Поделиться
Вышло исследование популярных «сетевых песочниц»
Эксперты системного интегратора «Примари», обладающие 18-летним опытом в сфере информационной безопасности, представляют результаты исследования российских «сетевых песочниц». Этот класс решений стал критически важен для защиты от целевых атак, которые сегодня превратились из исключения в повседневную угрозу. «Сетевая песочница» позволяет выявлять сложные вредоносные программы, включая угрозы «нулевого дня», анализируя их поведение в изолированной среде. О результатах сравнительного анализа отечественных решений и ключевых критериях их выбора рассказывает Александр Воронин, технический директор компании «Примари».
Об актуальности «сетевых песочниц» для защиты от сложных атак впервые написал Gartner в 2016 году. С момента выпуска статьи прошло практически 10 лет и теперь с уверенностью можно сказать, что «сетевая песочница» стала неотъемлемой частью экосистемы информационной безопасности любой организации.
Наши инженеры обладают глубокой технической экспертизой и опытом реальных внедрений решений класса Sandbox. Мы располагаем собственными демо-стендами и демо-лабораторией, где регулярно проводим пилотные тестирования, демонстрации сценариев атак и проверки совместимости решений. Это позволяет нам объективно оценивать функциональные возможности различных платформ и подбирать для заказчиков оптимальные решения под их конкретные задачи и инфраструктуру.
Инженерная команда «Примари» провела собственное исследование и сравнение отечественных «сетевых песочниц». В данной статье мы опишем результаты исследования и сравним наиболее популярные отечественные «сетевые песочницы», а также определим критерии, которые влияют на их выбор.
Полученные результаты легли в основу объективных критериев сравнения песочниц и рекомендаций для организаций, стремящихся повысить уровень своей киберзащиты.
Вывод: все «сетевые песочницы» устанавливаются только на сервера с процессорами Intel, «песочница» от Kaspersky поддерживает наибольшее количество платформ виртуализации (среди которых есть 3 отечественные), F6 — не поддерживает возможность запуска в виртуальной среде.
Вывод: РТ предоставляет более гибкий подход в части предоставления прав доступа к системе. Kaspersky предлагает использовать предустановленные в системе роли, а также позволяет осуществлять контроль и настройку нескольких решений (Sandbox, EDR, NDR) из единой консоли, у РТ и F6 для каждого решения своя консоль управления.
Вывод: РТ поставляет предустановленные образы Windows Server (Kaspersky и F6 — не поставляют, аргументируя тем, что это создает дополнительную нагрузку на систему, но при этом не дает повышения в качестве обнаружения вредоносного ПО). F6 проверяет APK-файлы при помощи виртуальный машины в отличии от РТ и Kaspersky. Технология Cloud ML используется Kaspersky для проверки APK файлов. Все три «песочницы» предоставляют возможность загружать собственные образы операционных систем. Kaspersky предоставляет «из коробки» инструментарий по настройке количества одновременно работающих VM, у PT и F6 изменение подобных настроек возможно через обращение в поддержку.
Вывод: Все три решения используют обширное количество технологий противодействия обхода обнаружения детонации вредоносного ПО в «песочнице», РТ не использует машинное зрение для распознавания образов и имитации пользовательской активности. РТ и F6 не участвуют в публичных независимых тестированиях сторонними лабораториями, отчеты об участии Kaspersky можно посмотреть на официальным сайте вендора.
Вывод: Kaspersky использует собственный антивирусный движок, РТ использует несколько антивирусных движков (в т.ч. недавно приобретенной белорусской компании — Вирусблокада). F6 не использует антивирусную проверку в песочнице. Kaspersky и PT предоставляют возможности по вскрытию всех запароленных архивов путем ввода пароля на внутреннем портале (F6 такую опцию не предоставляет). География работы Kaspersky значительно шире, чем у РТ и F6. Наличие глобальной репутационной базы Kaspersky Security Network (KSN) и возможности обращения к ней значительно повышает качество детекта продуктов и снижает количество ложно положительных сработок. РТ и F6 не могут собирать и обрабатывать данные об угрозах со всего мира, поэтому качество детектирования и скорость получения данных о новых угрозах ниже.
Вывод: в числе уникальных возможностей РТ — автоматическая отправка файлов на поверку из общей папки (в Kaspersky и F6 данный функционал возможен при помощи скриптов), Kaspersky предоставляет возможность отправки объектов с рабочей станции при помощи KES как в автоматическом, так и в ручном режиме (что делает сценарий наиболее привлекательным — наравне с проверкой объектов из почтового или сетевого трафика). Работу с исключениями поддерживает Kaspersky и F6, в то время как РТ не дает возможности гибкой работы с исключениями на сценариях авто отправки.
Вывод: Kaspersky и F6 предоставляют возможности по интеграции своих песочниц с сервисом по мониторингу конечных точек (у РТ такой возможности нет). Kaspersky — лидер по количеству уникальных интеграций, поддерживаемых песочницей (SD-Wan, KES, портал TI, двусторонняя интеграция с KSMG), также присутствует интеграция с ГосCОПКА.
Вывод: все решения на обзоре предоставляют необходимый набор отчетов для офицера безопасности. Отличительной особенностью РТ и F6 является возможность записи видео с детонацией объекта, в то время как Kaspersky предоставляет скриншоты детонации (РТ и F6 не поставляют скриншоты).
Вывод: регуляторные требования оказывают существенное влияние на выбор решения. Песочница от Kaspersky сертифицирована во ФСТЭК и ФСБ, у F6 нет актуальных сертификатов, у РТ — только ФСТЭК. Все три решения включены в реестр отечественного ПО, к сфере искусственного интеллекта относятся решения Kaspersky и PT, F6 — нет.
Полученные результаты исследования мы использовали, чтобы сформировать объективные критерии выбора песочниц и рекомендации для организаций, стремящихся повысить уровень своей киберзащиты.
В заключении можно сказать, что внедрение решений класса Sandbox является важным элементом комплексной стратегии кибербезопасности, способствующим защите конфиденциальных данных и поддержанию стабильной работы инфраструктуры предприятия.
Выбирая Sandbox, необходимо исходить из целей вашей компании и опираться на особенности инфраструктуры.
«Примари» — системный интегратор в сфере информационной безопасности. Мы работаем с 2007 года, имеем лицензии ФСТЭК/ФСБ и защищаем более 600 000 рабочих мест в различных секторах российской экономики.
Мы способны реализовать проект любой сложности и обеспечить его сопровождение благодаря нашим ключевым преимуществам:
- Глубокая техническая экспертиза и опыт реальных внедрений
- Собственный демо-фонд оборудования и демо-лаборотория
- Стенды для демонстраций и воспроизведения сценариев атак
- Постоянное обучение и сертификация специалистов
- Пилотные тестирования
- Собственный портал поддержки
Каждое предлагаемое нами решение проверено на практике и действительно помогает заказчику повысить уровень защищённости инфраструктуры за счёт современных, надёжных и максимально эффективных технологий.
■ Рекламаerid:2W5zFJ4r8oaРекламодатель: ООО «ИТ Дистрибуция»ИНН/ОГРН: 7453176929/1077453006070Сайт: www.primari.ruПоделиться
Короткая ссылка
