Kaspersky Sandbox: бюджетная защита от неизвестных угроз
Современные программные средства защиты от кибератак научились хорошо выявлять известные угрозы, для которых в базе данных имеется сигнатурный след, добавленный туда при первичном выявлении. Иначе обстоит дело, когда угроза неизвестна и ранее себя не проявляла. В этом случае помочь могут сложные программные комплексы, предназначенные для использования экспертами в области информационной безопасности. Эти специалисты с высокой вероятностью вовремя выявят признаки подозрительной активности и изолируют вредоносный процесс там, где он был впервые обнаружен.
Собственный департамент информационной безопасности, стоящий на страже защитного периметра корпоративной ИТ-инфраструктуры, – дело, безусловно, полезное, но далеко не каждая компания может его себе позволить. При этом любая достаточно крупная организация является потенциальной жертвой хакеров, способных разработать ранее не применявшееся уникальное вредоносное ПО, предназначенное для конкретной целевой атаки.
Значительно повысить защищенность компании от неизвестных угроз, не раздувая штат ИБ-специалистов, помогают программные инструменты, известные как «песочницы» (sandbox). Они представляют собой полностью контролируемую виртуальную среду, призванную как можно более подробно имитировать атакуемый компьютер. Присланный из другого защитного ПО подозрительный объект помещается в виртуальную копию атакуемого компьютера, после чего «песочница» изучает его активность и выносит вердикт: безвреден или несет угрозу.
«Песочницы» уже давно превратились в один из базовых элементов многих защитных решений, но их функциональность меняется от поставщика к поставщику и имеет свои особенности. Один из наиболее технически совершенных продуктов данного типа предлагает «Лаборатория Касперского». Он носит имя Kaspersky Sandbox и может быть интегрирован с широким спектром защитного ПО.
Kaspersky Sandbox
Решение на базе CentOS может быть развернуто на отдельном аппаратном сервере (кластере серверов) или работать в режиме виртуальной машины. В зависимости от производительности аппаратной основы и типа лицензии Kaspersky Sandbox способна обрабатывать обращения от сотен и даже тысяч компьютеров, с установленным агентом Kaspersky Endpoint Agent или сторонним ПО, подключаемым по REST API.
Если говорить о минимальных аппаратных требованиях Kaspersky Sandbox, то для работы в сети из 500 рабочих станций требуется сервер с 8 ядрами (16 потоков Hyper-Threading) и тактовой частотой не ниже 2,2 ГГц, оснащенный 48 Гбайт оперативной памяти и RAID-массивом из двух жестких дисков емкостью по 600 Гбайт. В такой конфигурации решение может анализировать до 150 получаемых по API объектов в час.
Управление Kaspersky Sandbox осуществляется централизованно, посредством Kaspersky Security Center. «Песочницу» при необходимости можно интегрировать с SIEM. В этом случае подключение настраивается через все тот же Kaspersky Security Center, а обмен данными происходит по протоколу Syslog в формате CEF (Common Event Format).
Порядок работы
При обнаружении подозрительного файла или URL-адреса контролирующий рабочую станцию программный агент формирует обращение к Kaspersky Sandbox, которое содержит сам этот объект, а также информацию о компьютере, на котором он был обнаружен. Она включает в себя:
· Версию операционной системы
· Конфигурацию ОС для запуска объекта
· Параметры выполнения объекта
· Данные о наличии и составе установленного прикладного ПО
· Требования по ограничению времени проверки и др.
«Песочница» запускает проверяемый объект в виртуальной машине, максимально точно имитирующей рабочую станцию, с которой пришел запрос. Поддерживаются операционные системы Windows XP и выше, Windows Server 2003 и выше, Android для процессоров с архитектурой x86 и ARM.
В течение заданного времени Kaspersky Sandbox собирает данные об активности процесса, его взаимодействии с другими процессами, файлами, сетевыми ресурсами и пр. Среди прочего анализируются:
· Журналы выполнения приложений (вызовы функций API, события выполнения и пр.)
· Дампы памяти
· Дампы загруженных модулей
· Изменения файловой системы, реестра
· Файлы Pcap (сетевой трафик)
· Артефакты активности эксплойтов
· Собираются скриншоты для последующего анализа
Комплексная проверка этих данных позволяет выявить поведение процесса, характерное для различных типов вредоносного ПО, и сделать вывод об опасности или безопасности объекта. Этот вердикт «Песочница» отправляет обратно на запрашивающую проверку рабочую станцию, дополняя его сопутствующей информацией, которая в дальнейшем могла бы помочь в дополнительном анализе.
Защита от обнаружения
Описанные выше принципы работы «Песочницы» кажутся простыми и эффективными, и это действительно так. Они более или менее аналогичны для всех решений этого класса. Однако, общее сходство методов анализа может работать и на руку злоумышленникам. Они давно научились встраивать во вредоносное ПО инструменты, затрудняющие работу «песочниц».
Попав на атакуемый компьютер, такое ПО первым делом пытается выяснить, не находится ли оно в контролируемой среде. Для этого используются разные методы, но все они направлены на то, чтобы обнаружить отличия виртуальной машины «песочницы» от реального компьютера или смартфона. Если проверка выявляет признаки «песочницы», запуска процесса не происходит, а сам он как правило самоудаляется, препятствуя проведению анализа.
Одной из сильных сторон Kaspersky Sandbox, выгодно отличающих ее от «песочниц» других производителей, является изощренная система защиты от обнаружения. ПО в состоянии имитировать практически все признаки реального компьютера и проводить анализ так, чтобы остаться невидимой для изучаемого объекта.
Прежде всего, Kaspersky Sandbox не использует доступные для идентификации методы мониторинга, изменяющие операции процессов, содержимое памяти, системные библиотеки и пр. При этом она полностью контролирует происходящее в процессоре и ОЗУ. Кроме того, «Песочница» тщательно следит за тем, чтобы виртуальная машина вела себя подобно настоящей, имитируя действия пользователя. Она умеет «нажимать» кнопки в интерфейсах, обращаться к сайтам в интернете, заполнять формы, вводить пароли, перемещать курсор мыши и прокручивать документы.
Подводя итог сказанному, можно отметить, что Kaspersky Sandbox может внести весомый вклад в обеспечение безопасности корпоративной ИТ-инфраструктуры, без необходимости организации собственного SoC. Продукт прост в эксплуатации и не требует глубоких знаний в области информационной безопасности. В то же время, хорошим подспорьем «Песочница» может стать и именно для экспертов по ИБ, которые заинтересованы в инструменте, позволяющем создать контролируемую среду тестирования обнаруженных другими способами угроз.