Песочница в антивирусе что это
Перейти к содержимому

Песочница в антивирусе что это

  • автор:

Для чего нужна и как поставляется песочница (SandBox)

Интерес к средствам защиты инфраструктуры разных классов неуклонно растет. Некоторые компании впервые сталкиваются с ИБ-тематикой и активно ищут эффективные инструменты, которые нужно ввести в инфраструктуру уже сейчас. Один из таких инструментов – песочница.

Песочница (SandBox) – это «карантинная среда», через которую проходит входящий трафик. Зловред воспринимает ее как реальную цифровую систему и начинает совершать нелегитимные действия, после чего идентифицируется и блокируется, не соприкасаясь с основной инфраструктурой. Этот класс решений используется для фильтрации как почтового, так и веб-трафика.

В этой статье мы рассмотрели прикладной механизм эксплуатации песочницы в инфраструктуре компании, а также модели реализации этого класса решений с позиции бизнеса.

Принцип работы песочницы
Важно понимать, что SandBox – это не первый эшелон обороны. Если весь трафик будет идти напрямую через песочницу, то это негативно скажется на скорости работы сервисов и компании в целом.

  • антивирус;
  • межсетевые экраны;
  • спам-фильтры.

Сергей Кривошеин, директор центра развития продуктов NGR Softlab:
При интеграции песочницы в инфраструктуру компании важно обратить внимание, как автоматизировать процесс проверки и как обеспечить его балансировку и эшелонированную защиту. Нужно убедиться, что поддерживаемые решением протоколы позволяют забрать или принять файлы для анализа, а результат этого анализа может быть передан в систему мониторинга ИБ. Если поток файлов большой, важно удостовериться, что может быть обеспечена балансировка нагрузки на экземпляры песочницы и у вас не будет очередей. Если песочница – лишь одно из звеньев проверки (например, используется дополнительно потоковый антивирус и DLP), убедитесь, что в этом процессе не будет ручного труда и вы можете автоматизировать этот конвейер.

Неизвестные вредоносы могут появляться вследствие несвоевременного обновлений защитных устройств. Этот риск стал особенно актуален в условиях ухода с российского рынка иностранных вендоров. Также, некоторые уязвимости и ВПО просто не были идентифицированы исследователями на момент атаки, а значит и программных средств автоматизированной защиты от них нет.

В таких условиях песочница – лучший способ защитить инфраструктуру. Программа SandBox позволяет посмотреть, как проявит себя подозрительный файл в карантинной среде.

Такой класс решений особенно актуален в контексте борьбы с руткитами, APT-атаками и попытками эксплуатации «уязвимостей нулевого дня». Можно сказать, что песочница «просеивает» уже отфильтрованный первичными средствами защиты трафик.

Итоги
Актуальность использования песочницы в защитной инфраструктуре компании напрямую обусловлена зрелостью ИБ в конкретной организации. Как только первичные инструменты защиты внедрены и инфраструктура защищена от наиболее распространенных, ожидаемых угроз, можно переходить к «эшелонированию» обороны компании с помощью SandBox.

При наличии достаточного количества ресурсов (финансовых, временных) и штата специалистов компания может самостоятельно интегрировать песочницу в свою инфраструктуру.

Если же такого ресурса нет или соответствующие специалисты загружены другими задачами, оптимально будет воспользоваться моделью работы «по подписке», где компания, фактически, платит за комфорт, и получает все необходимые опции для работы с этим классом защитных инструментов.

Подробнее на сайте издания по ссылке.

Что такое песочница? Как работает облачная песочница?

Киберпреступления становятся все более опасными и продуманными с каждым днем, при их совершении используются сложные техники атак, а для установки вредоносного ПО и нарушения конфиденциальности данных находятся новые пути.
Одной из важнейших задач в сфере киберзащиты, стоящих перед малым и средним бизнесом (SMB), становится обеспечение безопасности операций, которые все больше переносятся в облачные службы и Интернет.

