ в PT Sandbox. Это позволяет защитить корпоративные веб-приложения от атак с помощью вредоносного программного обеспечения.
PT NAD

PT NAD анализирует сетевой трафик и передает файлы на анализ в PT Sandbox. Это позволяет выявлять угрозы, связанные с вредоносными программами, внутри инфраструктуры.

Остались вопросы?

Заходите в телеграм-чат о PT Sandbox. Наши эксперты ответят на вопросы, посоветуют полезные ссылки и будут держать в курсе новостей продукта.

Подписаться

Условия приобретения

Права на использование PT Sandbox предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу. Контактная информация↗