Сравнение "Песочниц"

В современном цифровом мире кибербезопасность — это не просто необходимость, а основа защиты репутации, данных и финансовых ресурсов компании.

Компания Примари уже более 18 лет защищает информацию своих заказчиков. Мы являемся системным интегратором в сфере информационной безопасности, работаем с 2007 года. На сегодняшний день мы обеспечиваем защиту более 50000 рабочих мест в различных отраслях российской экономики.

Ежедневно организации сталкиваются с новыми угрозами, среди которых особенно опасны целевые атаки. Согласно статье, целевые атаки – это уже не исключение, а повседневность, ежегодно растет количество критичных инцидентов, связанных с целевыми атаками, проводимыми под управлением злоумышленников. Такие атаки тщательно спланированы и нацелены на взломы, они разработаны для обхода стандартных средств защиты, поэтому для их обнаружения необходимо использовать расширенные методы поиска угроз в сочетании с традиционными методами обнаружения.

Одним из инструментов, который показал высокую эффективность при выявлении сложных атак является «сетевая песочница», которая позволяет:

  • выявлять ранее неизвестные угрозы («нулевого дня»), использующие сложные механизмы уклонения от стандартных средств защиты;
  • исследовать и контролировать исполнение потенциально опасных программ, изучая их воздействие на операционную систему (создание, удаление, модификация файлов, запуск новых процессов, выявление инъекции кода в легитимные процессы, использование системных API и др.), реестр (какие ключи создаются, изменяются или удаляются и др.) и сеть (отправляемые и получаемые запросы, подключения к C2-серверам, и используемые протоколы и порты и др.) и прочее;
  • получать отчёты о поведении вредоносного ПО, позволяющие оперативно предпринимать контрмеры и совершенствовать защитные механизмы;
  • обеспечивать дополнительное звено в многоуровневой защите, интегрируясь с традиционными средствами безопасности (IDS/IPS, антивирусами, SIEM, NDR и др.);
  • автоматизировать реакцию на выявление угроз;

Об актуальности «сетевых песочниц» для защиты от сложных атак впервые написал Gartner в 2016 году. С момента выпуска статьи прошло практически 10 лет и теперь с уверенностью можно сказать, что «сетевая песочница» стала неотъемлемой частью экосистемы информационной безопасности любой организации.

Наши инженеры обладают глубокой технической экспертизой и опытом реальных внедрений решений класса Sandbox. Мы располагаем собственными демо-стендами и демо-лабораторией, где регулярно проводим пилотные тестирования, демонстрации сценариев атак и проверки совместимости решений. Это позволяет нам объективно оценивать функциональные возможности различных платформ и подбирать для заказчиков оптимальные решения под их конкретные задачи и инфраструктуру.

Инженерная команда Примари провела собственное исследование и сравнение отечественных «сетевых песочниц». В данной статье мы опишем результаты исследования и сравним наиболее популярные отечественные «сетевые песочницы», а также определим критерии, которые влияют на их выбор.

Полученные результаты легли в основу объективных критериев сравнения песочниц и рекомендаций для организаций, стремящихся повысить уровень своей киберзащиты.

Развертывание и масштабирование

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Развертывание на физических серверах

Да

Да

Да

Поддерживаемые процессоры

Intel

Intel

Intel

Поддерживаемые платформы вирутализации

VMware ESXi, KVM, РЕД, Брест, zVirt

VMware ESXi

Нет. Установка только на физический сервер

Отказоустойчивость

Да

Да

Да

Вывод: все «сетевые песочницы» устанавливаются только на сервера с процессорами Intel, «песочница» от Kaspersky поддерживает наибольшее количество платформ виртуализации (среди которых есть 3 отечественные), F6 – не поддерживает возможность запуска в виртуальной среде.

Администрирование

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Консоль управления

Да, единая для KATA Platform (KATA Sandbox, KATA NDR, KEDR Expert)

Да

Да

Централизованное управление несколькими инстансами решения

Да

Да

Да

Контроль доступа на основе ролей (RBAC)

Да (4 предустановленные роли)

Да (есть конструктор прав доступа)

Да

Панель аналитики (дешборды) с фильтрацией, сортировкой, поиском

Да

Да

Да

Метрики загруженности решения

Да

Да

Да

Фильтры поиска

Да

Да

Да

Аудит действий пользователя / системы

Да

Да

Да

Встроенные инструменты резервного копирования

Да, через веб-консоль администрирования

Да, через CLI (запуск предустановленных скриптов для создания резервных копий)

Да, через веб-консоль администрирования

Вывод: РТ предоставляет более гибкий подход в части предоставления прав доступа к системе. Kaspersky предлагает использовать предустановленные в системе роли, а также позволяет осуществлять контроль и настройку нескольких решений (Sandbox, EDR, NDR) из единой консоли, у РТ и F6 для каждого решения своя консоль управления.

Гостевые виртуальные машины

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Предустановленные образы Windows Desktop

Win 7,10

Win 7, 10

Win XP, 7, 10

Предустановленные образы Windows Server

Нет

2016, 2019

Нет

Лицензии на ОС Windows входят в состав решения

Да

Нет

Нет

Предустановленные образы Linux

CentOS 7.8, Astra Linux SE 1.7

Astra Linux SE 1.7, Альт Рабочая станция 10, РЕД ОС 7.3, 8, Ubuntu 22.04

Есть (список операционных систем на сайте решения не указан)

Android

Cloud ML для проверки APK-файлов (без VM)

Проверка APK-файлов без VM

Android 7 (устаревшая версия)

Загрузка пользовательских образов VM

Да, для Windows

Да, для Windows

Да, через обращение в техническую поддержку

Возможность настройки параметров проверки (какие типы файлов на каких ОС/VM запускать)

Да

Да

Да, через обращение в техническую поддержку

Возможность настройки количества одновременно работающих VM

Да

Да

Да, через веб-консоль администрирования

Необходим доступ в Интернет

Да

Да

Да

Вывод: РТ поставляет предустановленные образы Windows Server (Kaspersky и F6 – не поставляют, аргументируя тем, что это создает дополнительную нагрузку на систему, но при этом не дает повышения в качестве обнаружения вредоносного ПО). F6 проверяет APK-файлы при помощи виртуальный машины в отличии от РТ и Kaspersky. Технология Cloud ML используется Kaspersky для проверки APK файлов. Все три «песочницы» предоставляют возможность загружать собственные образы операционных систем. Kaspersky предоставляет «из коробки» инструментарий по настройке количества одновременно работающих VM, у PT и F6 изменение подобных настроек возможно через обращение в поддержку.

Обход техник уклонения

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Защита от обнаружения VM / песочницы (evasion techniques)

Да

Да

Да

Имитация щелчка “мышкой”

Да

Да

Да

Имитация движения “мышкой”

Да

Да

Да

Режим ожидания (замирание на определенное время)

Да

Да

Да

Временный триггер (запуск в определенное время)

Да

Да

Да

“Прокрутка времени”

Да

Да

Да

Имитация переключения между окнами

Да

Да

Да

Машинное зрение для распознавания образов и имитации пользовательской активности

Да

Нет

Да

Извлечение и запуск дополнительных команд из реестра

Да

Да

Да

Исполнение после перезагрузки

Да

Да

Да

Открытие ссылок (проверка ссылок, загрузка файлов для анализа по ссылкам)

Да

Да

Да

Качество детекта, подтвержденное независимыми лабораториями

Да

Не участвуют

Не участвуют

Низкое количество ложноположительных сработок, что подтверждено независимыми лабораториями

Да

Не участвуют

Не участвуют

Вывод: Все три решения используют обширное количество технологий противодействия обхода обнаружения детонации вредоносного ПО в «песочнице», РТ не использует машинное зрение для распознавания образов и имитации пользовательской активности. РТ и F6 не участвуют в публичных независимых тестированиях сторонними лабораториями, отчеты об участии Kaspersky можно посмотреть на официальным сайте вендора.

Анализ объектов

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Статический анализ

Да

Да

Да

Динамический / поведенческий анализ

Да

Да

Да

Использование технологий машинного обучения (ML)

Да

Да

Да

Проверка по облачным репутационным базам

Kaspersky Security Network

Нет

Security Cloud

Поддерживаемые форматы объектов (исполняемые, офисные, архивы, скрипты, графические и пр.)

Да

Да

Да

Сканирование ссылок (URL)

Да

Да

Да

Проверка коротких ссылок

Да

Да

Да

Форма ввода пароля для извлечения семпла

Да

Да

Нет

Настраиваемый список паролей

Да

Да

Да

Анализ средствами защиты от вредоносного ПО

Собственный антивирусный движок

Вирусблокада (PT AV), ClamAV, NANO, Kaspersky Web Traffic Security (KWTS)

Нет

Настраиваемое время обработки объекта

Да

Да

Да

Пользовательские YARA-правила

Да

Да

Да

Поверка хеш-сумм файла по-черному и белому спискам

Да

Да

Да

Повторная проверка объектов / ретроспективный анализ

Да

Да

Да

Вывод: Kaspersky использует собственный антивирусный движок, РТ использует несколько антивирусных движков (в т.ч. недавно приобретенной белорусской компании – Вирусблокада). F6 не использует антивирусную проверку в песочнице. Kaspersky и PT предоставляют возможности по вскрытию всех запароленных архивов путем ввода пароля на внутреннем портале (F6 такую опцию не предоставляет). География работы Kaspersky значительно шире, чем у РТ и F6. Наличие глобальной репутационной базы Kaspersky Security Network (KSN) и возможности обращения к ней значительно повышает качество детекта продуктов и снижает количество ложно положительных сработок. РТ и F6 не могут собирать и обрабатывать данные об угрозах со всего мира, поэтому качество детектирования и скорость получения данных о новых угрозах ниже.

Отправка семплов

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Автоматическая отправка

SPAN, почтовый трафик, Kaspersky Security Mail Gateway, Kaspersky Endpoint Security for Windows, Kaspersky Endpoint Security for Linux, ICAP, Kaspersky NGFW

Почтовый трафик, ICAP, PT NAD, общая папка, папка шлюз, S3-хранилища

SPAN, почтовый трафик (при интеграции с NTA, BEP)

Исключения файлов из автоматической отправки

Да

Нет

Домены, ссылки, производители ПО

Отправка файлов вручную (загрузка через консоль администрирования)

Из интерфейса КАТА

Анонимно через web-интерфейс продукта

F6 EDR

Отправка файлов вручную (загрузка через контекстное меню объекта на конечном устройстве на стороне пользователя)

KES Win / Lin

Нет

Нет

Через API

Да

Да

Да

Через интеграцию по ICAP

Да

Да

Да

Вывод: В числе уникальных возможностей РТ – автоматическая отправка файлов на поверку из общей папки (в Kaspersky и F6 данный функционал возможен при помощи скриптов), Kaspersky предоставляет возможность отправки объектов с рабочей станции при помощи KES как в автоматическом, так и в ручном режиме (что делает сценарий наиболее привлекательным – наравне с проверкой объектов из почтового или сетевого трафика). Работу с исключениями поддерживает Kaspersky и F6, в то время как РТ не дает возможности гибкой работы с исключениями на сценариях авто отправки.

Интеграции

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

SIEM/SOAR

по Syslog + собственная SIEM: KUMA

по Syslog + собственная SIEM: MP SIEM

по Syslog Алерты, email логи, метрики состояния решения

EDR

Да, единый агент для EPP и EDR

Да, отдельный агент

Да, отдельный агент

Защита для конечных устройств

KES Win, KESL, KEDR

Нет

Нет

MDR

Да

Нет

Да

SD-WAN

Да

Нет

Да

NDR / NTA

Да

Да

Да

Интеграция с почтовыми и веб шлюзами

Да, с KSMG (двусторонняя интеграция с уведомлением о действии шлюза) и по ICAP

Да, В режиме фильтрации, в режиме зеркалирования, почтовый сервер с установленным агентом

Busines Email Protection (BEP)

NGFW

по ICAP

по ICAP

по ICAP

LDAP

Да, MS Active Directory

Через PT MC

Да

Интеграция с собственным порталом / платформой киберразведки

Kaspersky Threat Lookup, Kaspersky Open TIP

PT Threat Analyzer

F6 MXDR

Интеграция со сторонними сервисами киберразведки TI (VirusTotal, etc.)

Да, ссылка для проверки объекта в VirusTotal

Да, ссылка для проверки объекта в VirusTotal

Да, ссылка для проверки объекта в VirusTotal

ГосCОПКА

Да

Нет

Нет

Вывод: Kaspersky и F6 предоставляют возможности по интеграции своих песочниц с сервисом по мониторингу конечных точек (у РТ такой возможности нет). Kaspersky – лидер по количеству уникальных интеграций, поддерживаемых песочницей (SD-Wan, KES, портал TI, двусторонняя интеграция с KSMG), также присутствует интеграция с ГосCОПКА.

Визуализация и отчеты

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

Оценка критичности объекта Risk Level

Да

Да

Да

Автоматическая категоризация угроз

Да

Да

Да

Системная активность объекта

Да

Да

Да

Активность извлеченного объекта

Да

Да

Да

Сетевая активность

Да

Да

Да

Соответствие матрице MITRE

Да

Да

Да

Скриншоты детонации объекта

Да

Нет

Нет

Видео детонации объекта

Нет

Да

Да

Поведенческий граф (дерево процессов)

Да

Да

Да

Интерактивное соединение с виртуальной машиной для наблюдений и анализа

VNC клиент

VNC клиент

VNC клиент

Журнал обработки объекта

Да

Да

Да

Поддержка экспорта анализа в PDF, JSON, XML

Да

Да

Да

Вывод: Все решения на обзоре предоставляют необходимый набор отчетов для офицера безопасности. Отличительной особенностью РТ и F6 является возможность записи видео с детонацией объекта, в то время как Kaspersky предоставляет скриншоты детонации (РТ и F6 не поставляют скриншоты).

Регуляторные требования

Kaspersky Anti Targeted Attack 7.1.1

Positive Technologies Sandbox 5.23

F6 Malware Detonation Platform

ФСТЭК

Да

Да

Да

ФСБ

Да

Нет

Нет

Входит в реестр отечественного ПО

Да

Да

Да

ПО относится к сфере ИИ

Да

Да

Нет

Вывод: Регуляторные требования оказывают существенное влияние на выбор решения. Песочница от Kaspersky сертифицирована во ФСТЭК и ФСБ, у F6 нет актуальных сертификатов, у РТ – только ФСТЭК. Все три решения включены в реестр отечественного ПО, к сфере искусственного интеллекта относятся решения Kaspersky и PT, F6 – нет..

Полученные результаты исследования мы использовали, чтобы сформировать объективные критерии выбора песочниц и рекомендации для организаций, стремящихся повысить уровень своей киберзащиты.

В заключении можно сказать, что внедрение решений класса Sandbox является важным элементом комплексной стратегии кибербезопасности, способствующим защите конфиденциальных данных и поддержанию стабильной работы инфраструктуры предприятия.

Выбирая Sandbox, необходимо исходить из целей вашей компании и опираться на особенности инфраструктуры.

Примари – системный интегратор в сфере информационной безопасности. Мы работаем с 2007 года, имеем лицензии ФСТЭК/ФСБ и защищаем более 500 000 рабочих мест в различных секторах российской экономики.

Мы способны реализовать проект любой сложности и обеспечить его сопровождение благодаря нашим ключевым преимуществам:

  • Глубокая техническая экспертиза и опыт реальных внедрений
  • Собственный демо-фонд оборудования и демо-лаборотория
  • Стенды для демонстраций и воспроизведения сценариев атак
  • Постоянное обучение и сертификация специалистов
  • Пилотные тестирования
  • Собственный портал поддержки

Каждое предлагаемое нами решение проверено на практике и действительно помогает заказчику повысить уровень защищённости инфраструктуры за счёт современных, надёжных и максимально эффективных технологий.