Технологии и продукты класса Anti-APT прошли долгий и сложный путь как на мировых рынках, так и на российском. В процессе адаптации различные производители пришли к общему стандарту функционала. Мы уже рассматривали ряд этих технологий и продуктов в предыдущих статьях по теме Anti-APT (читать здесь и здесь), и теперь пришло время обсудить, вероятно, самый важный из них – песочницы.
Следует заметить, что в рамках Anti-APT также упоминаются технологии Deception и продукты типа Honeypot, однако их широкое распространение и развитие в настоящее время сложно отследить. Как и песочницы, Deception/Honeypot реализуют одну и ту же концепцию эмуляции фиктивной инфраструктуры для отслеживания действий злоумышленника, хотя и в различных интерпретациях. Некоторые могут возразить, указывая на то, что песочницы лишь обнаруживают объекты, через который действует реальный злоумышленник, но не могут его остановить, в отличие от Deception/Honeypot продуктов. Однако на практике ситуация уже не столь однозначна. Поэтому целесообразно рассмотреть эти продукты в отдельной статье и сконцентрироваться именно на песочницах – на основной технологии последнего десятилетия в борьбе с APT.
Следует заметить, что в рамках Anti-APT также упоминаются технологии Deception и продукты типа Honeypot, однако их широкое распространение и развитие в настоящее время сложно отследить. Как и песочницы, Deception/Honeypot реализуют одну и ту же концепцию эмуляции фиктивной инфраструктуры для отслеживания действий злоумышленника, хотя и в различных интерпретациях. Некоторые могут возразить, указывая на то, что песочницы лишь обнаруживают объекты, через который действует реальный злоумышленник, но не могут его остановить, в отличие от Deception/Honeypot продуктов. Однако на практике ситуация уже не столь однозначна. Поэтому целесообразно рассмотреть эти продукты в отдельной статье и сконцентрироваться именно на песочницах – на основной технологии последнего десятилетия в борьбе с APT.
В поисках совершенства: песочницы в современной кибербезопасности
Реализация концепции песочниц в сфере кибербезопасности вызвала значительный интерес среди производителей, которые начали активно разрабатывать и внедрять данную технологию. Однако несмотря на первоначальную простоту идеи, песочница оказалась как сложным механизмом для обнаружения и анализа вредоносных файлов приставляющее собой виртуальное пространство с мониторингом активности внутри ОС, так и сложным продуктом.
После появления песочниц на рынке кибербезопасности немедленно началась настоящая гонка между разработчиками и киберпреступниками. Последние, проявляя высокую адаптивность, оперативно нашли способы обойти защитные механизмы песочниц и представили серьезный вызов разработчикам.
В настоящее время ситуация на рынке показывает интересное состояние. Многие производители кибербезопасности осознали важность песочниц, но не все из них способны разрабатывать продукты, отвечающие современным требованиям. Далее попытаемся понять недостатки прошлых версий, а также какие изменения мы хотели бы видеть в новых продуктах на основе песочниц.
После появления песочниц на рынке кибербезопасности немедленно началась настоящая гонка между разработчиками и киберпреступниками. Последние, проявляя высокую адаптивность, оперативно нашли способы обойти защитные механизмы песочниц и представили серьезный вызов разработчикам.
В настоящее время ситуация на рынке показывает интересное состояние. Многие производители кибербезопасности осознали важность песочниц, но не все из них способны разрабатывать продукты, отвечающие современным требованиям. Далее попытаемся понять недостатки прошлых версий, а также какие изменения мы хотели бы видеть в новых продуктах на основе песочниц.
Какая песочница лучше? Между клиентскими требованиями и решениями вендоров
Изучая песочницы, одним из наиболее типичных вопросов становится выбор операционных систем (ОС), используемых для анализа файловых объектов. Этот выбор представляется наиболее логичным показателем эффективности песочницы как механизма обнаружения вредоносных программ. Концепция здесь проста: если вредоносное ПО разработано для ОС Astra Linux, то песочница должна работать на этой ОС для эффективного обнаружения таких программ.
