В сетевой песочнице PT Sandbox внедрена новая модель машинного обучения, которая позволяет выявлять неизвестное и скрытое вредоносное ПО на основе анализа сетевого трафика. Дополнительно расширены возможности проверки объектов: теперь песочница анализирует QR-коды в письмах и вложенных документах на наличие вредоносного ПО и позволяет выполнять поведенческий анализ отдельных файлов через веб-интерфейс.
Один из эффективных методов выявления сложного или ранее не документированного ПО — анализ подозрительной активности в сети. Новая ML-модель, разработанная специалистами Positive Technologies, различает чистый и вредоносный трафик, используя разбор пакетов и поиск характерных признаков поведения ВПО, которые невозможно определить стандартными правилами.
Сетевая экспертиза PT Sandbox была дополнительно обогащена: за последние шесть месяцев в систему добавлены 900 уникальных сетевых правил и более 100 новых поведенческих сигнатур. Сейчас база продукта насчитывает свыше 16,5 тыс. правил, что позволяет своевременно обнаруживать продвинутые угрозы, программ-вымогатели и ВПО нулевого дня.
Особое внимание уделено анализу QR-кодов в письмах и PDF-документах. По данным Positive Technologies, каждое второе сообщение с QR-кодом содержит вредоносное ПО или спам. Теперь PT Sandbox извлекает ссылки из этих кодов и проверяет их на потенциальную опасность.
Расширены возможности настройки YARA-правил: пользователи могут создавать собственные правила, учитывающие специфику защиты их компании, а также управлять очередью проверки файлов и приоритетами анализа по источнику и типу объекта.
«Злоумышленники постоянно разрабатывают новые методы атак и модифицируют старые, обходя СЗИ. Примерно каждый пятый обнаруженный нами вредонос не описан в открытых базах, поэтому мы совершенствуем механизмы обнаружения и развиваем экспертизу PT Sandbox, — отметил Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC. — Одним из ключевых нововведений стало внедрение новой ML-модели, которая повышает эффективность выявления ВПО и защищает инфраструктуру от угроз нулевого дня».
Обновленная песочница поддерживает S3-совместимые облачные и локальные хранилища, что удобно для облачных провайдеров. Система позволяет контролировать безопасность неструктурированных данных, включая изображения, видео, программный код и архивы документов, а также отслеживать защиту популярных отечественных облачных сервисов, таких как Cloud.ru, Yandex Cloud и VK Cloud.
Через веб-интерфейс PT Sandbox теперь можно запускать ручной поведенческий анализ, позволяющий выявлять сложные угрозы, недоступные для статического анализа. Специалисты по ИБ могут подробно исследовать подозрительные файлы и предпринимать необходимые действия для предотвращения угроз.
Узнать больше о возможностях PT Sandbox и интеграции с системой поведенческого анализа трафика PT Network Attack Discovery (PT NAD) можно на втором митапе по сетевой безопасности NetCase Day 16 сентября. Регистрация доступна на официальной странице мероприятия.