PT Sandbox
Песочница для обнаружения сложного и неизвестного вредоносного ПО.
Защищает от файловых атак и бесфайловых угроз
Обзор
PT Sandbox — песочница, которая позволяет обнаруживать новые вирусы, эксплойты нулевого дня, программы-вымогатели и другое сложное вредоносное ПО. Она не только детектирует угрозы, но и не допускает их проникновение в контур компании, обеспечивая комплексную защиту от целенаправленных атак и массовых угроз.
Возможности
Выявляет сложные угрозы
Обнаруживает неизвестные вирусы, продвинутое вредоносное ПО (руткиты, буткиты), а также ПО, нацеленное на SCADA-системы.
Предотвращает целенаправленные атаки
Позволяет настраивать среду эмуляции и приманки с учётом отраслевой специфики организации, защищая от тщательно подготовленных атак.
Защищает отечественные ОС
Поддерживает виртуальные среды с Astra Linux, ALT Linux, «РЕД ОС», готов к установке на Astra Linux.
Контролирует все популярные векторы атак
Проверяет файлы и ссылки, поступающие по электронной почте, из файловых хранилищ, от IT-систем и систем безопасности, а также загруженные вручную.
Сокращает время на исследование угроз
Анализирует объекты, включая загруженные вручную, и предоставляет результаты с возможностью выгрузки нужных артефактов.
Работает на результат
Быстро и однозначно выявляет вредоносное содержимое без вреда для бизнеса и позволяет оперативно заблокировать актуальные угрозы.
Сценарии использования
PT Sandbox проверяет все письма, поступающие на почтовый сервер, несколькими антивирусами, а также с помощью YARA-правил, разработанных экспертным центром PT ESC. Подозрительные файлы и ссылки дополнительно проверяются в изолированной виртуальной среде методом поведенческого анализа с настраиваемым машинным обучением. Это позволяет обнаруживать неизвестное, скрытое и маскирующееся вредоносное ПО и блокировать его попадание в контур компании.
PT Sandbox позволяет проверять файлы на наличие угроз перед их загрузкой на корпоративные сетевые ресурсы. Выявляет угрозы в файлах, передаваемых в корпоративных системах документооборота.
PT Sandbox обладает архитектурным преимуществом, позволяющим анализировать сложное вредоносное ПО на уровне гипервизора. Уникальный анализатор работает на трех уровнях: пользовательское пространство, ядро ОС и гипервизор, обеспечивая комплексную защиту как от массовых угроз, так и от редко встречающихся, но более опасных вредоносных программ — руткитов и буткитов.
PT Sandbox поддерживает threat hunting — проактивный поиск угроз, а также глубокий ручной анализ вредоносных объектов, сохраняя дампы трафика и события: система исследует образцы в нескольких виртуальных средах, фиксирует их активность, формирует поведенческие графы и артефакты, сопоставляя результаты с MITRE ATT&CK для быстрого понимания стадии атаки и выбора мер реагирования.
PT Anti-APT — комплекс для выявления сложных угроз, созданный на базе системы поведенческого анализа сетевого трафика PT NAD и сетевой песочницы PT Sandbox. Совокупность продуктов позволяет выявлять целевые атаки как на периметре, так и внутри сети, сокращая время скрытого присутствия злоумышленника в контуре компании.
PT NAD проверяет на наличие угроз копию трафика, перенаправленную с сетевого устройства. Файлы, передаваемые в трафике, PT NAD отправляет на анализ в PT Sandbox. Песочница проверяет, есть ли в них вредоносное содержимое, и возвращает вердикт в PT NAD.
PT Sandbox выполняет задачу анализа вредоносного ПО вместе с решениями Positive Technologies по защите конечных устройств. MaxPatrol EDR передает файлы на проверку в PT Sandbox и в случае обнаружения угрозы блокирует её на всех узлах. Данные о найденном вредоносном содержимом PT Sandbox передаёт в SIEM-систему.
PT Sandbox помогает выявлять атаки типа supply chain, направленные не на компанию, а на ее клиентов. В ходе такой атаки злоумышленники находят на веб-сайте уязвимость, которая позволяет разместить вместо легитимного файла вредоносный объект, эксплуатирующий уязвимость программы. При интеграции с межсетевым экраном уровня веб-приложений (web application firewall) PT Sandbox получает от него загружаемый документ, выявляет угрозу и позволяет ее заблокировать.
Интеграция PT Sandbox со средствами контроля и анализа трафика позволяет выявлять и блокировать вредоносное ПО в пользовательском веб-трафике, обеспечивая продвинутую многоуровневую защиту от целевых атак, сложного вредоносного ПО и угроз со стороны APT-группировок. PT Sandbox анализирует файлы из трафика, защищаемого межсетевыми экранами и межсетевыми экранами уровня веб-приложений, и возвращает вердикт о вредоносности файлов.
PT Sandbox обеспечивает безопасность данных в репозиториях разработки. Проверка собственных приложений с помощью поведенческого анализа перед их публикацией позволяет избежать участия в атаках на цепочки поставок, обеспечивая дополнительную безопасность пользователей.
Использование связки PT Sandbox и MaxPatrol VM позволяет реализовать в компании эффективный процесс управления уязвимостями и предотвратить потенциальную эксплуатацию злоумышленниками тех из них, для которых еще не выпущено исправление.
Как работает
PT Sandbox устанавливается в инфраструктуре и подключается к множеству источников, обеспечивая своевременное обнаружение неизвестного вредоносного ПО и угроз нулевого дня.
Режимы работы
Обнаружение
Подключение песочницы к различным источникам, сбор файлов и ссылок для анализа с последующим уведомлением об угрозах.
Исследование угроз
Анализирует объекты, включая загруженные вручную, предоставляет результаты с возможностью выгрузки нужных артефактов.
Блокировка
Взаимодействие с почтовыми системами, системами контроля сетевого трафика и коннекторами API для блокировки вредоносного содержимого.
Преимущества PT Sandbox
Многоуровневое обнаружение вредоносного ПО
PT Sandbox проверяет файлы и ссылки комбинацией статических методов, разработанных PT Expert Security Center, поведенческим анализом с технологиями машинного обучения и внешней экспертизой, обеспечивая комплексную защиту от угроз.
Легкое встраивание в инфраструктуру заказчика
PT Sandbox контролирует основные каналы передачи файлов и ссылок в компании за счет бесшовной интеграции с разными системами ИБ и IT как источниками объектов для анализа.
Адаптация защиты к особенностям бизнеса
Виртуальные среды PT Sandbox полностью копируют рабочие станции сотрудников. Настраиваемые процессы и файлы в сочетании со встроенной экспертизой точно определяют целевые атаки на бизнес и гарантируют 100% обнаружение шифровальщиков.