Однако на практике производители часто сталкиваются с необходимостью использования различных ОС в песочнице для соответствия потенциальным клиентским запросам. Каждый клиент имеет свои уникальные требования, связанные с конкретной версией ОС, используемой на его системах, и с ландшафтом киберугроз, характерным для его сектора экономики. В результате возникает бесконечное множество вариаций требований заказчиков, которые необходимо учитывать в разработке и поддержке песочниц.
На рынке кибербезопасности мы наблюдаем разнообразные стратегии, применяемые вендорами для решения проблемы выбора операционных систем в песочницах:
1. Стратегия определенности. Обладая богатым опытом и глубокими аналитическими навыками вендор самостоятельно, без прямого участия клиента принимает решение относительно выбора операционных систем в песочнице. Производитель осознает потребности заказчиков и угрозы в конкретной индустрии, на основании чего разрабатывает продукт, который наилучшим образом соответствует запросам рынка.
2. Стратегия гибкости. При этом подходе вендор может обладать релевантным опытом и аналитическими данными, как и в примере выше. Отличие в том, что клиенту предоставляется право в выборе операционных систем. Предлагаются как преднастроенные образы ОС, так и опции создания индивидуальных образов под конкретные требования клиента.
3. Стратегия полной свободы. Здесь уже вендоры предоставляют клиентам карт-бланш выбора операционных систем в песочнице. Они либо не навязывают ограничений по выбору ОС, либо предоставляют клиентам доступ к открытым источникам данных, таким как базы VirusTotal, чтобы можно было самостоятельно настраивать образы ОС в соответствии с их потребностями.
Разнообразие подходов вендоров к выбору операционных систем для песочниц вводит нас в определенное замешательство. Почему же некоторые производители стремятся ограничить возможности изменения образов ОС в песочнице, сохраняя контроль над процессом, в то время как другие предпочитают предоставить клиентам полную свободу выбора и настройки образов ОС? Ответ может крыться в разном опыте и глубине экспертизы производителей песочниц.
Однако на практике производители часто сталкиваются с необходимостью использования различных ОС в песочнице для соответствия потенциальным клиентским запросам. Каждый клиент имеет свои уникальные требования, связанные с конкретной версией ОС, используемой на его системах, и с ландшафтом киберугроз, характерным для его сектора экономики. В результате возникает бесконечное множество вариаций требований заказчиков, которые необходимо учитывать в разработке и поддержке песочниц.
На рынке кибербезопасности мы наблюдаем разнообразные стратегии, применяемые вендорами для решения проблемы выбора операционных систем в песочницах:
1. Стратегия определенности. Обладая богатым опытом и глубокими аналитическими навыками вендор самостоятельно, без прямого участия клиента принимает решение относительно выбора операционных систем в песочнице. Производитель осознает потребности заказчиков и угрозы в конкретной индустрии, на основании чего разрабатывает продукт, который наилучшим образом соответствует запросам рынка.
2. Стратегия гибкости. При этом подходе вендор может обладать релевантным опытом и аналитическими данными, как и в примере выше. Отличие в том, что клиенту предоставляется право в выборе операционных систем. Предлагаются как преднастроенные образы ОС, так и опции создания индивидуальных образов под конкретные требования клиента.
3. Стратегия полной свободы. Здесь уже вендоры предоставляют клиентам карт-бланш выбора операционных систем в песочнице. Они либо не навязывают ограничений по выбору ОС, либо предоставляют клиентам доступ к открытым источникам данных, таким как базы VirusTotal, чтобы можно было самостоятельно настраивать образы ОС в соответствии с их потребностями.
Разнообразие подходов вендоров к выбору операционных систем для песочниц вводит нас в определенное замешательство. Почему же некоторые производители стремятся ограничить возможности изменения образов ОС в песочнице, сохраняя контроль над процессом, в то время как другие предпочитают предоставить клиентам полную свободу выбора и настройки образов ОС? Ответ может крыться в разном опыте и глубине экспертизы производителей песочниц.
