Поделиться
Новая ML-модель в PT Sandbox обнаруживает неизвестное и скрытое вредоносное ПО
В сетевой песочнице PT Sandbox появилась новая ML-модель. При поведенческом анализе она выявляет по следам в сети неизвестное и скрытое вредоносное ПО, которое невозможно обнаружить другими методами. В продукте также расширились возможности проверки объектов: в частности, теперь песочница анализирует QR-коды в письмах и вложенных документах на наличие ВПО и появился поведенческий анализ отдельных файлов через веб-интерфейс. Об этом CNews сообщили представители Positive Technologies.
Один из способов обнаружения любого вредоносного ПО (ранее не документированного, маскирующегося или сложного) — анализ подозрительной активности в трафике. ML-модель, разработанная и обученная специалистами Positive Technologies, отличает чистый трафик от зловредного за счет функции разбора пакетов сырого трафика и поиска особых признаков поведения ВПО, которые невозможно найти в сети с помощью синтаксиса правил.
В PT Sandbox обогащена сетевая экспертиза: за последние полгода, помимо более 100 поведенческих сигнатур, добавлены 900 уникальных сетевых правил, которые позволяют песочнице фиксировать любые подозрительные действия в трафике. Таким образом, встроенная в продукт база насчитывает свыше 16,5 тыс. поведенческих и сетевых правил для своевременного обнаружения программ-вымогателей, продвинутых зловредов и угроз нулевого дня.
Еще одно дополнение — проверка QR-кодов в теле письма и прикрепленных к нему PDF-документов. Согласно результатам исследования Positive Technologies, каждое второе полученное по почте сообщение с QR-кодом содержит вредоносное ПО или спам. Теперь PT Sandbox извлекает ссылки из таких меток и анализирует их на потенциальную опасность.
Расширилась кастомизация в части YARA-правил: ранее они разрабатывались исключительно экспертным центром безопасности Positive Technologies (PT ESC), сейчас пользователи могут писать и добавлять в PT Sandbox собственные правила, максимально учитывающие специфику защиты их компаний. Благодаря адаптации под актуальные задачи ИБ песочница Positive Technologies точнее определяет целевые атаки на бизнес. Кроме того, появилась возможность самостоятельно настраивать очередь на проверку и задавать приоритеты для анализа в зависимости от источника и типа файлов.
«Злоумышленники не перестают изобретать новые техники нападений, а еще модифицируют старые приемы так, что их вновь начинают пропускать СЗИ. Ноу-хау быстро берут в оборот вирусописатели, что стимулирует появление новых образцов ВПО. В открытых антивирусных базах не описан каждый пятый зловред, замеченный нами в ходе проактивного поиска угроз, поэтому мы непрерывно совершенствуем механизмы обнаружения и развиваем встроенную в PT Sandbox экспертизу в поиске ВПО и защиты от него, — отметил Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC. — Одним из главных нововведений в этом году стало внедрение в песочницу еще одной ML-модели. Новый метод анализа на основе машинного обучения помогает еще качественнее определять ВПО и защищать инфраструктуру от угроз нулевого дня».
Обновленный PT Sandbox поддерживает S32-совместимые облачные и локальные хранилища файлов, что особенно полезно для облачных провайдеров. Чаще всего на этих платформах размещают неструктурированные данные: изображения, видео, программный код, архивы документов. В частности, при помощи PT Sandbox можно непрерывно отслеживать безопасность популярных отечественных «облаков» (Cloud.ru, Yandex Cloud и VK Cloud), пресекая попадание в них ВПО.
Помимо этого, в веб-интерфейсе песочницы теперь можно запускать ручной поведенческий анализ и обнаруживать сложные угрозы, которые статическими способами найти было невозможно. В случае необходимости специалисты по ИБ смогут точечно изучать заинтересовавшие их подозрительные файлы и выполнять с ними любые необходимые действия, чтобы быстрее предотвратить угрозу.
Поделиться
Короткая ссылка
