Песочницы обманут вредоносное ПО

Тренды развития систем Sandbox в ближайшие 3–5 лет

05.05.2021
12:50

Специалисты Positive Technologies назвали перспективные направления, которые помогут системам Sandbox  лучше выявлять вредоносное ПО – это персонализация защиты, добавление анализа заголовков писем для охвата большего спектра угроз, а также поиск компромисса между производительностью и качеством обнаружения.

В числе ближайших целей, стоящих перед вендорами песочниц, специалисты Positive Technologies отметили кастомизацию виртуальных сред. Заменив программы на виртуальных машинах на приложения, процессы и файлы, свойственные конкретным компаниям, можно спровоцировать атакующих проявить себя в песочнице и не дать им добраться до реальной инфраструктуры.

По мнению Дениса Кораблева, директора по продуктам Positive Technologies, такой подход позволит нивелировать угрозы, направленные на критически важные для бизнеса системы.

Еще один тренд — добавление анализа заголовков писем для покрытия большей доли угроз. При этом одним из наиболее распространенных методов атак, наряду с применением вредоносных программ, остается социальная инженерия (50% атак на организации, 86% — на частных лиц). В большинстве случаев злоумышленники сочетают эти методы и используют как ключевой вектор проникновения электронную почту — в 65% атак с использованием ВПО злоумышленники опираются на человеческий фактор, чтобы инициировать заражение.

Для полноты покрытия модели угроз песочницам необходимо включать в себя анализ заголовков, например выявлять попытки фальсификации адресов отправителя и добавлять на основании уже обнаруженных угроз индикаторы программ-почтовиков, создавших письма, идентификаторы писем и адреса промежуточных узлов пересылки, соответствующие злонамеренной рассылке.

Третье направление развития систем класса Sandbox связано с поиском технологий, которые позволят без потери качества детектирования повысить производительность песочниц. При этом скорость проверки является одним из ключевых параметров, на которые обращает внимание пользователь.