PT Sandbox
Описание
Документы
PT Sandbox — риск-ориентированная сетевая песочница, которая выявляет сложные киберугрозы,даже если злоумышленник тщательно скрывается. Она защищает от целевых и массовых атак с применением вредоносного ПО и угроз нулевого дня, обнаруживает как распространенные вредоносы (шифровальщики, вымогатели, шпионское ПО, утилиты для удаленного управления, загрузчики), так и сложный инструментарий хакерских группировок (руткиты, буткиты).
Защита электронной почты.
PT Sandbox проверяет все письма, поступающие на почтовый сервер, несколькими антивирусами, а также с помощью YARA-правил, разработанных экспертным центром PT ESC. Подозрительные файлы и ссылки дополнительно проверяются в изолированной виртуальной среде методом поведенческого анализа с настраиваемым машинным обучением. Это позволяет обнаруживать неизвестное, скрытое и маскирующееся вредоносное ПО и блокировать его попадание в контур компании.
Защита файловых хранилищ и корпоративных информационных систем от вредоносного ПО.
PT Sandbox позволяет проверять файлы на наличие угроз перед их загрузкой на корпоративные сетевые ресурсы. Выявляет угрозы в файлах, передаваемых в корпоративных системах документооборота.
Защита от сложного хакерского инструментария.
PT Sandbox обладает архитектурным преимуществом, позволяющим анализировать сложное вредоносное ПО на уровне гипервизора. Уникальный анализатор работает на трех уровнях: пользовательское пространство, ядро ОС и гипервизор, обеспечивая комплексную защиту как от массовых угроз, так и от редко встречающихся, но более опасных вредоносных программ — руткитов и буткитов.
Threat hunting и ручной анализ образцов.
PT Sandbox хранит дампы трафика и информацию о событиях. Благодаря этому эксперты SOC могут всесторонне изучить поведение обнаруженного вредоносного ПО. PT Sandbox упрощает проактивный поиск угроз и автоматизирует исследование подозрительных объектов, найденных в инфраструктуре.
Он анализирует объект сразу в нескольких виртуальных средах, записывает всю активность и предоставляет исследователю подробный граф поведения и полезные артефакты. Результаты анализа соотносятся с матрицей MITRE ATT&CK, помогают быстрее принять компенсирующие меры и понять, на каком этапе атаки находятся злоумышленники.
Защита от целенаправленных атак.
PT Anti-APT — комплекс для выявления сложных угроз, созданный на базе системы поведенческого анализа сетевого трафика PT NAD и сетевой песочницы PT Sandbox. Совокупность продуктов позволяет выявлять целевые атаки как на периметре, так и внутри сети, сокращая время скрытого присутствия злоумышленника в контуре компании.
PT NAD проверяет на наличие угроз копию трафика, перенаправленную с сетевого устройства. Файлы, передаваемые в трафике, PT NAD отправляет на анализ в PT Sandbox. Песочница проверяет, есть ли в них вредоносное содержимое, и возвращает вердикт в PT NAD.
Защита конечных устройств.
PT Sandbox выполняет задачу анализа вредоносного ПО в составе XDR-решения Positive Technologies. MaxPatrol EDR передает файлы на проверку в PT Sandbox и в случае обнаружения угрозы блокирует ее на всех узлах. Данные о найденном вредоносном содержимом PT Sandbox передает в SIEM-систему.
Защита веб-приложений.
PT Sandbox помогает выявлять атаки типа supply chain, направленные не на компанию, а на ее клиентов. В ходе такой атаки злоумышленники находят на веб-сайте уязвимость, которая позволяет разместить вместо легитимного файла вредоносный объект, эксплуатирующий уязвимость программы. При интеграции с межсетевым экраном уровня веб-приложений (web application firewall) PT Sandbox получает от него загружаемый документ, выявляет угрозу и позволяет ее заблокировать.
Контроль объектов в сетевом трафике.
Интеграция PT Sandbox со средствами контроля и анализа трафика позволяет выявлять и блокировать вредоносное ПО в пользовательском веб-трафике, обеспечивая продвинутую многоуровневую защиту от целевых атак, сложного вредоносного ПО и угроз со стороны APT-группировок. PT Sandbox анализирует файлы из трафика, защищаемого межсетевыми экранами и межсетевыми экранами уровня веб-приложений, и возвращает вердикт о вредоносности файлов.
Защита репозиториев разработки.
PT Sandbox обеспечивает безопасность данных в репозиториях разработки. Проверка собственных приложений с помощью поведенческого анализа перед их публикацией позволяет избежать участия в атаках на цепочки поставок, обеспечивая дополнительную безопасность пользователей.
