Спецпроекты

Безопасность Новости поставщиков

Скорость работы песочницы PT Sandbox выросла в девять раз

Positive Technologies представила новую версию сетевой песочницы для защиты от сложного вредоносного ПО — PT Sandbox 5.17. По сравнению с релизом 5.7, вышедшим год назад, производительность продукта выросла в девять раз, при этом качество обнаружения осталось неизменным. Таких результатов удалось добиться за счет совокупности новых возможностей, реализованных в песочнице в течение года. Об этом CNews сообщили представители Positive Technologies.

Одним из самых значимых обновлений, благодаря которым скорость работы PT Sandbox выросла, стало увеличение количества виртуальных машин, параллельно запускаемых на одном узле поведенческого анализа. Команда разработки оптимизировала процессы эмуляции аппаратного обеспечения, внедрив модули перехвата системных вызовов для проверок. Это позволило ускорить запуск анализа поведения файлов, а также увеличить объем регистрируемых событий информационной безопасности и повысить вероятность обнаружения киберугроз.

Вторым фактором, который повлиял на повышение производительности продукта, стала предварительная фильтрация файлов. PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те объекты, которые отвечают установленным политикам ИБ. Обновленная песочница позволяет настроить фильтрацию объектов под конкретные сценарии, связанные в том числе с сезонными проектами компаний, например с важными конференциями, предоставлением финансовой отчетности, презентациями новых решений. Команда детально проработала набор экспертных параметров для определения потенциально опасных объектов. Благодаря этому администраторы, которые работают с продуктом, могут либо сделать проверки более глубокими, либо ускорить работу системы, сократив объем данных для поведенческого анализа.

Изменения в работе с очередностью проверки файлов также повлияли на скорость PT Sandbox. Файлы, отправленные на поведенческий анализ, всегда проверяются в порядке очереди, а начиная с версии PT Sandbox 5.15 этой очередью можно управлять. Администраторам доступен просмотр деталей, отмена заданий, повышение и понижение приоритета файлов. Вместе с этим улучшена внутренняя логика очередей, например появилась возможность использования результатов предыдущих проверок. В условиях больших потоков файлов, на обработку которых может уйти от нескольких часов до нескольких дней, эта функциональность заметно ускоряет работу PT Sandbox.

«На рынке существует стереотип, согласно которому производительность повышается за счет потери в качестве анализа, но то, что сделала наша команда, подтверждает обратное. Мы дали пользователям возможность самим настроить глубину проверок и тем самым персонализировать защиту на оптимальной для бизнеса скорости, при этом качество анализа файлов осталось на высоком уровне и до сих пор остается главной конкурентной чертой продукта, — сказал Константин Рудаков, лидер продуктовой практики PT Sandbox, Positive Technologies. — Новая функциональность тестировалась в реальной жизни: ее использование в системах клиентов приводило в среднем к девятикратному росту производительности песочницы. Мы наблюдали за работой PT Sandbox и в SOC Positive Technologies, где для узлов поведенческого анализа были подключены три аппаратных сервера. Песочница справлялась со своими задачами, используя мощности всего одного узла из трех, даже несмотря на то, что число писем и файлов, которые нужно проверять, постоянно растет вместе с ростом нашей компании в последние годы».

Благодаря новым возможностям песочница требует в девять раз меньше аппаратных ресурсов для запуска виртуальных машин. Клиенты, которые уже используют продукт, смогут подстроить PT Sandbox под масштабирование инфраструктуры. Новым пользователям последняя версия позволит сэкономить на «железе», но при этом выстроить эффективные и управляемые процессы обнаружения сложных угроз.

«Главный вызов, который в течение нескольких лет стоял перед командой PT Sandbox, был связан с повышением производительности. Мы решили эту задачу, о чем с гордостью рассказываем клиентам, — отметил Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies. — Теперь мы готовы к новым вызовам, в 2025 г. они будут связаны с разработкой многоступенчатых процессов защиты электронной почты, чтобы продукт выполнял все необходимые проверки — от антиспама до поведенческого анализа. Однако так как злоумышленники используют для проникновения в инфраструктуру не только почту, поэтому мы планируем развивать возможности дополнительной расширенной интеграции с другими нашими продуктами, в частности с PT NGFW, MaxPatrol EDR и PT Network Attack Discovery, а также с решениями сторонних производителей».

Действующие пользователи могут обновить продукт до версии 5.17, обратившись в техническую поддержку, или самостоятельно через интерфейс PT Sandbox.

Короткая ссылка