Реальность такова, что Интернет, число активных пользователей которого достигает сегодня 4,5 миллиона, стал основной платформой для совершения атак. Недавнее исследование компании Verizon, результаты которого представлены в отчете Data Breach Investigations Report за 2020 г., показало, что 43 % утечек данных в 2019 г. было связано с атаками на веб-приложения.

Способов украсть данные великое множество. Киберпреступники получают доступ к сети компании или к домашней сети человека с помощью ложных URL-адресов, вложений и файлов, внедряя их в фишинговые письма или размещая вводящие в заблуждение ссылки.

Хорошая новость заключается в том, что современные средства веб-защиты (например, облачная песочница и безопасные веб-шлюзы) не отстают в развитии от новейших угроз для сети и электронной почты. Например, безопасные веб-шлюзы проверяют каждый байт веб-трафика (даже зашифрованного) и используют облачную песочницу, чтобы проверять подозрительные веб-материалы на наличие вредоносного содержания.

Как песочница системы кибербезопасности защищает от угроз?

Песочница системы кибербезопасности предлагает безопасную среду для открытия подозрительных файлов, запуска ненадежных программ и загрузок с URL-адресов без влияния на устройство, с помощью которого выполняются эти операции. Ее можно использовать в любое время и в любой ситуации, чтобы безопасно проверить файл или код, который может быть вредоносным, прежде чем отправлять его на устройства. И все это — в изоляции от ПК и сети компании.

В кибербезопасности песочница используется как ресурс для проверки программного обеспечения, которое может быть классифицировано как «безопасное» или «небезопасное». Вредоносные программы становятся все более опасными и распространенными, поэтому опасные приложения, ссылки и загрузки потенциально могут получить бесконечный доступ к данным сети, если они не будут предварительно протестированы в песочнице. Песочницу можно использовать как инструмент для обнаружения атак вредоносных программ и их блокирования до того, как они попадут в сеть. Система позволяет ИТ-специалистам проверить код и точно понять, как он работает, прежде чем он проникнет на конечное устройство, внедряя вредоносные программы или вирусы. Она дает ИТ-отделам понимание и информацию о том, на что следует обращать внимание в других случаях.

В качестве ключевой меры стратегий сетевой и веб-защиты использование песочницы обеспечивает дополнительный уровень безопасности: угрозы можно анализировать, изолируя их от сети, чтобы не позволить им нарушить работу системы. При необходимости приложение или файл можно запустить, а после закрытия песочницы все изменения будут отменены, чтобы исключить риск повреждения устройств.

ПО песочницы предоставляется в виде облачного или размещаемого на устройстве решения и может иметь различные возможности в зависимости от потребностей вашего бизнеса.

Какая разница между облачной и традиционной песочницей, установленной на устройстве?

Во многих компаниях из сегмента SMB быстро понимают, что облачное программное обеспечение позволяет сотрудникам работать продуктивно, где бы они ни находились, существенно сокращает расходы и не требует обслуживания, в отличие от локального оборудования и программного обеспечения. Поэтому решения с использованием физических устройств на месте используются все реже. Среди преимуществ облачного ПО можно назвать удаленную работу, резервное копирование и восстановление, а также сокращение расходов на локальное оборудование.

Как облачные, так и локальные песочницы способны укрепить защиту от угроз нулевого дня. Но облачные песочницы предлагают современному быстрорастущему штату сотрудников ряд преимуществ, связанных с веб-проверкой вредоносных программ, масштабируемостью и удобством использования.

Во-первых, использование облачной песочницы устраняет необходимость локальных серверов и позволяет без труда проверять URL-адреса, загрузки и код по запросу в виртуальной песочнице, полностью отделенной от компьютера и всех сетевых устройств. Локальные песочницы работают на физическом оборудовании и не способны защищать передвигающихся или удаленных сотрудников, тогда как возможность выполнять проверку в виртуальной среде может защищать пользователей как в корпоративной сети, так и за ее пределами.