Обеспечение защиты от уязвимостей.
Использование связки PT Sandbox и MaxPatrol VM позволяет реализовать в компании эффективный процесс управления уязвимостями и предотвратить потенциальную эксплуатацию злоумышленниками тех из них, для которых еще не выпущено исправление.
Ключевая особенность PT Sandbox — возможность адаптировать защиту от угроз к особенностям ИТ-инфраструктуры и бизнес-процессов компании. Для этого предусмотрены следующие механизмы:
- поддержка виртуальных сред для анализа (как с Windows различных версий, так и с российскими операционными системами — Astra Linux и «РЕД ОС»). Продукт полностью покрывает связанные с вредоносным ПО тактики и техники атакующих по матрице MITRE ATT&CK для этих типов ОС.
- гибкая кастомизация виртуальных сред. В них можно добавить специфическое ПО (и его версии), которое действительно используется в компании и может стать точкой входа для злоумышленников.
- выявление угроз как в корпоративном, так и в технологическом сегменте. Промышленная версия PT Sandbox позволяет анализировать объекты в промышленной виртуальной среде и выявляет специфическое вредоносное ПО, нацеленное на компоненты АСУ ТП.
- наличие приманок, провоцирующих вредоносное ПО на активные действия и помогающих выявить нарушителя. В файлах-приманках содержатся поддельные учетные записи, файлы конфигурации или другие ценные данные. Процессы-приманки имитируют работу банковского ПО, софта разработчиков, активность пользователей. PT Sandbox выявляет попытки похитить подобные сведения или внедриться в процессы. Основной набор приманок для Windows и Linux доступен «из коробки», но по запросу эксперты PT ESC могут создать уникальные ловушки, имитирующие работу критически важных для клиента систем.
- выявление угроз, которые не были обнаружены ранее. PT Sandbox проводит регулярный ретроспективный анализ уже проверенных ранее файлов после обновления базы знаний. Это позволяет максимально быстро обнаруживать скрытые в инфраструктуре угрозы и реагировать на атаки до того, как злоумышленник достиг цели.
- обнаружение угроз не только в файлах, но и в трафике. Помимо самих файлов PT Sandbox проверяет трафик, который генерируется в процессе анализа их поведения, а также выявляет вредоносную активность, скрытую под TLS. Это существенно повышает эффективность детектирования атак — даже в шифрованном трафике.
Возможности
Защита электронной почты.
PT Sandbox проверяет все письма, поступающие на почтовый сервер, несколькими антивирусами, а также с помощью YARA-правил, разработанных экспертным центром PT ESC. Подозрительные файлы и ссылки дополнительно проверяются в изолированной виртуальной среде методом поведенческого анализа с настраиваемым машинным обучением. Это позволяет обнаруживать неизвестное, скрытое и маскирующееся вредоносное ПО и блокировать его попадание в контур компании.
Защита файловых хранилищ и корпоративных информационных систем от вредоносного ПО.
PT Sandbox позволяет проверять файлы на наличие угроз перед их загрузкой на корпоративные сетевые ресурсы. Выявляет угрозы в файлах, передаваемых в корпоративных системах документооборота.
Защита от сложного хакерского инструментария.
PT Sandbox обладает архитектурным преимуществом, позволяющим анализировать сложное вредоносное ПО на уровне гипервизора. Уникальный анализатор работает на трех уровнях: пользовательское пространство, ядро ОС и гипервизор, обеспечивая комплексную защиту как от массовых угроз, так и от редко встречающихся, но более опасных вредоносных программ — руткитов и буткитов.
Threat hunting и ручной анализ образцов.
PT Sandbox хранит дампы трафика и информацию о событиях. Благодаря этому эксперты SOC могут всесторонне изучить поведение обнаруженного вредоносного ПО. PT Sandbox упрощает проактивный поиск угроз и автоматизирует исследование подозрительных объектов, найденных в инфраструктуре.
Он анализирует объект сразу в нескольких виртуальных средах, записывает всю активность и предоставляет исследователю подробный граф поведения и полезные артефакты. Результаты анализа соотносятся с матрицей MITRE ATT&CK, помогают быстрее принять компенсирующие меры и понять, на каком этапе атаки находятся злоумышленники.
Защита от целенаправленных атак.
PT Anti-APT — комплекс для выявления сложных угроз, созданный на базе системы поведенческого анализа сетевого трафика PT NAD и сетевой песочницы PT Sandbox. Совокупность продуктов позволяет выявлять целевые атаки как на периметре, так и внутри сети, сокращая время скрытого присутствия злоумышленника в контуре компании.
