Эксперты Positive Technologies назвали главные технологические тренды развития систем Sandbox в ближайшие 3-5 лет
Наиболее перспективными направлениями, которые помогут системам Sandbox лучше выявлять вредоносное ПО, специалисты Positive Technologies назвали персонализацию защиты, добавление анализа заголовков писем для охвата большего спектра угроз, а также поиск компромисса между производительностью и качеством обнаружения. Данная экспертная оценка была представлена в рамках презентации новой версии PT Sandbox.
В числе ближайших целей, стоящих перед вендорами песочниц, специалисты Positive Technologies отметили кастомизацию виртуальных сред — приближение их состава к реальным рабочим станциям. Раньше на виртуальных машинах использовали программы по умолчанию. Заменив их на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры. Такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.
«По нашим данным, большинство кибератак – целевые, они составляют 80% от общего числа инцидентов. Злоумышленники стремятся узнать о жертве как можно больше и на основе этих знаний выбирают готовые инструменты для атаки или разрабатывают их с нуля. Очевидно, что в подобных условиях не может быть универсальных песочниц. Бизнесу необходимо отталкиваться от собственной уникальной карты рисков», — поясняет Денис Кораблев, директор по продуктам Positive Technologies.
Еще один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. Текущий подход к анализу происходящего в электронной почте, как правило, подразумевает проверку файлов и ссылок, а также поиск в теле сообщений паролей для работы с архивами. Однако в этом случае может не учитываться часть информации, потенциально выдающей угрозу, — заголовки писем.
При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (50% атак на организации, 86% — на частных лиц). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — в 65% атак с использованием ВПО злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.
Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков, например выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.
Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. Время проверки одного файла песочницами разных разработчиков сейчас в среднем составляет 1–2 минуты. При этом скорость проверки является одним из ключевых параметров, на которые обращает внимание пользователь, — это подтверждают результаты опроса Positive Technologies среди представителей более 100 компаний, уже применяющих песочницы.
«Возник некий негласный потолок возможной производительности песочниц — и с точки зрения времени, и с точки зрения стоимости. Мы предполагаем, что этот параметр все еще можно развивать в сторону ускорения и удешевления без потери качества детектирования. Один из возможных путей: массовая единовременная проверка больших наборов файлов по косвенным признакам: попыткам закрепиться в системе, подключиться к интернету и т. д. Если такие признаки обнаружатся, песочница может проводить дополнительную проверку — и, напротив, пропускать файлы, не совершающие подозрительных действий. Как выделить оптимальные косвенные признаки, которые позволят не пропустить угрозу, — вопрос, который только предстоит решить», — добавляет Денис Кораблев, директор по продуктам Positive Technologies.