Облачные песочницы превосходят локальные альтернативы и в том, что касается возможностей проверки, так как они позволяют проверять SSL-трафик, где нередко скрывается вредоносное ПО. Если ваша песочница не способна проверять весь SSL-трафик, вредоносные веб-угрозы могут проникнуть за линию обороны.

Использование облачной песочницы также устраняет необходимость дорогостоящих устройств для проверки на безопасность, которые требуют обслуживания, обновлений, со временем устаревают и приводят к дополнительным расходам.

Какой вариант песочницы больше подходит вашей компании?

Облачная песочница идеально подойдет компаниям с обширной сетью и большим количеством удаленного персонала, так как она обеспечивает защиту сотрудникам вне офиса. Кроме того, облачная песочница может масштабироваться вместе с компанией, тогда как устройства необходимо заменять на аналоги с большей емкостью или приобретать для них дополнительные элементы. Локальное оборудование не способно проверять подозрительные элементы в песочнице удаленно, но оно может стать идеальным выбором для небольших компаний с ограниченным количеством конечных устройств, подключаемых вне корпоративной сети.

Как облачная песочница обеспечивает защиту всей сети от угроз?

После принудительного перехода на удаленную работу из-за пандемии COVID-19 ИТ-специалисты смогли убедиться в преимуществах облачных песочниц. Главным из них является возможность обезопасить удаленных сотрудников, с чем не способны справиться локальные песочницы.

Например, использование удаленными сотрудниками различных подключений к Интернету в гостевых сетях (которые из-за большого количества пользователей можно без труда взломать или использовать для совершения киберпреступлений) представляет собой реальную опасность, если не предусмотрены меры по защите удаленного персонала. Дело в том, что, пользователь подвергается потенциальным угрозам, как только покидает сеть, поскольку взять с собой локальную систему невозможно. Облачная песочница защищает всю сеть независимо от местоположения. Дополнительные советы, связанные с безопасностью во время удаленной работы, можно найти в блоге Avast Business.

Чем песочница отличается от функции Avast Business CyberCapture?

Киберпреступники выбирают быстрые, новаторские схемы взлома сети и воздействуют на максимально возможное количество пользователей за короткий отрезок времени. Одним из способов устранения этой проблемы, предусмотренных решениями Avast Business для защиты конечных точек, является собственная функция сканирования файлов — CyberCapture. Ей оснащены все антивирусные продукты Avast Business.

Функция CyberCapture разработана для автоматического обнаружения и анализа редких подозрительных файлов. Она использует машинное обучение и анализ поведения, чтобы выполнить глубокий анализ потенциально вредоносного ПО. Эта функция используется для обнаружения подозрительных неизвестных файлов и их перехвата для более тщательной проверки. Если вредоносное ПО будет обнаружено, CyberCapture отправит его в карантин и прекратит его работу, чтобы предотвратить выполнение вредоносного кода в системе пользователя и воздействие на сеть.

Как и облачная песочница, функция CyberCapture работает в облачной среде, выявляя вредоносные программы, использующие шифрование для маскировки своих истинных намерений, и раскрывая их ложный код, чтобы определить реальные команды и инструкции таких программ. Затем ПО отмечается как безопасное или небезопасное, в последнем случае оно помещается в карантин и не может запускаться на устройстве.

Функция CyberCapture работает автоматически, тогда как облачная песочница используется по запросу любым пользователем или ИТ-отделом, который хочет запустить определенный файл или приложение в облачной среде, изолированной от устройства.

Песочница может работать в сочетании с функцией CyberCapture, передавая CyberCapture полученную информацию и позволяя ИТ-отделу лучше определять вредоносное и безопасное поведение, постоянно укрепляя защиту от угроз.

«Песочница» – изолированный режим антивируса «Защитник Windows»

Читайте о том, как включить изолированную среду для «Защитника Windows». А также, почему «Песочница» важна с точки зрения обеспечения безопасности.

