Архитектура и функциональные возможности Kaspersky Sandbox

Технология песочницы (sandbox) все чаще используется в защитных решениях. С ее помощью специалисты по информационной безопасности проводят поведенческий анализ подозрительных объектов. Файл запускается на виртуальной машине с полнофункциональной операционной системой и набором программного обеспечения. Анализ действий объекта в изолированной среде позволяет выявить опасное поведение и вынести вердикт о его блокировке.

Архитектура

Kaspersky Security для бизнеса
Kaspersky Security для бизнеса выявляет подозрительные файлы в режиме
«При доступе» (On access), а затем отправляет объект на сканирование в песочницу.

Сервер Kaspersky Sandbox
Сканируемые объекты запускаются на объединенных в кластеры серверах песочницы.
Она проверяет файлы на изолированной виртуальной машине, которая имитирует
рабочую станцию на базе Windows 7 x64.

Kaspersky Security Center
Kaspersky Security Center – единая консоль управления на основе политик.
Она помогает администрировать защитные решения, собирает данные и отправляет
в SIEM-системы сведения об угрозах, обнаруженных Kaspersky Sandbox.

Возможности

Защита
Песочница – это передовая технология обнаружения новых и неизвестных угроз
в исполняемых файлах и документах Microsoft Office. Когда объект попадает
на обработку в асинхронном режиме, Kaspersky Sandbox запускает его и записывает
все совершенные им действия. Чтобы замаскировать факт запуска файла
в контролируемой среде, применяются различные методы, в том числе эмуляция
действий пользователя и «ускорение времени». Также песочница отслеживает сетевые
соединения и загружаемые объекты. Она анализирует полученные данные на предмет
вредоносной и подозрительной активности и возвращает вердикт агенту Kaspersky
Endpoint Security, запросившему проверку. Администратор может настраивать
действия, автоматически применяемые после обнаружения вредоносных объектов:
• Удаление и отправка файлов на карантин
• Уведомление пользователя
• Проверка критических областей
• Поиск обнаруженных объектов на других машинах в защищаемой сети
Помимо этого, вердикт направляется в оперативный кеш, и другие хосты могут
получать информацию о проверенном объекте в синхронном режиме, не проводя
его повторный анализ. За счет этого снижается нагрузка на серверы Kaspersky
Sandbox и повышается скорость реагирования на угрозы. Также вынесенные вердикты
добавляются в нашу облачную сеть Kaspersky Security Network, которая позволяет
моментально реагировать на новейшие угрозы.

Администрирование
Единая консоль управления Kaspersky Security Center выполняет следующие функции:
• Управление политиками Kaspersky Endpoint Security, в частности интеграцией
с Kaspersky Sandbox и настройками отката вредоносных действий
• Сбор статистики о результатах проверок Kaspersky Sandbox и создание отчетов
для администратора
• Управление лицензиями Kaspersky Sandbox
• Передача в SIEM-системы данных об угрозах, обнаруженных Kaspersky Sandbox

Масштабирование
Имеются конфигурации, поддерживающие 1000 и 5000 узлов. Возможно объединение
нескольких серверов в кластер для повышения производительности и доступности.

Совместимость
Kaspersky Sandbox поддерживает Kaspersky Endpoint Security 11.2 для Windows
и Kaspersky Security Center 11, патч B.

Поставка и развертывание
Решение Kaspersky Sandbox поставляется в виде ISO-образа с предварительно
настроенной операционной системой CentOS 7 и всеми необходимыми компонентами.
Его можно развернуть как на физическом сервере, так и на виртуальных серверах
на базе VMware ESXi.

Материал подготовлен  "Лаборатория Касперского"