Всем привет. На связи снова Александр Грачев. Как и обещал, возвращаюсь с новыми рассказами о внутренней кухне технической поддержке песочницы PT Sandbox и том, как мы делаем мир безопаснее и лучше благодаря нашему продукту.

Вначале хочется рассказать о том, почему я считаю песочницу необходимым продуктом для любой компании. Все мы знаем о таких распространенных вирусах, как шифровальщики. И да, когда-то о них было слышно «из каждого утюга», а потом шумиха улеглась и вроде как все прошло. Но наши исследования показывают, что они никуда не делись.

Предположу, что от слова «шифровальщик» у любого IT-специалиста начинает дергаться глаз. И я понимаю эти эмоции. В мир ИБ я, как многие в этой сфере, попал из ИТ (и это несмотря на то, что многие айтишники не любят безопасников и наоборот).

Так вот, злосчастные шифровальщики — это страшный сон IT-специалиста, о котором мечтаешь забыть. Да, сейчас стало легче и проще, способов защиты стало больше, а вот раньше… В любой момент мог раздаться звонок со словами: «У меня тут на рабочем столе появился текстовый файл „Открой меня“, а внутри просят деньги. Что делать?» И начинается череда приключений. Найди все узлы, которые были зашифрованы, очисти следы шифровальщика, восстанови данные из резервной копии. И хорошо, когда все это разбито по контурам и есть внутренняя защита инфраструктуры. А если компания маленькая и никто никогда не думал о том, что шифровальщик может их задеть? А если еще и резервная копия не была «спрятана» на такой случай и ее удалили, потому что это была APT-атака, прикрытая шифровальщиком? В общем, можно сказать так: шифровальщик шифровальщику рознь, и хорошо, когда его последствия можно устранить малой кровью. Но зачем устранять, если можно не допускать?

Рассмотрим на примере того же шифровальщика, почему PT Sandbox нужен не только крупным компаниям, но и, например, SME.

Существуют разные способы поддержки инфраструктуры, это может быть как свой штат ИТ (большой или маленький), так и ИТ-аутсорсинг. Неважно, кто именно отвечает за вашу инфраструктуру, важно, как они это делают.

Шифровальщик — это вирус, который обычно рассылается по огромной базе почтовых адресов и выглядит как документ формата PDF, Word или Excel. Такие файлы повсеместно используются в системах электронного документооборота, с которыми работает, например, бухгалтерия.

И вот я как пользователь, который постоянно работает с документами, вижу, что на почту пришла очередная выписка из реестра или, например, счет от поставщика, который я давно жду. ИТ уверяет меня, что я в безопасности, ведь у меня на ПК стоит антивирус, хороший, дорогой (сам счета подписывал) — он промолчал, значит, файл можно открывать.

Пробуем открыть? Не получается. Когда-то ИТ просили сверять адреса — вроде все правильно, никаких проблем. Наверное, файл битый, вернусь к своим делам.

Вы уже догадались, что все это неспроста?

Пока я занимаюсь своими делами, мой компьютер шифруется. Казалось бы, всего одно письмо, всего одна ошибка — человеческий фактор. А вот уже и инцидент безопасности. И начинается вся эта катавасия: звонок в ИТ, восстановление из резервной копии (если она, конечно, жива), поиски, а может, и покупка дешифратора, восстановление инфраструктуры. Время. Бесконечно много драгоценного времени. А как мы все знаем, время — деньги.

Вы уже, наверное, думаете, зачем я это читаю, я же пришел про PT Sandbox узнать, получше разобраться во внутреннем мире в продукте и его поддержке, а тут про шифраторы и «вот это вот всё» (с). Да, вы правы, оставим нашу вымышленную и, конечно же, невозможную в реальной жизни ситуацию в прошлом и вернемся к песочнице.

Как связаны PT Sandbox и наша вымышленная ситуация, спросите вы? Напрямую, отвечу вам я ???? Как мы знаем, продукты класса «песочница» придуманы для того, чтобы защищать инфраструктуру от целевых и массовых атак. А как? Все просто — ловушки.

Теперь рассмотрим вариант, когда в нашей вымышленной ситуации на периметре кроме антивируса находится еще и PT Sandbox. Как мы знаем из документации (спасибо техническим писателям), наша песочница умеет работать с почтовыми источниками.