«Песочница» – изолированный режим антивируса «Защитник Windows»

  • Введение
  • Способ включения изолированной среды для «Защитника Windows»
  • Почему «Песочница» важна с точки зрения обеспечения безопасности
  • Заключение
  • Вопросы и ответы
  • Комментарии

Введение

На борьбу со зловредными программами и элементами вредоносного кода направлены усилия антивирусного программного обеспечения. В информационной сети Интернет представлены продукты различных разработчиков, нацеленные на создание безопасной среды для хранения и обработки данных.

Однако не только узкоспециализированные компании направляют свои усилия на создание современных защитных инструментов, но и отдельные технологические гиганты, одним из которых, безусловно, является корпорация Microsoft, системные программные продукты которой составляют основное ее ядро, ведут собственные разработки в этом направлении. Прогрессивные технологии, применяемые в программном процессе, помогли разработчикам корпорации создать не только лучшие решения в своем классе, но и выделить новый рынок в программной среде. Например, операционная система «Windows» стала новатором среди систем управления компьютерными устройствами с дружественным графическим, ориентированным на требования и предпочтения конечного потребителя, интерфейсом, и положила начало новому стандарту программ.

Перейти к просмотру

Бесплатный встроенный антивирус Защитник Windows (Defender), автономный режим работы в 2019 ����️��

Для улучшения общих характеристик операционной системы, повышения уровня ее устойчивости и поддержки высоких параметров безопасности, корпорация «Microsoft» применяет систему усовершенствований, одним из которых является расширение функциональных возможностей Windows, направленное на обязательное применение встроенных защитных решений собственной разработки, представленных в едином системном комплексе. Одним из таких нововведений выступает новая способность «Защитника Windows» («Windows Defender») использовать для своего функционирования изолированную программную среду «Песочница».

Благодаря такой разработке антивирусное решение «Windows Defender» превращается в полноценный защитный инструмент, который при наличии угроз безопасности или дискредитации антивирусной среды не позволит нанести вред устройству и всем доступным данным, мгновенно ограничивая доступ к остальной части системы. Использование «Песочницы» позволяет встроенному «Защитнику Windows» поднять планку безопасности на новый уровень и удерживать лидерство среди других вариантов защитных решений.

Запуск «Песочницы» гарантирует, что компьютерное устройство пользователя не будет скомпрометировано, активация самопроизвольного исполнения вредоносного кода и другие зловредные действия будут ограничены только данной изолированной средой, предоставляя загруженным файлам и приложениям возможность функционировать лишь с небольшим количеством разрешений, тем самым полностью защищая систему от развития любых негативных сценариев.

Способ включения изолированной среды для «Защитника Windows»

Перейти к просмотру

Центр безопасности Windows 10: настройка бесплатного антивируса Защитник Windows (Defender) ����️��

Для включения программной изолированной среды в операционной системе Windows 10, которая по умолчанию не активна, потребуется воспользоваться возможностями приложения «Командная строка» или более гибкого средства автоматизации «Windows PowerShell».

Примечание. Запуск стандартного антивирусного защитного приложения в «Песочнице» возможен в операционной системе «Windows 10» версии «1703» или новее.

Для реализации операции запуска «Windows Defender» в изолированной среде с целью снижения риска применения уязвимостей стандартного антивируса для последующего заражения системы, необходимо установить переменную среду на уровне компьютера с последующим его перезапуском.

Поэтому сначала откройте приложение «Командная строка» или «Windows PowerShell» с правами администратора. Например, нажмите в нижнем левом углу рабочего стола кнопку «Поиск», расположенную на «Панели задач» рядом с кнопкой «Пуск». Затем в поле поискового запроса введите фразу «командная строка». В разделе «Лучшее соответствие» будет представлено искомое приложение. Нажмите на нем правой кнопкой мыши и во всплывающем меню выберите раздел «Запуск от имени администратора». Или выберите соответствующую строку в дополнительном правом меню поискового окна.

