Песочница (SandBox) – это «карантинная среда», через которую проходит входящий трафик. Зловред воспринимает ее как реальную цифровую систему и начинает совершать нелегитимные действия, после чего идентифицируется и блокируется, не соприкасаясь с основной инфраструктурой. Этот класс решений используется для фильтрации как почтового, так и веб-трафика.
В этой статье мы рассмотрели прикладной механизм эксплуатации песочницы в инфраструктуре компании, а также модели реализации этого класса решений с позиции бизнеса.
Принцип работы песочницы
Важно понимать, что SandBox – это не первый эшелон обороны. Если весь трафик будет идти напрямую через песочницу, то это негативно скажется на скорости работы сервисов и компании в целом.
Поэтому на первом рубеже обороны стоят другие защитные инструменты. В первую очередь это:
- антивирус;
- межсетевые экраны;
- спам-фильтры.
Они отсеивают те угрозы, информация о которых есть в базах данных этих решений. Это позволяет снизить нагрузку на саму песочницу и инфраструктуру в целом. Оставшийся трафик может содержать неизвестные другим средствам защиты вредоносы или их замаскированные варианты.
Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
При интеграции песочницы в инфраструктуру компании важно обратить внимание, как автоматизировать процесс проверки и как обеспечить его балансировку и эшелонированную защиту. Нужно убедиться, что поддерживаемые решением протоколы позволяют забрать или принять файлы для анализа, а результат этого анализа может быть передан в систему мониторинга ИБ. Если поток файлов большой, важно удостовериться, что может быть обеспечена балансировка нагрузки на экземпляры песочницы и у вас не будет очередей. Если песочница – лишь одно из звеньев проверки (например, используется дополнительно потоковый антивирус и DLP), убедитесь, что в этом процессе не будет ручного труда и вы можете автоматизировать этот конвейер.
Неизвестные вредоносы могут появляться вследствие несвоевременного обновлений защитных устройств. Этот риск стал особенно актуален в условиях ухода с российского рынка иностранных вендоров. Также, некоторые уязвимости и ВПО просто не были идентифицированы исследователями на момент атаки, а значит и программных средств автоматизированной защиты от них нет.
В таких условиях песочница – лучший способ защитить инфраструктуру. Программа SandBox позволяет посмотреть, как проявит себя подозрительный файл в карантинной среде.
Такой класс решений особенно актуален в контексте борьбы с руткитами, APT-атаками и попытками эксплуатации «уязвимостей нулевого дня». Можно сказать, что песочница «просеивает» уже отфильтрованный первичными средствами защиты трафик.
[...]
Итоги
Актуальность использования песочницы в защитной инфраструктуре компании напрямую обусловлена зрелостью ИБ в конкретной организации. Как только первичные инструменты защиты внедрены и инфраструктура защищена от наиболее распространенных, ожидаемых угроз, можно переходить к «эшелонированию» обороны компании с помощью SandBox.
При наличии достаточного количества ресурсов (финансовых, временных) и штата специалистов компания может самостоятельно интегрировать песочницу в свою инфраструктуру.
Если же такого ресурса нет или соответствующие специалисты загружены другими задачами, оптимально будет воспользоваться моделью работы «по подписке», где компания, фактически, платит за комфорт, и получает все необходимые опции для работы с этим классом защитных инструментов.
Подробнее на сайте издания по ссылке.