⌛️ PT Sandbox — один из наших самых быстро развивающихся продуктов, который обновляется почти каждый месяц.

На прошлой неделе мы представили версию 5.6, среди ключевых изменений которой — проверка ссылок по индикаторам компрометации с помощью PT IoC, мониторинг сетевых портов при поведенческом анализе в Linux-системах, а также распаковка при статическом анализе установочных пакетов, сжатых при помощи популярных упаковщиков.

👨‍💻 Какие еще новые фичи появились в песочнице с момента запуска версии 5.0 в апреле 2023 года? Какие преимущества дает пользователям быстрый релизный цикл и как команде удается поддерживать высокое качество при такой частоте обновлений продукта?

Об этом расскажем на вебинаре уже завтра, 28 ноября, в 14:00 — регистрируйтесь на нашем сайте.

#PTSandbox
@Positive_Technologies

🔐 Шифровальщики — самый используемый у злоумышленников тип вредоносного ПО в успешных атаках на организации. Обычно они рассылаются по огромной базе почтовых адресов и выглядят как документ Word или Excel или как PDF-файл.

Представьте, что вы — сотрудник бухгалтерии. Файлы таких форматов повсеместно используются в системах электронного документооборота.

И вот вам на почту приходит очередной счет от поставщика на оплату новогодних шапок для котиков 🐱, который вы давно ждали. После скачивания файла антивирус, установленный IT-отделом на все устройства компании, промолчал. И кажется, что все безопасно.

Вы открываете файл и... Он выдает ошибку. «Значит, файл битый», — думаете вы и идете в почту просить новый. А между тем данные на вашем устройстве начинают шифроваться. После вас ждут звонки в IT, восстановление из резервной копии или поиски дешифратора — а точнее, много потраченных часов или дней.

⏳ Время можно было бы сэкономить, если бы у вашей компании была сетевая песочница. Вот как бы выглядел этот сценарий в таком случае:

1. На почтовый сервер пришло письмо с файлом, но вы еще не видите этого письма.

2. Оно отправляется в песочницу, которая за считанные минуты его проверяет, да не просто по сигнатурному методу анализа (как это делает антивирус), а в изолированной виртуальной среде, под которую данный файл был придуман.

3. Оказывается, что файл не такой безопасный, как нам казалось. И он блокируется.

👀 Это история только одного шифровальщика. А ведь в день на корпоративные адреса поступают тысячи писем. И у каждой компании своя уникальная инфраструктура, а значит, и пожеланий у пользователей сетевой песочницы бывает много.

.⌛️ Как мы с ними работаем и улучшаем нашу песочницу PT Sandbox, в блоге на Хабре рассказал Александр Грачев, руководитель департамента продуктовой поддержки в Positive Technologies.

@Positive_Technologies
#PositiveЭксперты
#PTSandbox

🕵️ Для того чтобы наши продукты были самыми безопасными, мы считаем, что необходимо привлекать максимум профессионального сообщества к их проверке. Поэтому в декабре была запущена первая продуктовая программа багбаунти для межсетевого экрана уровня веб-приложений PT Cloud Application Firewall.

⚡️ А сегодня мы запускаем программы для одних из самых востребованных на рынке продуктов — PT Sandbox и PT Network Attack Discovery. И это очередной шаг для компании в подтверждении успешности концепции результативной кибербезопасности на своем опыте.

💬 «Способность критически мыслить и смотреть на инфраструктуру, пользоваться нестандартными ходами очень важна при построении реально работающей системы результативной кибербезопасности. И белые хакеры как раз могут предложить все это — и с их помощью можно эффективно оценить защищенность организации», — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).

@Positive_Technologies
#PTNAD
#PTSandbox

⌛️ PT Sandbox — первая песочница с искусственным интеллектом в реестре российского ПО

Наш продукт использует алгоритм машинного обучения для выявления неизвестных киберугроз.

ML-система PT Sandbox анализирует более 8500 признаков поведения объекта с точки зрения тех процессов, которые он запускает. Процессы, в свою очередь, создают системные вызовы, мы учитываем их последовательность и некоторые паттерны. Благодаря такому комплексному анализу повышается точность выявления неизвестных целенаправленных угроз.