Производители песочниц – кто есть кто?
Вендоры-старожилы в области песочниц обладают огромным опытом исследования злоумышленников, что позволяет им глубоко понимать возможности противника по обходу песочниц и разработке нового вредоносного программного обеспечения. Такие производители привыкли к гонке в технологиях, однако, с течением времени, некоторые из их ранее очень ценных знаний потеряли ценность, так как стали общедоступными. Несмотря на это, «старички» по сей день остаются неким эталоном в сфере песочниц.
Вендоры-среднесрочники в области песочниц начали проявлять интерес к аналитике APT значительно позже старожил. Несмотря на это они обладают достаточной аналитикой и пониманием стандартных методов обхода песочниц.
Новички в сфере песочниц, даже при недостаточности глубоких знаний в области APT, умело используют известную информацию и открытые исследования. Они стремятся к созданию продуктов, основанных на накопленном опыте коллег по цеху и современных технологиях.
Понимание этих различий между вендорами поможет в дальнейшем лучше понять характеристики и особенности их продуктов.
Вендоры-среднесрочники в области песочниц начали проявлять интерес к аналитике APT значительно позже старожил. Несмотря на это они обладают достаточной аналитикой и пониманием стандартных методов обхода песочниц.
Новички в сфере песочниц, даже при недостаточности глубоких знаний в области APT, умело используют известную информацию и открытые исследования. Они стремятся к созданию продуктов, основанных на накопленном опыте коллег по цеху и современных технологиях.
Понимание этих различий между вендорами поможет в дальнейшем лучше понять характеристики и особенности их продуктов.
От Windows к Linux: новые технологические вызовы
А теперь кратко рассмотрим одну из основных проблематик нашего рынка. После некоторых событий переход от операционной системы Windows к почитаемому Linux значительно ускорился, и у всех без исключения возник вопрос: что делать с песочницами?
Часть «старичков» либо полностью, либо частично проигнорировали системы Linux, и их трудно за это упрекать. Уровень их аналитики позволяет им осведомлять рынок о рисках, связанных с Linux в контексте APT, а также создавать некий тренд отрицания данных систем среди специалистов и клиентов.
Среднесрочники и новички поступают совершенно наоборот — они, скорее, поддерживают целый зоопарк операционных систем, включая Linux, Windows и даже macOS. Казалось бы, это делает их первыми кандидатами при выборе песочницы, однако на практике это не совсем так — парк машин Wndows на рынке все еще велик, и версии образов не являются определяющими при выборе продукта.
Существует заметное разделение между вендорами на тех, у кого в песочницах поддерживается огромный ассортимент образов ОС — от различных релизов одной и той же версии Windows до разных релизов Astra Linux, не говоря уже о других версиях Linux и даже macOS (но редко), и на вендоров с более аскетичным набором образов. Общая тенденция такова: чем ближе вендор к статусу «старичка», тем ограниченней и строже его набор образов, и наоборот.
Другой проблемой является возможность создания собственного образа. Здесь наблюдается прямая корреляция с аналитикой вендора: чем зрелее вендор, тем меньше он позволяет вмешиваться в логику работы песочницы и добавлять кастомные образы. Конфликт возникает потому, что с одной стороны клиенты хотят создавать свои образы и добавлять их в песочницу, требуя при этом высокого качества работы продукта, а с другой стороны вендор, создавая свою песочницу, в первую очередь делает её эффективной, что в значительной степени зависит от поддерживаемых им собственных образов ОС. Это приводит нас к некоторым догадкам, почему более опытные производители не особо приветствуют кастомные образы.
