FortiSandbox — обзор сетевой песочницы — TS Solution

Рассмотрим сетевое устройство FortiSandbox, предназначенное для обнаружения сложных целевых атак в изолированной защищенной среде («песочнице»). В сегодняшнем обзоре мы рассмотрим вопросы поставки, технические характеристики, функциональные возможности, вопросы базовой настройки и взаимодействия с FortiSandbox.

Начнем с того, что FortiSandbox – это ключевой компонент фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), и предназначен он для обнаружения сложных угроз и защиты от целенаправленных атак. Данное устройство осуществляет анализ и выявление потенциальных угроз в защищаемой сети с использованием эмуляции кода в изолированной защищенной среде.

Вся информация о вредоносных программах, обнаруженных FortiSandbox, передается для углубленного анализа в исследовательскую группу FortiGuard Labs.

Алгоритм обновления механизмов безопасности за счет выявленных угроз средствами FortiSandbox представлен на рисунке.

FortiSandbox

Варианты поставки

FortiSandbox доступен в нескольких вариантах:

  1. В качестве физического устройства;
  2. В качестве виртуального устройства;
  3. В качестве облачного сервиса защиты от сложных атак, который интегрирован с межсетевым экраном FortiGate (FortiSandbox Cloud).

Линейка физических устройств FortiSandbox и их характеристики представлены ниже.

FortiSandbox

FortiSandbox

Характеристики виртуального устройства FortiSandbox-VM представлены в таблице ниже.

FortiSandbox-VM

FortiSandbox Cloud в качестве сервиса FortiGuard обеспечивает такую же скорость обнаружения угроз и автоматическое реагирование на них, только в облаке.

Функции FortiSandbox Cloud могут быть предоставлены либо в виде услуг на платформах безопасности Fortinet (FortiGate, FortiWiFi, FortiMail, FortiWeb), предосставляемых по подписке, либо могут быть интегрированы в существующие службы безопасности.

Также для использования сервиса FortiSandbox Cloud необходимо подключение пользователя к соответствующему аккаунту.

Сценарии развертывания физических устройств FortiSandbox в защищаемой сети

FortiSandbox поддерживает несколько режимов развертывания.

1. Standalone — самый простой изолированный режим. В таком режиме происходит подключение FortiSandbox к SPAN-портам коммутатора. Такое подключение наиболее актуально для того, чтобы добавить к имеющимся системам безопасности защиту от сложных угроз. Также в режиме Standalone администратор может с помощью графического интерфейса загрузить подозрительные файлы на проверку. Схема использования изолированного режима FortiSandbox представлена на рисунке ниже.

Standalone

2. Integrated – это более продвинутый режим интеграции. Данный режим позволяет различным продуктам продукты Fortinet (FortiGate, FortiMail, FortiWeb, FortiClient)
перехватывать и передавать для анализа FortiSandbox подозрительный.

Для конфигурации этих продуктов с использованием FortiSandbox достаточно ввести IP-адрес сервера FortiSandbox. Для мгновенной блокировки известных угроз без снижения производительности сети и уменьшения поверхности атак такое взаимодействие является эффективным, а интеграция обеспечивает своевременное восстановление и генерацию отчетов для этих устройств. Схема интеграции FortiSandbox с другими продуктами Fortinet представлена ниже.

Integrated

3. Также использование FortiSandbox возможно в распределенных сетях предприятия. При таком режиме использования межсетевые экраны FortiGate развертываются в филиалах организации и отправляют подозрительные файлы центральному устройству FortiSandbox. Такая интеграция при низкой совокупной стоимости обеспечивает безопасность отдаленных сегментов сети. Схема развертывания FortiSandbox в распределенной сети предприятия представлена на рисунке ниже.

FortiSandbox

На количество файлов, обрабатываемых за определенный период времени устройством FortiSandbox, существуют ограничения. Поэтому, для того, чтобы сбалансировать нагрузку в условиях высокой доступности применяется кластер FortiSandbox HA Cluster (рисунок представлен ниже).

Кластер FortiSandbox HA Cluster

Функциональные возможности

Для раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак FortiSandbox использует систему эмуляции кода. Виртуальные машины, используемые FortiSandbox, оснащенны инструментами, эмулирующими типичную рабочую среду (операционные системы и программное обеспечение). С их помощью осуществляется оценка угроз исполняемых файлов, сжатых файлов (ZIP-файлов) и широкого набора файлов приложений (Adobe Flash, Adobe PDF, JavaScript и т. д.). Кроме того, FortiSandbox поддерживает возможность создания собственных образов, включающих используемое заказчиком ПО.

В изолированной среде проверка каждого файла представляется ресурсоемкой и долгосрочной задачей, способной ограничить общее число оцененных подозрительных файлов и значительно снизить производительность. Поэтому все подозрительные файлы подвергаются предварительной фильтрации: осуществляется антивирусное сканирование (AV Engine) и производится запрос к облачному сервису FortiGuard (Cloud Query).