💬 «Запись в реестре российского ПО официально признает, что продукт содержит технологии искусственного интеллекта. Это подтверждение будет важно в первую очередь тем компаниям, для которых наличие технологий ИИ в продукте — обязательное условие», — отметил Сергей Осипов, руководитель направления защиты от ВПО, Positive Technologies.

💡 В одной из кибербитв Standoff атакующие запустили вредонос, который перед началом своей активности создал цепочку подпроцессов в количестве 100 штук. ML-решение заметило эту аномалию, в то время как классической сигнатуры для ее обнаружении в продукте не было. Так, алгоритм, помимо прочего, помогает расширять экспертизу, используемую в PT Sandbox.

⏳ Познакомиться с продуктом ближе вы можете оставив заявку на нашем сайте.

@Positive_Technologies
#PTSandbox

✉️ Электронная почта сегодня есть у всех — именно поэтому она является самым популярным вектором атак злоумышленников

Уже завтра, 29 мая, в 11:00 в прямом эфире AM Live Сергей Осипов, руководитель направления защиты от вредоносного ПО, Positive Technologies, вместе с коллегами-экспертами поговорят о том, как защитить конфиденциальность переписки и свести к минимуму угрозу утечек и несанкционированных проникновений через инбокс.

🗣 В фокусе обсуждения:

• Насколько совместимы друг с другом продукты разных вендоров? Расскажем, почему PT Sandbox может легко и бесшовно интегрироваться с любыми решениями для ИТ и ИБ, обеспечивая полноценную защиту от вредоносов.

• Как минимизировать ущерб от фишинговой атаки и утечки данных? Поговорим о превентивной проверке почты и сервисе PT Knockin для оценки защищенности инбокса.

• Примеры реальных атак и их последствий для ИТ-инфраструктуры и бизнеса.

• Эволюция средств и технологий защиты электронной почты в ближайшие 2–3 года.

Присоединяйтесь к трансляции завтра утром и не забудьте зарегистрироваться заранее.

#PTSandbox
#PTKnockin
@Positive_Technologies

😰 Вы можете даже не знать о том, что ваш компьютер заражен вредоносом, невидимым для большинства антивирусов, — UEFI-буткитом

Что это за вредоносное ПО и как с ним справляется наша песочница PT Sandbox, узнаете на вебинаре, который пройдет 25 июня в 14:00.

👆 Для справки

UEFI — платформа, через которую загружаются операционные системы практически на всех современных компьютерах. Написанные под нее буткиты (вредоносы, которые срабатывают в начале загрузки компьютера и могут управлять всеми этапами запуска ОС) умеют обходить стандартную защиту и при заражении устройства остаются незаметными для большинства антивирусных программ.

🏖 Что делать

Мы реализовали поддержку UEFI в PT Sandbox, чтобы детектировать угрозы для платформы и обеспечить ее комплексную защиту. На вебинаре расскажем, с какими трудностями пришлось столкнуться в процессе и что в итоге получилось. Будет много технических деталей и экспертизы.

⌛️ Регистрируйтесь на вебинар заранее на нашем сайте.

#PTSandbox
@Positive_Technologies

Кто проживает в глубинах сети? Вре-до-носы! 👾

А как их ловят с помощью песочницы PT Sandbox расскажут пользователи нашего продукта на NetCase Day 24 сентября в 16:00.

🔥 Это будет первый митап честных кейсов по сетевой безопасности.

На нем мы не будем говорить о фичах наших NetSec-решений, а вместе с заказчиками, технологическими партнерами и интеграторами обсудим производительность, функционал и экспертизу — то, как они их видят и как пользуются продуктами.

⌛️ 🌐 Регистрируйтесь заранее на нашем сайте, чтобы узнать реальные кейсы использования PT Sandbox и PT NAD.

#PTSandbox #PTNAD
@Positive_Technologies

⌛️ В комплект поставки PT Sandbox вошел третий антивирус, который поможет еще точнее детектировать вредоносы и защищаться от массовых атак.

Для анализа вредоносного кода в PT Sandbox реализована функциональность мультисканера и используется как наша собственная экспертиза, так и экспертиза сторонних производителей.

Новым антивирусом в комплекте поставки PT Sandbox и PT MultiScanner стал VBA32 белорусского вендора «ВИРУСБЛОКАДА». Таким образом, используя экспертизу нескольких вендоров, наши продукты получают из разных источников еще больше информации о появляющихся киберугрозах 👾

«Мы провели большую работу, чтобы максимально расширить возможности PT Sandbox в части статического анализа и детектирования вредоносного ПО, и используем экспертизу всех доступных на российском рынке антивирусных решений. „ВИРУСБЛОКАДА“ — единственный разработчик антивирусных продуктов в Беларуси. Экспертиза вендора значительно усилит PT Sandbox и PT MultiScanner», — рассказал Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies.

💡 PT Sandbox поставляется совместно с VBA32 начиная с версии 5.13.0. Антивирус доступен клиентам бесплатно (чтобы получить его, необходимо обратиться в техническую поддержку).

👀 Узнать больше о возможностях нашей песочницы вы сможете на митапе честных кейсов по сетевой безопасности NetCase Day, который мы проведем 24 сентября.

#PTSandbox
@Positive_Technologies

🎭 Киберпреступники часто мимикрируют под обычных юзеров

Как их выявить в сети до того, как они нанесут неприемлемый ущерб? Расскажут пользователи нашей системы поведенческого анализа трафика PT Network Attack Discovery на NetCase Day.

🔥 Мы проведем его 24 сентября в 16:00. В прямом эфире вы сможете узнать «боевые» истории пользователей наших NetSec-решений.

На примере реальных кейсов обсудим, как нам удалось повысить производительность PT NAD и на какие фичи делаем ставку. Кроме того, расскажем, какие мощные бенефиты дает синергия двух продуктов — PT Sandbox и PT NAD.

🌐 ⌛️ Зарегистрироваться на первый митап честных кейсов по сетевой безопасности можно на нашем сайте. Ждем вас!

#PTNAD #PTSandbox
@Positive_Technologies

▶️ Первый митап честных кейсов по сетевой безопасности NetCase Day — уже в прямом эфире!

Подключаетесь к нам онлайн и узнавайте больше о PT Sandbox и PT Network Attack Discovery — от продуктовых команд, наших клиентов и партнеров.

Смотреть NetCase Day 👀

#PTNAD #PTSandbox
@Positive_Technologies

⌛️ Как обновился PT Sandbox за год? Проведем гранд-обзор 10 декабря в 14:00!

Если вы не успели за всеми изменениями, которые произошли с PT Sandbox в этом году, приглашаем посетить наш уютный вебинар.

Вместе вспомним главные достижения в разработке песочницы:

🏎 Как нам удалось в несколько раз повысить производительность, не потеряв качество обнаружения.

🔗 Какие правила, технологии и подходы помогли обеспечить расширенный анализ ссылок.

📄 Как мы реализовали поведенческий анализ новых типов и форматов файлов.

⏳ За счет чего расширили возможности кастомизации песочницы и многое другое.

Кроме обновлений функциональных и экспертных возможностей, обсудим масштабные планы команды PT Sandbox на 2025 год.

Присоединяйтесь!

#PTSandbox
@Positive_Technologies

⌛️ Магия вне Хогвартса: производительность новой версии PT Sandbox 5.17 выросла в девять раз, при этом во столько же раз снизилось количество серверного оборудования, требуемого для аналогичной нагрузки год назад.

Таких результатов удалось добиться благодаря совокупности новых возможностей, реализованных в песочнице в течение года. Рассказываем, что сделали.

1️⃣ Увеличили количество виртуальных машин, параллельно запускаемых на одном узле поведенческого анализа

Благодаря этому запуск анализа поведения файлов ускорился, возрос объем регистрируемых событий информационной безопасности и повысилась вероятность обнаружения киберугроз.