Еще одной проблемой, корни которой идут от желания клиента добавить в песочницу как можно больше кастомных образов, связана с расчётом нагрузки на продукт и его масштабированием. Чем больше образов одновременно работает в песочнице, тем меньше ресурсов остаётся на каждый отдельный объект, тем менее производительным становится продукт и тем больше ресурсов необходимо тратить на сам продукт при неизменном потоке файловых объектов (при прочих равных условиях). Также возникает интересная корреляция: чем моложе и неопытнее вендор, тем больше возможностей по использованию кастомных образов и, что самое важное, тем меньше сам вендор берёт на себя обязательств по преднастройке и поддержке актуальности самой песочницы, и тем больше он отдаёт на сторону клиента необходимости тонких настроек. Как вы понимаете, это резко увеличивает риски неэффективной работы песочницы.
Часть «старичков» либо полностью, либо частично проигнорировали системы Linux, и их трудно за это упрекать. Уровень их аналитики позволяет им осведомлять рынок о рисках, связанных с Linux в контексте APT, а также создавать некий тренд отрицания данных систем среди специалистов и клиентов.
Среднесрочники и новички поступают совершенно наоборот — они, скорее, поддерживают целый зоопарк операционных систем, включая Linux, Windows и даже macOS. Казалось бы, это делает их первыми кандидатами при выборе песочницы, однако на практике это не совсем так — парк машин Wndows на рынке все еще велик, и версии образов не являются определяющими при выборе продукта.
Существует заметное разделение между вендорами на тех, у кого в песочницах поддерживается огромный ассортимент образов ОС — от различных релизов одной и той же версии Windows до разных релизов Astra Linux, не говоря уже о других версиях Linux и даже macOS (но редко), и на вендоров с более аскетичным набором образов. Общая тенденция такова: чем ближе вендор к статусу «старичка», тем ограниченней и строже его набор образов, и наоборот.
Другой проблемой является возможность создания собственного образа. Здесь наблюдается прямая корреляция с аналитикой вендора: чем зрелее вендор, тем меньше он позволяет вмешиваться в логику работы песочницы и добавлять кастомные образы. Конфликт возникает потому, что с одной стороны клиенты хотят создавать свои образы и добавлять их в песочницу, требуя при этом высокого качества работы продукта, а с другой стороны вендор, создавая свою песочницу, в первую очередь делает её эффективной, что в значительной степени зависит от поддерживаемых им собственных образов ОС. Это приводит нас к некоторым догадкам, почему более опытные производители не особо приветствуют кастомные образы.
Еще одной проблемой, корни которой идут от желания клиента добавить в песочницу как можно больше кастомных образов, связана с расчётом нагрузки на продукт и его масштабированием. Чем больше образов одновременно работает в песочнице, тем меньше ресурсов остаётся на каждый отдельный объект, тем менее производительным становится продукт и тем больше ресурсов необходимо тратить на сам продукт при неизменном потоке файловых объектов (при прочих равных условиях). Также возникает интересная корреляция: чем моложе и неопытнее вендор, тем больше возможностей по использованию кастомных образов и, что самое важное, тем меньше сам вендор берёт на себя обязательств по преднастройке и поддержке актуальности самой песочницы, и тем больше он отдаёт на сторону клиента необходимости тонких настроек. Как вы понимаете, это резко увеличивает риски неэффективной работы песочницы.
Метаморфозы песочницы: от продукта к части более крупного решения
Давайте перестанем углубляться в подробности технической реализации песочниц и обратим внимание на важный аспект, который часто остается незамеченным: песочница уже давно перестала быть отдельным продуктом. В настоящее время рассматривать песочницу как отдельный продукт оказывается не только малоэффективным, но и странным. Клиенты приобретают песочницу для конкретных целей – защиты почты, трафика и хостов. Редко бывает так, что клиентам нужны отдельные песочницы для исследовательских целей (например, исследовательские песочницы), которые предназначены для взаимодействия с кастомными системами. Стоимость поддержки таких решений с обеих сторон (как для производителя, так и для клиента) чрезмерно высока по сравнению со стандартными решениями.