PT NAD проверяет на наличие угроз копию трафика, перенаправленную с сетевого устройства. Файлы, передаваемые в трафике, PT NAD отправляет на анализ в PT Sandbox. Песочница проверяет, есть ли в них вредоносное содержимое, и возвращает вердикт в PT NAD.
Защита конечных устройств.
PT Sandbox выполняет задачу анализа вредоносного ПО в составе XDR-решения Positive Technologies. MaxPatrol EDR передает файлы на проверку в PT Sandbox и в случае обнаружения угрозы блокирует ее на всех узлах. Данные о найденном вредоносном содержимом PT Sandbox передает в SIEM-систему.
Защита веб-приложений.
PT Sandbox помогает выявлять атаки типа supply chain, направленные не на компанию, а на ее клиентов. В ходе такой атаки злоумышленники находят на веб-сайте уязвимость, которая позволяет разместить вместо легитимного файла вредоносный объект, эксплуатирующий уязвимость программы. При интеграции с межсетевым экраном уровня веб-приложений (web application firewall) PT Sandbox получает от него загружаемый документ, выявляет угрозу и позволяет ее заблокировать.
Контроль объектов в сетевом трафике.
Интеграция PT Sandbox со средствами контроля и анализа трафика позволяет выявлять и блокировать вредоносное ПО в пользовательском веб-трафике, обеспечивая продвинутую многоуровневую защиту от целевых атак, сложного вредоносного ПО и угроз со стороны APT-группировок. PT Sandbox анализирует файлы из трафика, защищаемого межсетевыми экранами и межсетевыми экранами уровня веб-приложений, и возвращает вердикт о вредоносности файлов.
Защита репозиториев разработки.
PT Sandbox обеспечивает безопасность данных в репозиториях разработки. Проверка собственных приложений с помощью поведенческого анализа перед их публикацией позволяет избежать участия в атаках на цепочки поставок, обеспечивая дополнительную безопасность пользователей.
Обеспечение защиты от уязвимостей.
Использование связки PT Sandbox и MaxPatrol VM позволяет реализовать в компании эффективный процесс управления уязвимостями и предотвратить потенциальную эксплуатацию злоумышленниками тех из них, для которых еще не выпущено исправление.
Преимущества
Ключевая особенность PT Sandbox — возможность адаптировать защиту от угроз к особенностям ИТ-инфраструктуры и бизнес-процессов компании. Для этого предусмотрены следующие механизмы:
- поддержка виртуальных сред для анализа (как с Windows различных версий, так и с российскими операционными системами — Astra Linux и «РЕД ОС»). Продукт полностью покрывает связанные с вредоносным ПО тактики и техники атакующих по матрице MITRE ATT&CK для этих типов ОС.
- гибкая кастомизация виртуальных сред. В них можно добавить специфическое ПО (и его версии), которое действительно используется в компании и может стать точкой входа для злоумышленников.
- выявление угроз как в корпоративном, так и в технологическом сегменте. Промышленная версия PT Sandbox позволяет анализировать объекты в промышленной виртуальной среде и выявляет специфическое вредоносное ПО, нацеленное на компоненты АСУ ТП.
- наличие приманок, провоцирующих вредоносное ПО на активные действия и помогающих выявить нарушителя. В файлах-приманках содержатся поддельные учетные записи, файлы конфигурации или другие ценные данные. Процессы-приманки имитируют работу банковского ПО, софта разработчиков, активность пользователей. PT Sandbox выявляет попытки похитить подобные сведения или внедриться в процессы. Основной набор приманок для Windows и Linux доступен «из коробки», но по запросу эксперты PT ESC могут создать уникальные ловушки, имитирующие работу критически важных для клиента систем.
- выявление угроз, которые не были обнаружены ранее. PT Sandbox проводит регулярный ретроспективный анализ уже проверенных ранее файлов после обновления базы знаний. Это позволяет максимально быстро обнаруживать скрытые в инфраструктуре угрозы и реагировать на атаки до того, как злоумышленник достиг цели.
- обнаружение угроз не только в файлах, но и в трафике. Помимо самих файлов PT Sandbox проверяет трафик, который генерируется в процессе анализа их поведения, а также выявляет вредоносную активность, скрытую под TLS. Это существенно повышает эффективность детектирования атак — даже в шифрованном трафике.
Развернуть
свернуть
Реализованные проекты
Мы реализуем сложные комплексные проекты в организациях различных сфер деятельности
