Для чего нужна и как поставляется песочница (SandBox)

Интерес к средствам защиты инфраструктуры разных классов неуклонно растет. Некоторые компании впервые сталкиваются с ИБ-тематикой и активно ищут эффективные инструменты, которые нужно ввести в инфраструктуру уже сейчас. Один из таких инструментов – песочница.

Песочница (SandBox) – это «карантинная среда», через которую проходит входящий трафик. Зловред воспринимает ее как реальную цифровую систему и начинает совершать нелегитимные действия, после чего идентифицируется и блокируется, не соприкасаясь с основной инфраструктурой. Этот класс решений используется для фильтрации как почтового, так и веб-трафика.

В этой статье мы рассмотрели прикладной механизм эксплуатации песочницы в инфраструктуре компании, а также модели реализации этого класса решений с позиции бизнеса.

Принцип работы песочницы

Важно понимать, что SandBox – это не первый эшелон обороны. Если весь трафик будет идти напрямую через песочницу, то это негативно скажется на скорости работы сервисов и компании в целом.

Поэтому на первом рубеже обороны стоят другие защитные инструменты. В первую очередь это:

• антивирус;
• межсетевые экраны;
• спам-фильтры.

Они отсеивают те угрозы, информация о которых есть в базах данных этих решений. Это позволяет снизить нагрузку на саму песочницу и инфраструктуру в целом. Оставшийся трафик может содержать неизвестные другим средствам защиты вредоносы или их замаскированные варианты.

Сергей Кривошеин

Директор центра развития продуктов NGR Softlab

При интеграции песочницы в инфраструктуру компании важно обратить внимание, как автоматизировать процесс проверки и как обеспечить его балансировку и эшелонированную защиту. Нужно убедиться, что поддерживаемые решением протоколы позволяют забрать или принять файлы для анализа, а результат этого анализа может быть передан в систему мониторинга ИБ. Если поток файлов большой, важно удостовериться, что может быть обеспечена балансировка нагрузки на экземпляры песочницы и у вас не будет очередей. Если песочница – лишь одно из звеньев проверки (например, используется дополнительно потоковый антивирус и DLP), убедитесь, что в этом процессе не будет ручного труда и вы можете автоматизировать этот конвейер.

Неизвестные вредоносы могут появляться вследствие несвоевременного обновлений защитных устройств. Этот риск стал особенно актуален в условиях ухода с российского рынка иностранных вендоров. Также, некоторые уязвимости и ВПО просто не были идентифицированы исследователями на момент атаки, а значит и программных средств автоматизированной защиты от них нет.

В таких условиях песочница – лучший способ защитить инфраструктуру. Программа SandBox позволяет посмотреть, как проявит себя подозрительный файл в карантинной среде.

Такой класс решений особенно актуален в контексте борьбы с руткитами, APT-атаками и попытками эксплуатации «уязвимостей нулевого дня». Можно сказать, что песочница «просеивает» уже отфильтрованный первичными средствами защиты трафик.

Модели поставки песочницы

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

При интеграции песочницы в инфраструктуру компании важно обратить внимание на то, насколько функциональна сама система. Важно, чтобы она не только мониторила трафик, но и блокировала атаки, имела различные способы проверки зловредов.

В действительности аспектов, которые важно принять во внимание в этом случае, довольно много. Однако самый первый вопрос, который нужно себе задать при выборе песочницы звучит так: "Кто будет заниматься песочницей"?

На рынке имеются не только решения для самостоятельного внедрения, но и продукт "песочница как услуга" (SaaS-версии Sandbox) — востребованный бизнесом, когда нужны преднастройки, кастомизация под конкретные нужды и круглосуточная техническая поддержка решения.

У бизнеса есть три модели интеграции SandBox в инфраструктуру компании:

1. Самостоятельно. Купить готовый продукт и своими силами интегрировать его в сетевую инфраструктуру. Такой подход актуален для крупных IT-ориентированных компаний, у которых есть достаточное количество специалистов соответствующей компетенции.
2. Опосредованно. От предыдущей модели этот вариант отличается тем, что интеграцией и настройкой занимаются внешние специалисты, представители поставщика ПО или другая компетентная компания. Такой метод, с позиции бизнеса, проще, но не решает вопрос того, кто будет работать с песочницей «на местах».
3. Делегировано. То есть по SaaS-модели, где компания оплачивает подписку, а все операции с SandBox удаленно выполняет поставщик. Такой подход позволяет оптимизировать расходы (нет необходимости «разово» платить большую сумму за приобретение самой программы песочницы) и снижает нагрузку на штат ИБ компании.

Нельзя говорить о том, что какая-то из моделей поставки качественно лучше других, многое зависит от специфики самой компании, в первую очередь – количестве специалистов, которых можно задействовать в интеграции, настройке и поддержке продукта. SandBox – это не то решение, которое работает «из коробки».

Итоги

Актуальность использования песочницы в защитной инфраструктуре компании напрямую обусловлена зрелостью ИБ в конкретной организации. Как только первичные инструменты защиты внедрены и инфраструктура защищена от наиболее распространенных, ожидаемых угроз, можно переходить к «эшелонированию» обороны компании с помощью SandBox.

При наличии достаточного количества ресурсов (финансовых, временных) и штата специалистов компания может самостоятельно интегрировать песочницу в свою инфраструктуру.

Если же такого ресурса нет или соответствующие специалисты загружены другими задачами, оптимально будет воспользоваться моделью работы «по подписке», где компания, фактически, платит за комфорт, и получает все необходимые опции для работы с этим классом защитных инструментов.