Не будем уходить в дебри и разбираться в настройках. Во-первых, все это есть в документации, а во-вторых, мы же с вами про песочек в целом, а не про настройку собрались поговорить почитать хотим (если возникнут вопросы по настройке, всегда рады видеть вас на портале поддержки). Простите, что-то я увлекся, вернемся к нашей ситуации.

На почтовый сервер приходит письмо, но дальше оно отправляется не к пользователю, а на проверку в PT Sandbox. И что же делает наша песочница? То, что происходит дальше, — магия, неподвластная даже Дамблдору и тому, чье имя нельзя называть. Но мы каждый день видим результаты ее работы, а значит, волшебство существует.

Но, если честно, дальше письмо подвергается анализу. За считаные минуты письмо с вложением проверяется, да не просто по сигнатурному методу анализа (как это делает обычный антивирус), а в изолированной виртуальной среде, под которую данный файл был придуман, и так, словно его запускает реальный пользователь. Красиво? Безусловно. Трудно? Безумно.

На этом моменте хочется передать огромный привет и благодарность всей команде разработки и экспертов, которые каждый день трудятся на благо наших пользователей и безопасности инфраструктур. Спасибо!

И вот на выходе мы видим, что файл не такой безопасный, как нам казалось. Результаты работы поведенческого анализа PT Sandbox вы видите ниже.

И это всего лишь один шифровальщик. А сколько вирусов может оказаться среди тысяч писем, поступающих каждый день в контур компании? Но если перед тем, как попасть на конечный ПК пользователя, они проверяются решением, которое позволяет уменьшить риски до размера атомов, уже можно говорить о комплексной безопасности. Не так ли?

Конечно же, можно придумать 100500 миллионов проверок почтового сервера, дополнительную валидацию файлов через «отстойник» почты, делать пометки для любой внешней почты, но даже все это вместе не станет поводом отказаться от PT Sandbox, ведь человеческий фактор никто не отменял.

Теперь расскажем про то, как мы работаем с пожеланиями пользователей относительно тех функций, которых пока нет, но так хочется видеть в PT Sandbox.

Все ваши пожелания к доработкам продукта мы каждый день принимаем по этому адресу.

Раз мы говорили про ловушки, которые, как вы уже поняли, работают с той ОС, на которой файл может быть запущен, то рассмотрим, как приоритизируются доработки, на примере поддержки нового типа ОС для наших ловушек. План разработки строится следующим образом:

Первый вариант: бизнес-потребности клиентов

Здесь планирование зависит от количества клиентов и объема запросов на реализацию того или иного образа ОС. Дополнительно прорабатываются технические возможности — ведь мы знаем, что не все операционные системы являются решениями open source. Если ОС не является открытой, необходимо обсуждать лицензионную чистоту ее использования внутри PT Sandbox, возможность вносить изменения для оптимизации к запуску в виртуальной среде, а также адаптировать ее для поиска активностей вредоносных программ.

Важно! Не все операционные системы можно оптимизировать и адаптировать для запуска в виртуальной среде, а тем более — для поиска и анализа активности вредоносного ПО.

Второй вариант: технологическая и экспертная необходимость

Мы рассматриваем важность той или иной доработки для стратегического развития продукта. Некоторые ОС могут быть узкоспециализированными и настолько редко использоваться, что тратить на ее адаптацию сотни часов работы экспертов просто нецелесообразно, так как работать с ней будут единицы ☹️ Поэтому чем больше запросов от клиентов, тем больше шансов на скорейшую реализацию доработки. А когда в доработке совмещаются бизнес-потребность и важность для экспертизы продукта, приоритет кратно увеличивается и ждать такой фичи недолго.

В случае бизнес-потребности клиента техническая поддержка помогает, увеличивая приоритет за счет сбора и агрегации всех неуникальных запросов на доработку в одной задаче для команды разработки. И чем больше клиентов просят у нас определенную фичу, тем больше бизнес-потребность у запроса.

Если вы хотите помочь нам сделать самый крутой продукт в мире ИБ, обязательно делитесь своими идеями — мы гарантируем, что рассмотрим все запросы и постараемся учесть любую хотелку. Даже если запрос окажется узконаправленным, мы все равно будем иметь его в виду и постараемся реализовать.

Надеюсь, вам стало чуть понятнее, зачем нужен PT Sandbox и какую пользу он может причинять ???? Ну а если хочется того, чего мы пока не умеем, теперь вы знаете, как попросить нас об этом. Все запросы обязательно будут рассмотрены и при возможности реализованы.

Спасибо и до новых встреч!