Если после предварительной проверки угроза файла не идентифицирована, то образец файла передается для дальнейшего анализа в виртуальную «песочницу» (Full Virtual Sandbox), включающую эмуляцию кода. Если образец оказывается вредоносным, то FortiSandbox (при наличии соответствующей настройки) загружает данные об угрозе в FortiGuard Labs, которые будут переданы на анализ специалистов и в итоге войдут в обновления продуктов Fortinet для всех пользователей.
Технологии обнаружения угроз средствами FortiSandbox представлены на рисунке ниже.

Технологии обнаружения угроз

Для представления о выявленных угрозах FortiSandbox предоставляет подробные отчеты о перехваченных пакетах, исходных файлах, логи трассировки и скриншоты. Благодаря наличию этой отчетной информации увеличивается скорость восстановления и обновления защиты.

Базовая настройка FortiSandbox

Базовая настройка FortiSandbox осуществляется с помощью интерфейса командной строки. Доступ к нему предоставляется по протоколу SSH через интерфейс администрирования (port1) или с помощью COM-порта. При этом выполняется только начальная настройка, поскольку устройства FortiSandbox конфигурируются с помощью графического интерфейса.

Начальная страница интерфейса администратора (Dashboard) (см.ниже).

Dashboard

Интерфейс port3 зарезервирован для связи виртуальных машин с внешней сетью. Обращение файлов к Интернету — важный фактор при идентификации файла. При этом port3 должен быть изолирован от внутренней сети. Для получения файлов и связи между узлами кластера используются другие порты, такие как TCP-порты 2015 и 2018 (в режиме кластера FortiSandbox ).

Сетевой интерфейс FortiSandbox представлен на рисунке ниже.

Сетевой интерфейс FortiSandbox

Благодаря использованию средства централизованного управления FortiManager
устройства FortiSandbox версии FSA-1000D и FSA-3000D способны поддерживать управление и обновление.

При обнаружении угрозы администратор будет уведомлен о соответствующем уровне угрозы, получит отчет о работе FortiSandbox в разные периоды времени (при соответствующей настройке).

Настройка уведомлений представлена ниже.

Настройка уведомлений

По умолчанию на всех устройствах FortiSandbox доступны следующие образы виртуальных машин: Microsoft Windows XP SP 3 (32-разрядная версия), Windows 7 (32-разрядная версия) и Windows 7 SP 1 (64-разрядная версия) (см. ниже). Через приобретение официальной лицензии у авторизованных партнеров Fortinet можно установить дополнительные образы Android, Windows 8.1 и Windows 10.

На виртуальные машины установлено следующее программное обеспечение:

  1. Adobe Flash Player;
  2. Adobe Reader;
  3. Java Run Time;
  4. MSVC Run Time;
  5. Microsoft .Net Framework;
  6. Microsoft Office (только для WINXPVM и WIN7X86VM);
  7. Веб-браузеры.

Настройка устройств Fortinet для взаимодействия с FortiSandbox

Все устройства Fortinet настраиваются на передачу файлов на FortiSandbox для того, обеспечить осуществление инспекционного контроля. Для FortiMail доступна возможность отправки подозрительных вложений электронной почты на FortiSandbox, FortiGate поддерживает отправку всех файлов для проверки. FortiSandbox возвращает обратно на FortiGate и FortiMail статистические данные. При интеграции с FortiGate поддерживаются следующие протоколы: HTTP, FTP, POP3, IMAP, SMTP, MAPI, IM и их зашифрованные версии.

Ниже представлена настройка межсетевого экрана FortiGate для взаимодействия с FortiSandbox

Настройка межсетевого экрана FortiGate

  1. По результатам сканирования FortiSandbox генерирует пакеты вредоносных программ и черный список URL и распространяет их на устройства FortiGate и защиту конечных точек FortiClient для антивирусного сканирования и веб-фильтрации с целью блокирования вредоносного программного обеспечения.
  2. Каждые две минуты FortiGate или FortiClient отправляют на FortiSandbox запрос на получение пакета вредоносных программ. Запрос включает в себя версию пакета, хранящегося на устройстве FortiGate или FortiClient (версия 0.0 символизирует об отсутствии пакета вредоносных программ).
  3. FortiSandbox получает запрос и сравнивает версию пакета с версией последнего пакета на FortiSandbox.
  4.  В случае если версии не совпадают, FortiSandbox обновляет пакеты на FortiGate или FortiClient, отправляя актуальную версию пакета вредоносных программ.

Настройка использования песочницы FortiSandbox по умолчанию в профиле антивирусной защиты

При обнаружении угрозы FortiSandbox создает соответствующую сигнатуру для этого файла, которая добавляется в базу данных сигнатур антивируса межсетевого экрана FortiGate. Ниже представлена настройка антивирусной защиты.

Настройка антивирусной защиты

 

Настройка использования песочницы FortiSandbox по умолчанию в профиле веб-фильтра

При обнаружении FortiSandbox угрозы безопасности URL-адрес, по которому исходила угроза, добавляется в список URL-адресов, блокируемых FortiGate. Ниже представлена настройка веб-фильтра.