Откройте приложение «Командная строка»

«Windows PowerShell» можно вызвать нажатием правой кнопки мыши на кнопку «Пуск» или совместной комбинацией клавиш «Windows + X», каждое из которых задействует открытие всплывающего меню. Теперь из перечня представленных действий необходимо выбрать раздел «Windows PowerShell (администратор)».

«Windows PowerShell» можно вызвать нажатием правой кнопки мыши на кнопку «Пуск»

Нажмите кнопку «Да» во всплывающем системном сообщении службы контроля учетных записей «Разрешить этому приложению вносить изменения на вашем устройстве?» и приложение обработчика команд «Windows» будет открыто.

Теперь в окне приложения введите следующую команду «setx /M MP_FORCE_USE_SANDBOX 1» (без кавычек) и нажмите на клавиатуре клавишу «Ввод». Дождитесь исполнения команды, а затем перезагрузите свое устройство, чтобы внесенные изменения вступили в силу.

Введите следующую команду «setx /M MP_FORCE_USE_SANDBOX 1» (без кавычек)

После того, как «Песочница» будет включена, пользователи смогут увидеть запущенный процесс «MsMpEngCP.exe», работающий рядом со службой «MsMpEng.exe», в соответствующем списке приложения «Диспетчер задач». При желании, пользователи могут отключить функцию «Песочницы» и вернуться в исходное состояние, заново набрав выше представленную команду и заменив числовое значение с «1» на «0». Команда будет иметь следующий вид «setx /M MP_FORCE_USE_SANDBOX 0». Затем также будет необходимо выполнить перезагрузку системы устройства для применения заданных изменений.

При желании, пользователи могут отключить функцию «Песочницы»: setx /M MP_FORCE_USE_SANDBOX 0

Почему «Песочница» важна с точки зрения обеспечения безопасности

Антивирусное программное обеспечение изначально было разработано с целью обеспечения всесторонней безопасности компьютерного устройства, информации, хранящейся на нем, и сетевых соединений путем проверки всей системы на предмет наличия уязвимостей и присутствия вредоносного содержимого, а также противодействия всевозможным угрозам в режиме реального времени. Таким образом, было важно запустить программу с высокими привилегиями. Такое разрешение сделало антивирус потенциальным кандидатом для вредоносных атак (особенно данное утверждение касается уязвимостей стандартного приложения «Защитник Windows», существующих в анализаторах содержимого и способных вызывать незапланированное исполнение произвольного кода).

Запуск «Защитника Windows» в «Песочнице» значительно снижает уязвимость системы, поскольку серьезно усложняет злоумышленникам процесс доступа к критически важным системным модулям. Кроме того, использование «Windows Defender» в такой безопасной изолированной среде ограничивает проникновение вредоносного кода в случае потенциального инфицирования или нарушения целостности защиты системы.

Тем не менее, все эти действия имеют прямое отношение к общей производительности. Поэтому, чтобы гарантировать, что производительность не ухудшится, корпорация «Microsoft» применила новый подход. Главным образом он направлен на минимизацию количества взаимодействий между «Песочницей» и привилегированным процессом.

Компания также разработала особую модель, которая хранит максимальное количество данных защиты в файлах с непосредственным отображением в памяти, которые доступны только для чтения во время исполнения. Такое действие гарантирует, что влияние дополнительной нагрузки на систему будет минимальным. Кроме того, данные защиты размещаются в нескольких процессах. Это оказывается полезным в тех случаях, когда и привилегированный процесс, и процесс изолированной программной среды, требуют получения доступа к сигнатурам и другим метаданным обнаружения и исправления.

Также важно отметить, что процесс «Песочница» не позволяет самостоятельно запускать операции, способные оказывать влияние на процессы за пределами изолированной среды. Поэтому применение в изолированной среде «Защитника Windows» помогает реализовать высокие гарантии надежности и обеспечить детальный контроль за процессами.