Чаще всего песочница является лишь частью продукта по защите от APT. Чем опытнее и зрелее вендор, тем больше возможностей у него для предложения песочницы как части более крупного продукта, вплоть до полной невозможности приобрести отдельную песочницу. И, наоборот, молодые вендоры могут предлагать только отдельные песочницы из-за отсутствия более широкого набора продуктов.
На рынке продуктов с песочницами старые игроки и некоторые новички постепенно устраняют недостатки своих песочниц, либо компенсируют их за счет других компонентов продукта, либо расширяют их дополнительными функциями и модулями. Это приводит к тому, что технически-аналитические вопросы по песочнице становятся менее значимыми. С одной стороны, это позволяет удовлетворять потребности клиентов другими способами, а с другой стороны, может привести к затруднению восприятия проблем и отводу внимания от них.
Чаще всего песочница является лишь частью продукта по защите от APT. Чем опытнее и зрелее вендор, тем больше возможностей у него для предложения песочницы как части более крупного продукта, вплоть до полной невозможности приобрести отдельную песочницу. И, наоборот, молодые вендоры могут предлагать только отдельные песочницы из-за отсутствия более широкого набора продуктов.
На рынке продуктов с песочницами старые игроки и некоторые новички постепенно устраняют недостатки своих песочниц, либо компенсируют их за счет других компонентов продукта, либо расширяют их дополнительными функциями и модулями. Это приводит к тому, что технически-аналитические вопросы по песочнице становятся менее значимыми. С одной стороны, это позволяет удовлетворять потребности клиентов другими способами, а с другой стороны, может привести к затруднению восприятия проблем и отводу внимания от них.
Как не заблудиться в «песочном» лабиринте?
Наверняка после всего сказанного выше есть ощущение, что при попытках описания особенностей современных песочниц возникает некоторая путаница. В действительности мы едва коснулись более глубоких технических аспектов, о которых знают практически все производители, и даже здесь наблюдается разнообразие подходов.
При взгляде на архитектуры продуктов можно заметить, что у некоторых имеется целостное решение типа MXDR, где песочница интегрирована глубоко внутрь и все настройки, и работа автоматизированы, хотя стоимость для малых установок может быть высокой. У других же песочница представляет собой отдельный модуль, который можно установить одним паком, но интеграция требует технического погружения заказчика и нативно не ясна, исключая возможность автоматизации. Далее, некоторые вендоры предлагают только базовую версию песочницы, перекладывая вопросы интеграции и настройки на плечи клиента или интегратора.
Все эти различия создают сложный и запутанный ландшафт, который может вызвать непонимание как у клиентов, так и у интеграторов. Далее расскажем, какие параметры помогут выбрать песочницу из многообразия систем.
При взгляде на архитектуры продуктов можно заметить, что у некоторых имеется целостное решение типа MXDR, где песочница интегрирована глубоко внутрь и все настройки, и работа автоматизированы, хотя стоимость для малых установок может быть высокой. У других же песочница представляет собой отдельный модуль, который можно установить одним паком, но интеграция требует технического погружения заказчика и нативно не ясна, исключая возможность автоматизации. Далее, некоторые вендоры предлагают только базовую версию песочницы, перекладывая вопросы интеграции и настройки на плечи клиента или интегратора.
Все эти различия создают сложный и запутанный ландшафт, который может вызвать непонимание как у клиентов, так и у интеграторов. Далее расскажем, какие параметры помогут выбрать песочницу из многообразия систем.
Актуальные решения для ИБ: как выбрать подходящую песочницу?
1. Крупные инфраструктуры на ОС Windows
Для организаций с десятками и сотнями тысяч машин и пользователей, работающих на ОС Windows, важно выбирать решения от производителей с высокой репутацией и хорошей аналитикой по APT (Advanced Persistent Threats). Среди таких решений можно найти как закрытые преднастроенные системы, так и полузакрытые решения с возможностью настройки песочницы под конкретные нужды.
