Новая ML-модель PT Sandbox выявляет скрытое и ранее неизвестное ВПО

В PT Sandbox от Positive Technologies появилась обновлённая модель машинного обучения (ML). Она предназначена для поведенческого анализа и способна выявлять неизвестное и тщательно скрытое вредоносное программное обеспечение (ВПО) по его цифровым следам в сетевом трафике. Обнаружить такие угрозы другими способами часто невозможно.

Также в решении увеличился функционал проверки объектов: сейчас система может исследовать QR-коды в электронных сообщениях и вложенных файлах на предмет вредоносной активности, а также проводить поведенческий анализ отдельных файлов через веб-интерфейс.

Одним из наиболее действенных методов поиска сложного злонамеренного ПО, которое прежде не встречалось, маскируется или использует продвинутые техники, является анализ подозрительных действий в сетевом трафике. Обновленная ML-модель, созданная и обученная командой PT, отделяет легитимный трафик от вредоносного.

Для этого она использует функцию глубокой расшифровки пакетов данных (анализ необработанного сетевого трафика) и ищет особые поведенческие характеристики вредоносного ПО, которые не поддаются обнаружению стандартными правилами.

Экспертиза сетевого уровня PT Sandbox стала богаче: в течение прошлых шести месяцев число сигнатур увеличилось больше чем на 100, а база пополнилась 900 уникальными правилами. Такое решение дает возможность обнаруживать все подозрительные процессы в цифровой сети.

В результате собственная база продукта теперь содержит более чем 16 500 уникальных шаблонов для анализа поведения и сетевых событий с целью оперативного выявления программ-вымогателей, сложных угроз и атак нулевого дня.

Следующее важное нововведение — это анализ QR-кодов, которые злоумышленники размещают в содержимом e-mail и приложенных PDF-документах. По результатам анализа, проведённого Positive Technologies, половина электронных писем с QR-кодом включает опасные файлы или нежелательную почту.

Сейчас PT Sandbox автоматически изымает ссылки из таких кодов и проверяет их с точки зрения возможной угрозы.

Функционал кастомизации YARA-правил* в PT Sandbox сделали шире. Ранее их разработкой занимался только экспертный центр безопасности PT ESC, но теперь клиенты вправе создавать и внедрять собственные правила, оптимально соответствующие особенностям защиты их компаний.

Это позволяет системе быстрее адаптироваться к текущим угрозам и точнее обнаруживать целевые атаки. Дополнительно реализована опция самостоятельной настройки очередности проверки и приоритетов анализа файлов по источнику и типу.

*YARA-правила — это формализованные описания признаков прицельных атак и попыток проникновения, используемые с целью выявления и сортировки вредоносного программного обеспечения.

Как отметил Шаих Галиев, руководитель экспертизы PT Sandbox в PT ESC:

«Злоумышленники постоянно разрабатывают новые способы проведения атак и совершенствуют старые приёмы, которые снова начинают обходить средства защиты. Новые техники стремительно используют вирусописатели, что приводит к появлению свежих образцов вредоносного ПО. Каждое пятое вредоносное ПО, выявленное при осуществлении проактивного поиска нашими специалистами, отсутствует в базах данных антивирусов, доступных публично. В результате мы регулярно улучшаем и модернизируем средства выявления, а также расширяем встроенные функции PT Sandbox с целью определения и нейтрализации вредоносных программ. В числе важнейших новшеств этого года стало добавление ещё одной ML-модели, которая позволяет точнее определять опасное программное обеспечение и защита инфраструктуры от атак нулевого дня»

В актуальной редакции PT Sandbox включили возможность взаимодействия облачных платформ и корпоративных хранилищ с протоколом S3**, что наиболее востребовано в корпоративной среде, предоставляющих облачные сервисы.

Именно такие платформы чаще всего используются с целью хранения неструктурированной информации — изображений, видеофайлов, исходного кода и архивов. 

Используя PT Sandbox, позволить контролировать защищенность российских облачных сервисов (Cloud.ru, Yandex Cloud, VK Cloud) и предотвращать распространение вредоносных программ через них.

**S3 (Simple Storage Service) — платформа хранения больших объемов информации в облачной среде.

Сейчас через web-панель песочницы выполняется вручную запуск исследование активности, позволяющий высвечивать угрозы, которые невозможно выявить статическим способом.

При необходимости эксперты по безопасности могут детально проверить подозрительные объекты и сразу же принять меры для предотвращения атаки.

Обеспечьте безопасность своей компании с помощью экспертов в области кибербезопасности!

Наша команда готова предложить вам надежные решения, способные защитить ваш бизнес от угроз.

Звоните нам по номеру +7 (495) 984-33-83 или отправляйте заявку на почту: shop@spectrasoft.ru

Мы заботимся о вашей безопасности!