Sandbox або пісочниця – незамінний компонент інформаційної безпеки

Illustration

13.02.2023
Sandbox – це технологія, що призначена для контролю різних програм із метою підвищення рівня безпеки.
 Інша назва Sandbox – пісочниця. Sandbox являє собою, як правило, фізичний, віртуальний або хмарний пристрій. Завдання цієї технології – забезпечити автоматизований аналіз файлів на наявність шкідливого коду, загроз нульового дня та шпигунського ПЗ.
Технологія Sandbox стала дуже популярна останніми роками як єдиний механізм виявлення та протидії сучасним атакам хакерів, таким як нашумілі свого часу WannaCry, Petya.А, Bad Rabbit та інші, які не виявляються стандартними антивірусними засобами.
Система Sandbox (пісочниця) може працювати у зв'язці з такими технологіями:
• Файрвол;• Поштовими шлюзами;• Шлюзами доступів користувачів до інтернету;• Агентами безпеки, встановленими на кінцевих робочих станціях;• Пристроями контролю та управління мережевим трафіком.
Усі перелічені компоненти ІТ-інфраструктури націлені на забезпечення інформаційної безпеки. Вони, можна сказати, виловлюють файли, що передаються, і відправляють на Sandbox.
Що робить Sandbox?
У пісочницю Sandbox передається файл, отриманий, наприклад, у листі через інтернет. Технологія Sandbox запускає різні конфігурації віртуальних систем, які відповідають типовим робочим станціям. Переданий файл запускається кожною з цих віртуальних систем, після чого відбувається аналіз його поведінки.
Що аналізується у пісочниці Sandbox?
Пісочниця аналізує такі аспекти:
● Звернення до інтернету;● Зміни, внесені до системи реєстру;● Спроби модифікації чи модифікацію системних файлів;● Маніпуляції з пам'яттю;● Спроби запуску будь-якого коду.
З аналізу цих даних виноситься вердикт - є цей файл шкідливим чи ні. Після цього відповідний вердикт передається системі, яка надіслала файл на аналіз.
Як відбувається весь цей ланцюжок дій у рамках інфраструктури?
Допустимо, об'єкт, а це може бути файл, посилання або інші дані, відправив файрвол. Sandbox виносить вердикт, що файл шкідливий. У такому разі файрвол може заблокувати трафік, яким було отримано об'єкт.
Якщо в пісочницю передавалися дані поштовим шлюзом, то шкідливий лист буде заблоковано ще до отримання адресатом.
Можливий і такий варіант, коли файл на аналіз Sandbox був переданий агентом із робочої станції. У випадку, якщо файл виявився шкідливим, він також буде заблокований, і не зможе бути запущеним користувачем.
Давайте детальніше розглянемо, як працює Sandbox (пісочниця) на конкретному прикладі.
Зловмисник відправляє користувачеві корпоративної пошти листа з посиланням на сайт, за яким має бути завантажений шкідливий код. Лист отримує поштовий сервер і потім надсилає його на аналіз в Sandbox. Пісочниця відкриває цей лист у кількох віртуальних системах, одна з яких відповідає робочій машині користувача.
Буде проведено аналіз і з'ясовано, що цей об'єкт, що перевіряється, шкідливий. Його дії у віртуальному середовищі будуть зафіксовані, проаналізовані, і звіт про поведінку об'єкта, що аналізується, буде повернуто на поштовий сервер.
Виходячи зі звіту про шкідливий зміст листа, повідомлення буде заблоковане, адміністратору безпеки надіслано повідомлення про спробу атаки. А сама атака буде заблокована завдяки дії Sandbox. По суті атака хакерів так і не почнеться.
Сайт хакера може перевірити, чи був відкритий лист на тій робочій станції, з якої планувався розвиток атаки. Образ робочої станції в пісочниці саме відповідає меті хакера, і він отримає звіт про те, що досяг своєї мети, а шкідливий код тим часом буде активовано в рамках пісочниці.
Зрозуміло, що ціль хакера - обдурити пісочницю, але це вкрай складно, а в більшості випадків просто нереально.
Світові виробники рішень у галузі інформаційної безпеки вже давно впроваджують технологію Sandbox у свої рішення.
Серед гравців ринку інформаційної безпеки ми хотіли б виділити наступних лідерів:
FireEye – перший у світі творець комерційної Sandbox. З 2007 року компанія активно розвиває цю технологію, і вона визнана багатьма фахівцями в галузі інформаційної безпеки як найпрогресивніша. За визнанням хакерів, вони так і не змогли обдурити цю пісочницю.
Chek Point – це лідер у галузі рішень із мережевого захисту. Зі своєю технологією SandBlast ефективно забезпечує захист від спрямованих атак та загроз «нульового дня».
Успіх більшості наших рішень у сфері кібербезпеки пов'язаний саме з використанням технології Sandbox.
Використання Sandbox фактично стало незамінним компонентом для побудови сучасної системи інформаційної безпеки.
Бажаєте захистити свій бізнес від кіберзагроз? Використовуйте технологію Sandbox в ІТ-інфраструктурі своєї компанії.
Компанія ІТ Specialist надає унікальну можливість нашим клієнтам оцінити ефективність технології Sandbox у рамках пілотного проєкту. В інфраструктуру клієнта впроваджується технологія Sandbox для демонстрації переваг та ефективності.
Після пілотного проєкту ми створимо для вашої компанії повноцінну пісочницю Sandbox та здійснимо супровід її функціонування.
Щоб отримати інформацію щодо впровадження технології Sandbox, зв'яжіться з представниками «ІТ Спеціаліст».