Игра в «безопасной зоне» или почему нужно использовать песочницу. Часть 2

В прошлой статье мы уже рассказали о том, что такое песочницы, где их используют, а также что нужно учитывать при работе с песочницами. Теперь давайте разберемся в других особенностях Sandbox.

Как помогает песочница?

Мы видим разные преимущества при различном использовании сред песочницы. Суть в том, что использование песочницы добавляет еще один уровень защиты к Вашим существующим решениям безопасности. А поскольку многие решения и программы для песочницы готовы к запуску прямо сразу, то понятно, почему это самый используемый метод безопасности.

Традиционные средства защиты периметра безопасности и решения могут распознавать и останавливать только известные вредоносные программы и CVE, но они не справляются с новыми угрозами и уязвимостями нулевого дня.

Хотя песочницы не выступают в качестве защиты от угроз нулевого дня сами по себе, они могут отделять угрозу от остальной сети. В свою очередь, это позволяет анализировать и определять возможные уязвимости системы или сети. Изолируя их и вредоносное ПО, можно узнать больше о новых угрозах и остановить атаки в будущем.

О других особенностях песочниц

Песочница также дополняет другие программы и решения безопасности, особенно брандмауэры и антивирусное программное обеспечение, так как предоставляет контекст для вредоносных программ, не обнаруженных этими решениями.

Песочница помогает выявлять уязвимости приложений при разработке программного обеспечения (ПО).

С песочницей при тестировании новых приложений и внесении изменений в ПО, Вы сможете обнаружить любые проблемы в области, изолированной от производственной среды, и с ее помощью избежать многих проблем, которые могут возникнуть до и после запуска.

Недостатки песочниц

Хотя песочница – отличное дополнение к защите компании, Вы никогда не сможете быть в безопасности на 100%. Создатели вредоносных программ и киберпреступники нашли способы обходить песочницы и большинство решений для обнаружения угроз нового поколения.

• Отсрочка выполнения.
  

Один из методов обхода песочницы основан на времени: песочницы обычно анализируют угрозы в течение ограниченного периода времени, вредоносное ПО может использовать вызовы для длительного сна и успешно покинуть песочницу перед выполнением. В других случаях вредоносное ПО можно запрограммировать на выполнение в определенное время, в определенный день и час. Вредоносное ПО может содержать код, который выполняет циклы ЦП, чтобы отложить фактический код до тех пор, пока песочница не закончит его анализ. Длительный анализ или изменение времени анализа может значительно увеличить вероятность обнаружения вредоносного ПО, использующего этот метод.

• Обнаружение взаимодействия с пользователем.
  

Среда песочницы имитирует «настоящую» систему, но в ней все же нет взаимодействия с пользователем, которое могло бы быть у реальной системы. Киберпреступники могут создавать вредоносные программы, которые обнаруживают поведение пользователя (например, прокрутку, щелчки мыши, открытие документов) и запускаются только после такого обнаружения. Вы можете добавить взаимодействия, похожие на человеческие (поддельные движения), но современные вредоносные программы умеют их обнаруживать.

• Обнаружение среды.
  

Киберпреступники используют методы определения их нахождения в изолированной среде. Они проверяют устройства, установленные в системе, такие как определенные имена файлов, вызовы гипервизора и другие процессы, связанные с изолированными программными средами, такие как vmusrcs.exe, vmtoolsd.exe и другие.

• Обнаружение системных функций.
  

Вредоносные программы, уклоняющиеся от песочницы, также могут быть созданы для обнаружения функций реальной системы, которые нельзя найти в песочнице. Например, установленные программы, системные артефакты, аппаратные компоненты и многое другое. Одним из методов является подсчет ядер, при котором вредоносное ПО может найти любые несоответствия между системами. Другой метод заключается в использовании вредоносного ПО, которое запускается только после перезагрузки системы, поскольку песочница не работает после перезагрузки.

В заключении

Рисковать и играть в опасной зоне – это хорошо, но, когда дело доходит до кибербезопасности и сохранения целостности Вашей сети, систем и конфиденциальных данных, лучше всего играть в безопасном пространстве.

Песочница – это один из проверенных методов защиты, который гарантирует, что каждый новый и неизвестный код, программа или файлы не могут свободно распространяться в вашей сети и потенциально устанавливать вредоносные программы или нарушать работу ваших служб.

Если Вы хотите внедрить песочницу в свою организацию или Вам требуется помощь, Вы можете обратиться к нам в CloudNetworks. Наши специалисты проконсультируют Вас и подберут лучшее решение под Ваши нужды.

И помните – то, что происходит в песочнице, остается в песочнице.