В девять раз снизилось количество серверного оборудования, требуемого на аналогичную нагрузку год назад
Positive Technologies представила новую версию сетевой песочницы для защиты от сложного вредоносного ПО — PT Sandbox 5.17. По сравнению с релизом 5.7, вышедшим год назад, производительность продукта выросла в девять раз, при этом качество обнаружения осталось на высоком уровне. Таких результатов удалось добиться за счет совокупности новых возможностей, реализованных в песочнице в течение года.
Одним из самых значимых обновлений, благодаря которым скорость работы PT Sandbox выросла, стало увеличение количества виртуальных машин, параллельно запускаемых на одном узле поведенческого анализа. Команда разработки оптимизировала процессы эмуляции аппаратного обеспечения, внедрив модули перехвата системных вызовов для проверок. Это позволило ускорить запуск анализа поведения файлов, а также увеличить объем регистрируемых событий информационной безопасности и повысить вероятность обнаружения киберугроз.
Вторым фактором, который повлиял на повышение производительности продукта, стала предварительная фильтрация файлов. PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те объекты, которые отвечают установленным политикам ИБ. Обновленная песочница позволяет настроить фильтрацию объектов под конкретные сценарии, связанные в том числе с сезонными проектами компаний, например с важными конференциями, предоставлением финансовой отчетности, презентациями новых решений. Команда детально проработала набор экспертных параметров для определения потенциально опасных объектов. Благодаря этому администраторы, которые работают с продуктом, могут либо сделать проверки более глубокими, либо ускорить работу системы, сократив объем данных для поведенческого анализа.
Изменения в работе с очередностью проверки файлов также повлияли на скорость PT Sandbox. Файлы, отправленные на поведенческий анализ, всегда проверяются в порядке очереди, а начиная с версии PT Sandbox 5.15 этой очередью можно управлять. Администраторам доступен просмотр деталей, отмена заданий, повышение и понижение приоритета файлов. Вместе с этим улучшена внутренняя логика очередей, например появилась возможность использования результатов предыдущих проверок. В условиях больших потоков файлов, на обработку которых может уйти от нескольких часов до нескольких дней, эта функциональность заметно ускоряет работу PT Sandbox.
Константин Рудаков, Лидер продуктовой практики PT Sandbox, Positive Technologies:
«На рынке существует стереотип, согласно которому производительность повышается за счет потери в качестве анализа, но то, что сделала наша команда, подтверждает обратное. Мы дали пользователям возможность самим настроить глубину проверок и тем самым персонализировать защиту на оптимальной для бизнеса скорости, при этом качество анализа файлов осталось на высоком уровне и до сих пор остается главной конкурентной чертой продукта. Новая функциональность тестировалась в реальной жизни: ее использование в системах клиентов приводило в среднем к девятикратному росту производительности песочницы. Мы наблюдали за работой PT Sandbox и в SOC Positive Technologies, где для узлов поведенческого анализа были подключены три аппаратных сервера. Песочница справлялась со своими задачами, используя мощности всего одного узла из трех, даже несмотря на то, что число писем и файлов, которые нужно проверять, постоянно растет вместе с ростом нашей компании в последние годы».
Благодаря новым возможностям песочница требует в девять раз меньше1 аппаратных ресурсов для запуска виртуальных машин. Клиенты, которые уже используют продукт, смогут гибко подстроить PT Sandbox под масштабирование инфраструктуры. Новым пользователям последняя версия позволит сэкономить на «железе», но при этом выстроить эффективные и управляемые процессы обнаружения сложных угроз.
Сергей Осипов, Руководитель направления защиты от вредоносного ПО, Positive Technologies:
«Главный вызов, который в течение нескольких лет стоял перед командой PT Sandbox, был связан с повышением производительности. Мы решили эту задачу, о чем с гордостью рассказываем клиентам. Теперь мы готовы к новым вызовам, в 2025 году они будут связаны с разработкой многоступенчатых процессов защиты электронной почты, чтобы продукт выполнял все необходимые проверки — от антиспама до поведенческого анализа. Однако так как злоумышленники используют для проникновения в инфраструктуру не только почту, поэтому мы планируем развивать возможности дополнительной расширенной интеграции с другими нашими продуктами, в частности с PT NGFW, MaxPatrol EDR и PT Network Attack Discovery, а также с решениями сторонних производителей».
Источник: www.ptsecurity.com _Мета слова: _