2️⃣ Добавили предварительную фильтрацию файлов

PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те, которые отвечают установленным политикам ИБ. Фильтрацию можно настроить под конкретные сценарии, в том числе связанные с сезонными проектами компаний, например важными мероприятиями или предоставлением финансовой отчетности.

3️⃣ Улучшили логику очередности проверки

Теперь при повышении и понижении приоритета файлов в очереди можно использовать результаты предыдущих проверок, что позволяет быстрее анализировать большие потоки данных.

«Мы дали пользователям возможность самим настроить глубину проверок и тем самым персонализировать защиту на оптимальной для бизнеса скорости, при этом качество анализа файлов осталось на высоком уровне и это до сих пор главная конкурентная черта продукта. Новая функциональность тестировалась в реальной жизни: ее использование в системах клиентов приводило в среднем к девятикратному росту производительности песочницы», — рассказал Константин Рудаков, лидер продуктовой практики PT Sandbox Positive Technologies.

Все это позволит клиентам, которые уже используют продукт, гибко подстроить его под масштабирование инфраструктуры. Новым пользователям последняя версия даст сэкономить на «железе», но при этом выстроить эффективные и управляемые процессы обнаружения сложных угроз.

👀 Подробнее обо всем рассказываем в новости на сайте и на вебинаре, который пройдет уже завтра, 10 декабря, в 14:00.

#PTSandbox
@Positive_Technologies

🤔 Вы уже видели этот вредонос? Нет. А он есть, и PT Sandbox его видит

Специалисты экспертного центра безопасности Positive Technologies (@ptescalator) с помощью поведенческого анализа в PT Sandbox выявили новую вредоносную активность, направленную на российские компании.

Рассказываем, как это произошло.

1️⃣ Все началось c фишингового письма

Письмо было отправлено 14 октября: оно обошло первый эшелон защиты (почтовый шлюз) и попало на анализ в PT Sandbox. Внутри него содержалась фраза «Платежное поручение! Ждем от вас акты», а также ссылка на скачивание RAR-архива oplata_plateznoe_1C.rar с исполняемым файлом, замаскированным под PDF-файл.

Информация о файле появилась в VirusTotal (VT) в тот же день, однако не все средства защиты успели обновить свои базы и, соответственно, начать детектировать вредоносное содержимое. Поэтому письмо попало на анализ в песочницу.

2️⃣ Еще одно письмо с похожим текстом получено 20 ноября

Однако в нем использовалась другая ссылка (домен злоумышленников мимикрировал под сайт производителя СЗИ), по которой скачивался файл Платежное поручение 1С.rar с вредоносом внутри.

Информация о содержимом появилась в VT 20 ноября. Проверив домен на следующий день, специалисты увидели, что он ассоциируется со многими вредоносными файлами, замеченными в ноябре и ориентированными в первую очередь на российские организации.

🫣 Что общего у этих писем?

• Они рассылались с легитимных почтовых ящиков, которые, по предварительным данным, принадлежат реальным организациям (но были под контролем у злоумышленников).

• Оба извлеченных файла являются загрузчиками вредоносных программ (Trojan‑Downloader), написанными на .NET.

• У обоих файлов — общий адрес управляющего сервера, что говорит об их принадлежности к одной кампании.

• После запуска нагрузки первой стадии скачиваются другие: PureLogs Stealer, AsyncRAT или DarkVision RAT. Все они запускаются через внедрение кода в легитимный процесс Microsoft.NET Framework — InstallUtil.exe.

• На этой стадии файл детектируется песочницей как Trojan.Win32.Generic.a / Trojan.Win32.Inject.a. Все дополнительно скачиваемые нагрузки уже не один раз анализировались и хорошо известны.

💡 Из этих примеров видно, что новые вредоносы практически невозможно обнаружить статическими методами анализа: злоумышленники могут изменить схему обфускации, и файл пропадет с радаров. Не спасут и базовые средства защиты, так как письма могут приходить со взломанных легитимных почтовых ящиков контрагентов организации.

Но усиление безопасности решениями с поведенческим анализом вредоносов, например PT Sandbox, позволит обеспечить защиту от новых и неизвестных ранее угроз и заблокировать их проникновение в контур компании.

😲 Все технические подробности вы можете найти в материале на сайте anti-malware.ru.

#PTSandbox
@Positive_Technologies

🤝 Песочница PT Sandbox прошла тестирование на совместимость с почтовым сервером RuPost

Результатом успешной синергии двух продуктов стал технологический бандл, который мы презентовали совместно с «Группой Астра» — создателем российской системы управления электронной почтой RuPost.

«Новый бандл позволяет обоюдно контролировать полную совместимость решений. Интеграция песочницы PT Sandbox и сервера RuPost поможет компаниям не просто выполнить обязательства по импортозамещению сервиса электронной почты, но и обеспечить его комплексную защиту от угроз», — комментирует Сергей Осипов, руководитель направления защиты от вредоносного ПО Positive Technologies.

Вопрос защиты электронной почты особенно актуален, поскольку в 2023 году больше половины (57%) атак начинались именно с фишинговых писем.

Во избежание инфраструктурных рисков российские компании активно переходят на отечественные почтовые сервисы, но при этом хотят, чтобы те были защищены не только извне (при помощи подключения антивирусов или антиспам-систем), но и внутри.

⌛️ Наша песочница, интегрированная в почтовый сервис, проверяет все письма, поступающие пользователям, а подозрительные файлы и ссылки дополнительно анализирует в изолированной виртуальной среде, обнаруживая неизвестное, скрытое и маскирующееся вредоносное ПО и блокируя его попадание в контур компании.

#PTSandbox
@Positive_Technologies

🔧 Псссс , вы слышали что-нибудь о пользовательских правилах в PT Sandbox? Если нет — расскажем, если да — поможем с настройкой.

Поговорим об этом в прямом эфире 25 марта в 11:00.

Руководитель отдела экспертизы PT Sandbox Шаих Галиев даст практические рекомендации:

🔵по настройке правил предварительной фильтрации для источника;
🔵настройке правил поведенческого анализа для источника;
🔵проверке их корректной работы.

Это поможет песочнице эффективнее обнаруживать ВПО и быстрее анализировать файлы при большой нагрузке.

🎁 Каждому участнику — гайд по настройке пользовательских правил проверки в PT Sandbox в подарок.

✉️ Не забудьте зарегистрироваться заранее, а в день вебинара мы обязательно напомним вам о трансляции.

#PTSandbox
@Positive_Technologies

Что происходит, когда вредонос попадает в PT Sandbox? 🤨

Для него начинается киберприключение в изолированной среде, которое всегда заканчивается ☠️

О том, как это работает, на вебинаре 17 июня в 14:00 расскажет Шаих Галиев, руководитель отдела экспертизы PT Sandbox из антивирусной лаборатории PT ESC.

На трансляции вас ждут:

🤗 Аналитика эффективности поведенческого анализа при выявлении неизвестных угроз

✅ Реальные кейсы обнаружения сложных вредоносных программ

🔄 Обновленная экспертиза PT Sandbox для точного детектирования вредоносов

Регистрируйтесь заранее на нашем сайте, чтобы обсудить возможности нашего продукта вместе с экспертом.

#PTSandbox
@Positive_Technologies

👽👽 Каждая кибербитва Standoff — испытание для наших продуктов, которое они успешно проходят

Например, во время Standoff 15 на киберфестивале Positive Hack Days в мае этого года наша песочница PT Sandbox снова «сдала» свой ежегодный экзамен.

В новой статье на Хабре рассказываем, что ей удалось поймать и какие инструменты наиболее популярны у красных команд.

Вот вам для затравки топ-3 вредоносов:

👾 Бэкдоры
👾 Трояны
👾 Загрузчики ВПО

Всего за четыре дня кибербитвы песочница обнаружила более 1200 уникальных (по хеш-сумме) образцов вредоносных программ, около сотни из них — исключительно в ходе комбинированного поведенческого анализа (да, PT Sandbox и такое умеет).

Подробнее о вредоносах, об использовании каждого и о том, как их удалось задетектить, читайте в нашем блоге.

#PTSandbox
@Positive_Technologies