УДК 004.056

Применение изолированной программной среды для защиты от целенаправленных атак

Микков Александр Дмитриевич – студент Санкт-Петербургского государственного университета телекоммуникаций имени профессора М. А. Бонч‑Бруевича.

Аннотация: Статья представляет собой описание актуальных видов изолированных программных сред для обнаружения и противодействию современным компьютерным вирусам. Принципам работы программ-песочниц, а также в статье рассматриваются преимущества разных реализаций подобных систем.

Ключевые слова: информационная безопасность, изолированная программная среда, программа-песочница, программное обеспечение, вредоносное программное обеспечение.

Безопасность внутренней информационной инфраструктуры – одна из важнейших задач компании, поскольку большинство технологических и бизнес-процессов, эффективность которых повышается при помощи использования компьютерной техники, которая позволяет обрабатывать большие объемы информации, повысить скорость передачи данных, а также повысить удобство доступа сотрудников к информации, требуемой для работы. В связи с глобальной цифровизацией всех производственных процессов – организации стали основной целью для злоумышленников. Для таких атак злоумышленники могут разрабатывать и использовать вредоносное программное обеспечение, например программы-вымогатели, шпионское программное обеспечение, программы для модификации или удаления сведений с устройств компании, а также для выведения из строя компьютеров и серверов и прочей техники организации.

Для защиты от целевых атак стали использовать антивирусное программное обеспечение, однако в настоящее время вредоносные программы научились эффективно действовать против базовых средств защиты – антивирусов, шлюзов безопасности, систем обнаружения вторжений и систем предотвращения вторжений (IDS и IPS).

Для выявления подобных угроз начали разрабатывать отдельный класс решений – изолированные программные среды («песочницы»). Такие решения проверяют все потенциально опасные файлы, попадающие в сеть компании, в изолированной виртуальной среде и анализирует все действия, совершенные файлом в системе, и выводит вердикт о том, безопасен ли этот файл или нет.

Основу современных методов антивирусной защиты составляет установка изолированных программных сред, поскольку эффективность сигнатурного анализа в борьбе против вредоносного ПО не является достаточной.

На данный момент существуют различные способы установки песочниц:

  • Локальные песочницы
  • Сетевые песочницы

Локальные песочницы предусматривают изоляцию на основе частичной виртуализации файловой системы и реестра. Вместо создания отдельной виртуальной машины для каждого проверяемого процесса, локальная песочница создает дубликаты объектов файловой системы и реестра. В итоге на пользовательском компьютере формируется безопасная среда-песочница.

Основу механизма защиты составляет использование разграничительной политики доступа потенциально опасных программ к защищаемым системным объектам (файловым и объектам реестра операционной системы Microsoft Windows). Для предотвращения доступа таких программ (любой запрос доступа определяется двумя сущностями: пользователем – учетной записью – и процессом), реализовать песочницу можно, задав соответствующие права доступа к системным объектам либо для пользователей, либо для процессов. Таким образом, можно ассоциировать песочницу с создаваемой для нее учетной записью, под которой должны запускаться потенциально опасные программы. Альтернативой служит разграничение прав доступа к системным объектам для потенциально опасных процессов (песочница при этом ассоциируется с конкретными процессами).

Преимуществом данного метода является его относительная простота в реализации и низкое потребление системных ресурсов. С другой стороны, существует необходимость регулярной очистки контейнеров виртуализации перед запуском каждого проверяемого файла, что является его недостатком. Более того, существуют способы обхода этой реализации песочницы, которые дают возможность злонамеренному коду "убежать" из виртуальной среды в основную систему и активировать свои функции.

Более защищённый вариант – использовать локальную песочницу, создавая отдельную виртуальную машину, которая повторяет рабочую среду. Однако, это требует слишком много системных ресурсов, поэтому предпочтительнее использовать сетевые песочницы. Они могут быть размещены на специальном сервере внутри сети компании (on-premise) или в облачной среде производителя антивирусного решения.

Сетевые песочницы менее ограничены по сравнению с локальными – они не уменьшают эффективность работы компьютера пользователя и могут тестировать потенциальные угрозы в разных операционных системах. Даже если вредоносный код успешно "сбежит" из такой песочницы, это не станет проблемой, так как она полностью отделена от рабочего компьютера пользователя. При необходимости, эти песочницы могут имитировать подключение к интернету и работу с съемными устройствами.

В процессе использования сетевых песочниц на компьютерах пользователей устанавливается агент, служба, которая пересылает подозрительные файлы на анализ в сетевую песочницу. Отправка файлов на проверку в облачной сервис занимает больше времени, по сравнению с взаимодействием с on-premise-сервером внутри сети компании.

Малициозное программное обеспечение, нацеленное на определенную компанию, обычно проверяет окружение, в котором оно работает. Даже если оно не проверяет, работает ли оно в песочнице, несовпадение окружения может привести к тому, что вредоносная нагрузка не активируется во время анализа, и файл будет признан безвредным. Для предотвращения такого сценария, необходимо, чтобы эмулируемое песочницей рабочее окружение максимально точно отражало рабочие станции реальных пользователей.

С облачными песочницами сложнее достичь такого прямого соответствия, тогда как загрузка образа рабочей станции на on-premise сервер не представляет проблем. Основное условие – сервер-песочница должен поддерживать работу с модифицированными образами операционных систем.

Для того чтобы максимально приблизить конфигурацию виртуальных машин в песочнице к реальной рабочей среде, необходима возможность детальной настройки их содержимого: изменение параметров операционных систем, редактирование списка установленных языков, драйверов внешних устройств, установка дополнительного или нестандартного программного обеспечения, а также управление содержимым рабочего стола, так как все это и многие другие факторы могут быть использованы злоумышленниками как условия для активации вредоносных команд.

Применение стандартных образов для создания виртуальных машин в песочнице может быть легко обнаружено, что дает возможность использовать механизмы для обхода обнаружения в песочницах.

Сейчас, с учетом необходимости достижения максимальной эффективности, предпочтение отдается сетевым решениям, которые работают на серверах компании.

Облачные песочницы могут быть рассмотрены как более бюджетный вариант, или если инфраструктура компании распространена географически.

В заключение стоит отметить, что метод использования виртуальных изолированных сред кардинально упрощает проектирование системы защиты информации. За счет введения обоснованных допущений в отношении реализации угроз атак на защищенную информационную систему он позволяет решить две важнейшие задачи проектирования – определить оптимальный набор функций защиты, реализуемых системой защиты информации, и сформировать требования к эксплуатационным параметрам средств защиты, входящих в состав этой системы.

Список литературы

  1. Sandbox – выделенная среда для безопасного исполнения программ // CloudNetworks URL: https://cloudnetworks.ru/inf-bezopasnost/antiapt-sandbox.
  2. Какие варианты «песочницы» существуют // Anti-Malware URL: https://www.anti- malware.ru/analytics/Technology_Analysis/What-sandbox-options-exist.

Интересная статья? Поделись ей с другими: