Одно из обязательных свойств современных целевых атак — их способность проникнуть в ИТ-инфраструктуру жертвы незаметно для защитных систем. Передовое вредоносное ПО использует методы маскировки, которые превращают его в невидимку. Помочь в таких случаях может динамический анализ, который выполняется в специализированной среде — песочнице. Технологии песочниц занимают центральное место в концепции киберзащиты Trend Micro, получившей название Connected Threat Defence. В этом посте мы поговорим о том, как песочницы используются в решениях Trend Micro.
О песочницах
Технологии песочниц предоставляют самые эффективные механизмы по защите от целевых атак и атак с использованием уязвимостей нулевого дня. Принцип работы песочницы заключается в том, что подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. А вот если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу.
Использование изолированных виртуальных машин для выполнения проверяемых объектов и эмуляция взаимодействия с пользователем позволяет подробно отследить характер выполняемых действий потенциально небезопасного ПО и решить, можно ли возвращать объект пользователю для запуска на рабочей станции.
Интеграция анализа в песочнице с сигнатурным анализом и другими способами проверки в стандартных продуктах безопасности позволяет повысить эффективность выявления потенциальных угроз и улучшить от целевых атак.
Локальные песочницы
Локальные песочницы входят в состав многих антивирусов. Они реализуют изоляцию на базе частичной виртуализации файловой системы и реестра. Вместо того, чтобы создавать для каждого проверяемого процесса отдельную виртуальную машину, локальная песочница создаёт для них дубликаты объектов файловой системы и реестра. Получается безопасная среда-песочница на компьютере пользователя. Если процесс изменит файлы или запишет что-то в реестр, изменятся лишь копии внутри песочницы, а реальные объекты не будут затронуты. Изоляция от основной системы обеспечивается с помощью контроля прав.
Достоинством такого подхода является относительная простота реализации и невысокие затраты системных ресурсов. А в качестве недостатков можно отметить необходимость постоянной очистки контейнеров виртуализации для запуска каждого проверяемого файла. Помимо этого, встречаются обходы такой реализации песочницы, которые позволяют вредоносному коду «сбежать» в основную систему и разгуляться по полной.
Более защищённый вариант локальной песочницы предполагает создание отдельной виртуальной машины, копирующей рабочее окружение. Но затраты ресурсов на такой вариант оказываются неприемлемо высокими, поэтому вместо него используются сетевые песочницы, которые располагаются на выделенном сервере внутри сети компании (on-premise) или в облаке производителя антивирусного решения.
Сетевые песочницы — облачные и on-premise
Сетевые песочницы имеют меньше ограничений, чем локальные — они не снижают производительность компьютера пользователя и позволяют проверять потенциальные угрозы на различных операционных системах. Даже успешный побег из такой песочницы не станет проблемой, поскольку она полностью изолирована от рабочего компьютера пользователя. При необходимости такие песочницы могут эмулировать подключение к интернету и работу со съёмными носителями.
При работе с сетевыми песочницами на компьютерах пользователей устанавливается агент — служба, которая отправляет попавшие под подозрения файлы в сетевую песочницу. Передача файлов на анализ в облако занимает больше времени, чем при взаимодействии с on-premise-сервером в сети компании. В совокупности с длительностью анализа время ожидания результата может составить несколько минут, на протяжении которых запуск приложения будет «поставлен на паузу» до получения разрешения от песочницы. В связи с этим разработчики песочниц указывают максимальное время ожидания в SLA.
Вредоносное ПО, ориентированное на конкретную компанию, как правило, проверяет окружение, в котором запущено. И даже если оно не содержит проверку на запуск в песочнице, несоответствие окружения может привести к тому, что полезная нагрузка во время анализа не сработает, и файл будет считаться безобидным. Чтобы избежать такой ситуации, нужно, чтобы рабочая среда, которую эмулирует песочница, максимально точно соответствовала рабочим станциям реальных пользователей.
В случае с облачными песочницам добиться такого соответствия сложнее, в то время как загрузка образа рабочей станции на on-premise сервер не составляет сложности. Главное, чтобы выбранный вариант сервера-песочницы поддерживал работу с кастомными образами.
