Инфобез в целом похож на постоянную гонку вооружений. Пока безопасники разрабатывают все более серьезные средства защиты, преступники ищут способы их обойти.
В этой статье расскажем о песочнице - важнейшем инструменте защиты IT-системы, рассмотрим, как работает решение и какие угрозы она может предотвращать.
Если кратко: песочница ведет разведку боем. Найденный потенциальный вредонос запускается в безопасной среде, чтобы он не мог навредить системе. Далее песочница анализирует поведение файла и делает вывод - безопасен он или нет.
Какими бывают вредоносные файлы?Производитель средств информационной безопасности Positive Technologies в 2021-2022-м годах провел исследование - проанализировали результаты 19 проектов по тестированию песочниц на выявление угроз.
Что удалось выявить: почти 50% всех выявленных атак реализовывалось через почту, 30% было выявлено в сетевом трафике, и 20% - в общих папках и хранилищах.
Еще немного статистики: самыми популярными оказались файлы с расширением
.exe: они составили 52% вредоносного ПО, найденного в электронных письмах, и 46% вредоносных файлов, извлеченных из сетевого трафика. Обычно это выглядело как стандартный рабочий документ с информацией о заказах, сделках или оплате. Примерно треть имела в названии другой формат Например, файлы «swift copy.pdf.exe» и «TNT Shiping Document.pdf.exe» представляли собой трояны Agent Tesla и Formbook. Если у операционной системы выставлен параметр «скрывать расширение файлов», то очень легко ошибиться с форматом.
Чуть меньше 20% составили файлы с расширением .html, .htm и чаще встречались в электронных письмах (28%): это могли быть поддельные формы ввода персональных или учетных данных.
15% заняли файлы с расширением .doc (а также .docx, .docm) и .xls (.xlsx, .xlsm) - максикировка под обычные документы.
Среди всего вредоносного программного обеспечения выявляют четыре вида:Трояны. Троян может серьезно навредить системе: следить за пользователем, воровать учетные данные, загружать другие вредоносы. Есть трояны-вымогатели, банковские трояны и т.д. Однако сами файлы самовоспроизводиться не могут и скрываются под видом лицензированного ПО.
Вирусы и сетевые черви. Функционал схож с троянами, однако черви могут копировать сами себя и распространяться по сети самостоятельно.
Потенциально нежелательное ПО. Легитимные программы, которые киберпреступники используют, чтобы осуществить свою задачу, провести атаку и навредить системе.
Большинство найденных вредоносных программ оказались шпионскими, предназначенными для отслеживания действий пользователя. Эти файлы предназначены для контроля над действиями пользователя. Такой контроль предполагает перехват нажатия клавиш, скрины экрана и записи микрофонов и веб-камеры. Так происходит кража учетных данных, финансовой информации и так далее.
Как песочница может найти и распознать угрозуВ песочнице есть несколько компонентов, каждый из которых вносит свой вклад в обнаружение вредоносов. Антивирусные модули помогают распознавать ВПО почти в 80% случаев. Песочницы проводят тщательный анализ файлов, потом запускают файл на виртуальной машине и отслеживает его поведение.
Ключевые преимущества песочницы:
Как правило, решение может работать в режиме обнаружения и блокировки, чтобы находить вредоносы и блокировать их сразу.
Быстродействие. Некоторые модели могут анализировать до 10 000 файлов в сутки.
Песочницы поддерживают самые популярные операционные системы.
Конфиденциальная информация остается в компании, не покидая пределы системы.
Есть два варианта применения песочницы. Первый - это традиционная модель - самостоятельная закупка, внедрение и обслуживание. Второй вариант - облачная услуга, когда песочница разворачивается в дата-центре провайдера, а его специалисты выполняют настройку решения.
Традиционная модель предполагает финансовые вложения на старте проекта, чтобы закупить аппаратное решение и лицензии. Кроме того, в штате компании должны быть специалисты, которые будут сопровождать ее работу.
Производители песочниц обращаются к специализированным базам знаний, чтобы отслеживать большее количество вредоносов. В общей базе данных есть сведения о том, как действует тот или иной файл, система сравнивает поведение “пойманного” вредоноса с уже имеющимся в базе.
Какое “поведение” файла является индикатором?
код реплицируется сам,
пытается связаться с командно-контрольным сервером,
загружает дополнительное программное обеспечение,
шифрует конфиденциальные данные и т. д.
Что можно сделать в среде песочницы?
Запустить код и оценивать его на основе деятельности, а не атрибутов.
Запустить исполняемые файлы и другие скрытые вредоносные программы.
Разрешить и наблюдать за сетевым трафиком.
Безопасно выполнять вредоносный код или операции с диском.
Безопасно изменять реестры / систему / конфигурацию и т. п.
Песочница не должна быть единственным решением для защиты. Вначале трафик фильтруется базовыми средствами, чтобы в песочницу не попадали все подозрительные файлы. К таким средствам относятся: антиспам-фильтры, межсетевые экраны, прокси-серверы, антивирусы. По сути Sandbox - это последняя мера защиты. Проверка подозрительного файла требует больших ресурсов, поэтому необходимо сформировать эшелонированную систему информационной безопасности