2. Соблюдение требований регуляторов и законодательств
Для тех, кто обязан соблюдать регуляторные и законодательные требования, доступны как полузакрытые, так и открытые решения, обычно использующие песочницы на базе ОС Linux. Эти системы сертифицированы для соответствия специфическим требованиям.
3. Малый и средний бизнес с распределенными инфраструктурами
В данном случае ключевыми факторами являются удобство и возможность интеграции песочницы в повседневные процессы. Комплексные решения с легкостью внедрения и высокой степенью автоматизации, такие как MXDR (Managed Extended Detection and Response), будут идеальным выбором.
4. Специальные требования отдельных команд
Для команд, которым необходимы уникальные возможности, такие как криминалистическая песочница или специфические наборы ОС, существуют предложения от молодых и инновационных производителей. Эти энтузиасты предлагают решения, адаптированные под особые потребности.
Таким образом, современные тенденции показывают, что песочницы все чаще становятся частью более крупных систем, таких как MXDR, а не выступают в роли отдельных продуктов. Этот подход подчеркивает важность интеграции песочниц в состав комплексных решений для создания более эффективной защиты от APT.
Для организаций с десятками и сотнями тысяч машин и пользователей, работающих на ОС Windows, важно выбирать решения от производителей с высокой репутацией и хорошей аналитикой по APT (Advanced Persistent Threats). Среди таких решений можно найти как закрытые преднастроенные системы, так и полузакрытые решения с возможностью настройки песочницы под конкретные нужды.
2. Соблюдение требований регуляторов и законодательств
Для тех, кто обязан соблюдать регуляторные и законодательные требования, доступны как полузакрытые, так и открытые решения, обычно использующие песочницы на базе ОС Linux. Эти системы сертифицированы для соответствия специфическим требованиям.
3. Малый и средний бизнес с распределенными инфраструктурами
В данном случае ключевыми факторами являются удобство и возможность интеграции песочницы в повседневные процессы. Комплексные решения с легкостью внедрения и высокой степенью автоматизации, такие как MXDR (Managed Extended Detection and Response), будут идеальным выбором.
4. Специальные требования отдельных команд
Для команд, которым необходимы уникальные возможности, такие как криминалистическая песочница или специфические наборы ОС, существуют предложения от молодых и инновационных производителей. Эти энтузиасты предлагают решения, адаптированные под особые потребности.
Таким образом, современные тенденции показывают, что песочницы все чаще становятся частью более крупных систем, таких как MXDR, а не выступают в роли отдельных продуктов. Этот подход подчеркивает важность интеграции песочниц в состав комплексных решений для создания более эффективной защиты от APT.
___________________________________
Если выбор подходящей песочницы кажется вам сложным, специалисты Infosecurity готовы подобрать оптимальное решение, учитывая особенности вашего бизнеса, требования к безопасности и бюджетные ограничения. Получить бесплатную консультацию
Движение вперед
Последние годы принесли рост числа вендоров, занятых разработкой как отдельных песочниц, так и целых антивирусных продуктов, направленных на борьбу с APT. Это является положительным явлением для всех участников рынка. Специалистам всегда интересно наблюдать разнообразные подходы к созданию песочниц, как от новых игроков на рынке, так и от мастодонтов.
Российские вендоры также приближаются к мировым стандартам в производстве песочниц, что не может не радовать. Абсолютно точно, подобная конкуренция стимулирует всех участников рынка к созданию высококачественных продуктов.
Все это дает основание с оптимизмом смотреть в будущее производителей Anti-APT решений и позитивно воспринимать их нынешнее состояние, пусть и с со своими особенностями.
Российские вендоры также приближаются к мировым стандартам в производстве песочниц, что не может не радовать. Абсолютно точно, подобная конкуренция стимулирует всех участников рынка к созданию высококачественных продуктов.
Все это дает основание с оптимизмом смотреть в будущее производителей Anti-APT решений и позитивно воспринимать их нынешнее состояние, пусть и с со своими особенностями.
Автор: Егор Микитюк, ведущий технический эксперт Infosecurity a Softline company