Перейти к просмотру

Как отключить, включить или удалить защитник Windows Defender в сборке 1703 Creators Update ����️��

Заключение

Информация имеет широкое массовое распространение и вопрос ее сохранности и защиты приобретает важнейшее значение. Благодаря применению современных версий антивирусного программного обеспечения удается значительно снизить риск ее повреждения, кражи или уничтожения, а также потенциального использования для совершения противоправных действий разнообразными злоумышленниками.

Новая разработка корпорации «Microsoft», позволяющая использовать изолированную программную среду для запуска стандартного антивируса «Windows Defender», поможет существенно снизить риск заражения системы через возможные уязвимости приложения.

Используя полученные знания, пользователи всегда смогут запустить изолированную среду или отключить ее при необходимости за несколько простых шагов.

Andrey Mareev

Автор: Andrey Mareev, Технический писатель

В далеком 2005 году, я получил диплом по специальности «Прикладная математика» в Восточноукраинском национальном университете. А уже в 2006 году, я создал свой первый проект по восстановлению данных. С 2012 года, начал работать в компании «Hetman Software», отвечая за раскрутку сайта, продвижение программного обеспечения компании, и как специалист по работе с клиентами.

Michael Miroshnichenko

Редактор: Michael Miroshnichenko, Технический писатель

Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.

  • Обновлено:
  • 19.10.2023 10:16

Очистка файлов и выявление неизвестных вирусов («песочница»)

Современные антивирусные средства уже давно не способны справиться с современными угрозами (трусы, черви, шифровальщики, троянские программы и др.) — зловредный код настолько быстро меняется, что сигнатурные системы не способны за ним угнаться и играют роль «реактивной» защиты.

Это не означает, что от антивируса следует отказаться — нет, это означает, что его нужно чем-то дополнить. И этим дополнением является современный комплекс анализа файлов, которые работает по «поведенческому» признаку — это «песочница» (sandbox).

Когда файл попадает на анализ в песочницу она его проверяет не только по расширенному (по сравнению с антивирусом) набору сигнатур, но и по поведению этого файла в замкнутой среде. Здесь происходит запуск прикладной программы, обрабатывающий этот файл и система наблюдает за тем, какие соединения программа начинает открывать, к каким ресурсам обращается и вообще делает ли что-то полезное. На основании этой информации выдается вердикт: файл «чист»✅ или «заражен» ⛔.

Далее эта информация используется для обработки файла — например, блокировки вредоноса или пропуска до получателя чистого файла.

Песочница может работать в 2 вариантах:

1️⃣ локальное устройство, установленное у вас в офисе (серверной) — отдельное устройство, требующее интеграции с существующими системами, оптимально по производительности и функциональности для средней и крупной компании;

2️⃣ облачный сервис по очистке файлов — в него передается информация по необходимости. Не требует локального устройства, легко встраивается в инфраструктуру, но работает только с потоками информации (сетевыми пакетами).

Второй вариант с подпиской на облачный сервис — оптимальный вариант для небольших компаний, у которых крайне ограниченный бюджет на безопасность, но при этом есть потребность поддерживать уровень защиты на уровне современных угроз.

Принцип работы для «облачного» сценария, как мы уже отметили:

1️⃣ установить многофункциональное устройство (универсальный шлюз проверки трафика — UTM) у себя в инфраструктуре и активировать на нем подписку. У нас данное устройство можно взять в аренду с регулярными ежемесячными платежами.

2️⃣ отправлять свой трафик на очистку в уже построенный специальный центр обработки и очистки трафика с использованием VPN туннеля — в этом случае это тоже ежемесячный платеж, который чуть дешевле, но весь ваш сетевой трафик проходит через «центр очистки».

Выбор варианта и расчет стоимости аренды устройства зависит от организации вашей инфраструктуры и количества обрабатываемого трафика (скорости и загрузки каналов связи, предоставляемых Вашим оператором) — нажмите на кнопку ниже, оставьте заявку и мы с вами свяжемся и все уточним!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *