Новая версия продукта PT Sandbox поддерживает серверные операционные системы (ОС) Microsoft Windows Server 2016 и Windows Server 2019. Это позволяет воспроизводить в песочнице виртуальные машины и находить атаки, направленные на данные типы ОС. Также в ней появился гибкий механизм поиска, помогающий специалистам по ИБ в нахождении следов компрометации и проверке гипотез, выдвинутых в рамках threat hunting. Пользователи песочницы могут создавать сложные запросы для отбора заданий на анализ файлов. Такими критериями могут быть:
имена и форматы файлов;
сетевые индикаторы, хеш-суммы, имена детектов;
адреса отправителей и получателей писем;
классы угроз и прочие текстовые подстроки.
Это позволяет проводить углубленный анализ атак и заражения. К примеру, найти в ретроспективе нехарактерное вредоносное поведение и связать кажущиеся разными инциденты в единую цепочку атаки.
Алексей Вишняков,
Руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies
«PT Sandbox поможет выстроить threat hunting компаниям, не имеющим на текущий момент других средств мониторинга, обладающих функциональностью для threat hunting, например, систем анализа трафика. Зная признаки вредоносной программы, атакующей определенную отрасль, тип бизнеса или страну, пользователи песочницы могут настроить повторяющийся уточненный поиск для обнаружения этой киберугрозы».
Удобство работы пользователей в PT Sandbox улучшает новая система хранения событий. В интерфейсе продукта в режиме реального времени отображается статус выполнения каждого задания и происходит обновление данных по результатам статического и динамического анализа файлов. ИБ–специалисты могут отслеживать статусы выполнения заданий до завершения сканирования. Также они могут проверять их с помощью правил экспертного центра безопасности Positive Technologies PT Expert Security Center.
Ольга Тихонова,
Менеджер по разработке PT Sandbox
«Мы расширяем возможности нашей песочницы и теперь воспроизводим в виртуальных средах не только рабочие станции пользователей, но и серверные машины. Это позволяет PT Sandbox детектировать атаки, заточенные под серверные операционные системы».
