Продукт предназначен для защиты корпоративной почты, пользовательского трафика и файловых хранилищ, а также выборочной проверки объектов.
Песочница PT Sandbox компании Positive Technologies позволяет моделировать точные профили рабочих станций пользователей — вплоть до версии операционной системы и браузера. Это дает возможность в защищенной виртуальной среде обнаружить вредоносное ПО, которое написано под определенное окружение и не проявляет себя в другом (например, в ходе целевой атаки ).
«Злоумышленники постоянно развивают вредоносное ПО так, чтобы антивирусы, межсетевые экраны, IPS и шлюзы его не видели. Подобное ВПО можно обнаружить только в песочнице, — рассказывает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин. — Но большинство представленных на рынке песочниц предлагают виртуальные среды с типовым набором софта, часто неактуальным. Например, в песочнице установлен только Internet Explorer, а пользователь выходит в интернет через Google Chrome. Вредоносный файл, который срабатывает только при наличии Google Chrome, в такой песочнице не “детонирует”. Важно даже совпадение версий ПО».
Механизм гибкой кастомизации в PT Sandbox позволяет решить подобные проблемы. Система дает возможность быстро создавать набор виртуальных сред, с учетом различий в наборах софта, например, у бухгалтера и разработчика.
Атакующие используют различные способы обхода песочниц. Например, вредоносное ПО распознает нахождение в специальной среде (по отсутствию движений мыши, физического CPU) и не проявляет свою зловредную активность. По данным Positive Technologies, ВПО 40% APT-группировок осуществляют подобную проверку в ходе целевых атак. PT Sandbox избегает обнаружения более 20 техниками и заставляет запускаться зловред, который пытается скрыться.
Еще до открытия подозрительного файла в среде песочницы PT Sandbox осуществляет префильтеринг с помощью нескольких предустановленных антивирусов. Это позволяет снизить нагрузку на песочницу и ускоряет проверку файлов, даже при высокой нагрузке. Кроме того, PT Sandbox обладает механизмом ретроспективного анализа и перепроверяет файлы после обновления баз знаний. По умолчанию файл перепроверяется со свежими базами, если с последнего сканирования прошло больше 24 часов, однако периодичность пользователь может настроить самостоятельно. Так, если еще вчера файл не казался подозрительным, хотя и содержал в себе элементы нового — ранее нигде не выявленного — вредоносного кода, то с обновлением сигнатур PT Sandbox сразу же сообщит об этом пользователю.
Благодаря тому, что песочница анализирует не только сам объект, но и создаваемые им в процессе проверки трафик и файлы, можно отследить вредоносную активность, внешне не связанную с самим вредоносным ПО. Песочница может выявлять угрозы даже в шифрованном трафике.
PT Sandbox поддерживает интеграцию с другими продуктами Positive Technologies — PT Network Attack Discovery, PT Application Firewall, MaxPatrol SIEM — и обогащает их знаниями об угрозах, связанных с вредоносным ПО.