Другими словами, чтобы максимально приблизить конфигурацию виртуальных машин внутри песочницы к продакшн-среде, нужно иметь возможность тонко настраивать их содержимое: изменять настройки ОС, редактировать перечень установленных языков, драйверов периферийных устройств, устанавливать дополнительный, либо нестандартный софт и даже управлять содержимым рабочего стола, поскольку всё это и многое другое может расцениваться киберзлоумышленниками как условие для запуска либо незапуска вредоносных инструкций.
Использование же стандартизированных образов для разворачивания виртуальных машин внутри песочниц легко отслеживается и позволяет применить механизмы обхода детектирования в песочницах.
Песочницы Trend Micro поддерживают возможность загрузки кастомизированных образов ВМ, что на практике неоднократно показывало более высокую эффективность при обнаружении вредоносного ПО в сравнении с песочницами производителей, использующих стандартизированные образы ВМ для анализа.
Исходя из соображений необходимости обеспечения максимальной эффективности на сегодняшний день предпочтение следует отдать on-premise-варианту. Известные нам реализации облачных песочниц на сегодняшний день ни у одного из производителей не поддерживают в качестве среды тестирования кастомизированные образы виртуальных машин, точно отражающих инфраструктуру конкретного заказчика.
Облачные же песочницы могут рассматриваться в качестве более доступной по стоимости альтернативы, либо если инфраструктура компании территориально распределена. В этом случае затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачной и on-premise песочницей.
Критерии для выбора поставщика песочницы
Поставщика следует выбирать из соображений его осведомленности о самых новых тактиках, которыми пользуются злоумышленники для обхода защитных решений, применяемых в компании. Здесь важную роль играют несколько факторов:
специализация компании-производителя: являются ли продукты обеспечения ИБ основными в профиле, либо же это сопутствующие или вспомогательные разработки;
история компании-производителя: как часто меняются собственники бизнеса, а вместе с ними — приоритеты и вектора развития продуктовой линейки;
присутствие на рынке: чем оно шире, тем больше информационная база вредоносных объектов и моделей вредоносного поведения, на которых строятся и оттачиваются модели машинного обучения, поведенческого анализа и других средств выявления и противодействия угрозам;
оперативный доступ к самой передовой информации о выявленных уязвимостях в ОС и ПО: чем быстрее производитель средств защиты получает такую информацию из собственных исследований или от энтузиастов-исследователей и частных специалистов в области киберзащиты, тем быстрее будут разработаны и внедрены контрмеры, блокирующие возможность использования новейших уязвимостей, даже если патч от официального производителя ОС или ПО ещё не выпущен.
Ви́дение Trend Micro
Примером конкретной реализации описанного подхода к песочницам является продукт Trend Micro Deep Discovery Analyzer. Он представляет собой масштабируемый аппаратный сервер песочниц и позволяет загружать в виртуальные машины различные образы рабочей среды компании. Он полностью интегрируется с нашими решениями для защиты почты и веба, но позволяет принимать образцы на анализ из продуктов других производителей с помощью Web Services API.
Он умеет анализировать исполняемые файлы, веб-контент и потенциально вредоносные офисные документы, выявляет вредоносные URL и позволяет отправлять образцы на анализ через API или вручную. Deep Discovery Analyzer получает актуальную информацию из нашей глобальной системы выявления угроз, поэтому всегда «в курсе» последних разработок киберпреступников.
Количество данных в мире растет из года в год, поэтому основным вектором развития технологий песочниц является повышение производительности, расширение перечня типов анализируемых объектов и добавление новых моделей обнаружения потенциальных угроз.
Что касается будущего, наиболее очевидным сценарием мы считаем расширение перечня поддерживаемых операционных систем в качестве сред анализа объектов, а также расширение функциональности, которая позволит встраивать песочницы в существующие экосистемы заказчиков с минимальными изменениями конфигураций устоявшейся ИТ-инфраструктуры.