Искусство быть мудрым состоит в умении знать, на что не следует обращать внимания.
Искусство быть мудрым состоит в умении знать, на что не следует обращать внимания.
Наиболее перспективными направлениями, которые помогут системам Sandbox лучше выявлять вредоносное ПО, специалисты Positive Technologies назвали персонализацию защиты, добавление анализа заголовков писем для охвата большего спектра угроз, а также поиск компромисса между производительностью и качеством обнаружения. Данная экспертная оценка была представлена в рамках презентации новой версии PT Sandbox.
В числе ближайших целей, стоящих перед вендорами песочниц, специалисты Positive Technologies отметили кастомизацию виртуальных сред — приближение их состава к реальным рабочим станциям. Раньше на виртуальных машинах использовали программы по умолчанию. Заменив их на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры. Такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.
По нашим данным, большинство кибератак – целевые, они составляют 80% от общего числа инцидентов. Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля. Очевидно, что в подобных условиях не может быть универсальных песочниц. Бизнесу необходимо отталкиваться от собственной уникальной карты рисков», — поясняет Денис Кораблев, директор по продуктам Positive Technologies.
Ещё один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. Текущий подход к анализу происходящего в электронной почте, как правило, подразумевает проверку файлов и ссылок, а также поиск в теле сообщений паролей для работы с архивами. Однако в этом случае может не учитываться часть информации, потенциально выдающей угрозу, — заголовки писем.
При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (50% атак на организации, 86% — на частных лиц). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — в 65% атак с использованием ВПО злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.
Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков, например выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.
Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. Время проверки одного файла песочницами разных разработчиков сейчас в среднем составляет 1–2 минуты. При этом скорость проверки является одним из ключевых параметров, на которые обращает внимание пользователь, — это подтверждают результаты опроса Positive Technologies среди представителей более 100 компаний, уже применяющих песочницы.
«Возник некий негласный потолок возможной производительности песочниц — и с точки зрения времени, и с точки зрения стоимости. Мы предполагаем, что этот параметр все еще можно развивать в сторону ускорения и удешевления без потери качества детектирования. Один из возможных путей: массовая единовременная проверка больших наборов файлов по косвенным признакам: попыткам закрепиться в системе, подключиться к интернету и т. д. Если такие признаки обнаружатся, песочница может проводить дополнительную проверку — и, напротив, пропускать файлы, не совершающие подозрительных действий. Как выделить оптимальные косвенные признаки, которые позволят не пропустить угрозу, — вопрос, который только предстоит решить», — добавляет Денис Кораблев, директор по продуктам Positive Technologies.
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.