Настройка веб-фильтра

Настройка профиля сканирования FortiSandbox

Страница профиля позволяет настроить типы файлов, которые помещаются в очередь на сканирование, а также образы виртуальных машин для сканирования предопределенных и пользовательских типов файлов. Страница профиля сканирования представлена ниже.

Страница профиля сканирования

Ниже представлен список файлов, которые по умолчанию поддерживает FortiSandbox.

Файлы, поддерживаемые FortiSandbox

Благодаря использованию белых и черных списков повышается производительность сканирования и снижается число ложных срабатываний. Эти списки содержат контрольные суммы файлов (MD5, SHA1 или SHA256), а также перечень доменов, с которых происходит загрузка файлов. Черные и белый списки файлов представлены на рисунке ниже.

Черные и белый списки файлов

 

YARA — третий механизм обнаружения вредоносных программ, который осуществляет сопоставление с образом. FortiSandbox дает пользователю возможность составлять собственные правила YARA. Правила помещаются в ASCII-файл. В каждом правиле содержится следующая информация:

  1. ID — идентификатор правила (задается автоматически);
  2. Yara Rule Name — название правила;
  3. Default Description — описание правила;
  4. Rules Risk Level — задается уровень риска для правила от 0 (нет риска) до 10 (наивысший уровень риска). Все Yara-правила в одном Yara-файле имеют одинаковый уровень;
  5.  File Type — типы файлов для сканирования. Файл правил Yara может быть применен к нескольким типам файлов;
  6. YARA Rule File —  текстовый файл, содержащий Yara-правила.

FortiSandbox позволяет задать специфичные категории URL-адресов, которые будут иметь уровень угрозы Clean. Перечень категорий URL-адресов представлен ниже.

Перечень категорий URL-адресов

Работа с отчетами FortiSandbox

Интерфейс администратора предоставляет собой подробный и наглядный отчет, содержащий информацию о выявленных угрозах средствами FortiSandbox.

Статистика обнаруженных файлов

На странице «Сводные отчеты» раздела «Обнаруженные файлы» существуют настраиваемые виджеты, которые содержат графическую информацию и статистические данные:

• Scanning Statistics отображает таблицу с информацией о проверяемых файлах для определенного устройства за выбранный период времени.
• Scanning Statistics by Type отображает таблицу с информацией о типах файлов, рейтинге, и подсчет событий для выбранного устройства за выбранный период времени.
• Top Targeted Hosts отображает график количества инфекционных событий для конкретных хостов.
• File Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени для выбранного устройства.
• Top Infectious URLs отображает график наиболее популярных инфекционных URL-адресов, которые были обнаружены в течение выбранного периода времени.
• Top Malware отображает график инфекционных событий конкретных вредоносных программ, которые произошли для выбранного устройства в течение выбранного периода времени.
• Top Callback Domains отображает график наиболее посещаемых доменов, которые посещали файлы при их выполнении в виртуальной среде.
• Top File Types отображает статистику наиболее популярных типов файлов, которые были обнаружены в течение выбранного периода времени.

Ниже представлена страница «Сводные отчеты» раздела «Обнаруженные файлы», содержащая графическую информацию о событиях безопасности.

Сводные отчетыИнформация о вредоносном ПО, которое было обнаружено с помощью антивирусного сканера, представлена на странице «Вредоносные файлы» (Malicious files). В зависимости от фильтра пользователь может получить развернутую информацию, создать отчет в формате PDF или CSV для всех вредоносных файлов. Страница «Вредоносные файлы» и информация об обнаруженном файле представлены ниже.

Страница Вредоносные файлы

Информация об обнаруженном файле

Также FortiSandbox имеет функцию повторного сканирования. При появлении новой сигнатуры антивируса, FortiSandbox выполняет второе антивирусное сканирование всех заданий за последние 48 часов, чьи рейтинги «Чистый» или «Подозрительный» с использованием новой сигнатуры. Вирусы, обнаруженные при повторном сканировании, отображаются на этой странице с значком «Повторное сканирование». Также повторное сканирование можно выполнять вручную.

Информация о файлах, продемонстрировавших подозрительное поведение в «песочнице», представлена на странице «Подозрительные файлы». Перечень файлов, продемонстрировавших подозрительное поведение в «песочнице» представлен ниже.

Подозрительные файлы

На странице «Чистые файлы» отображаются чистые, неизвестные и файлы без рейтинга. Перечень таких файлов представлен ниже.

Чистые файлы

Статистика событий безопасности в защищаемой сети

Оповещения событий безопасности позволяют Проводить анализ активности сети, источников угроз и атакуемых узлы сети позволяют оповещения событий безопасности. Для детализации информации системой предотвращения вторжений осуществляется сканирование трафика. Существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Event Trend отображает график, предоставляющий информацию о количестве сетевых атак, посещениях подозрительных URL, обращений файлов к ботнет-сетям из виртуальной среды в течение определенного периода времени.
• Тop Network Attacks отображает график, предоставляющий информацию о количестве и типе сетевых атак.
• Top Attacked Hosts отображает график, предоставляющий информацию о наиболее часто атакуемых хостах защищаемой сети.
• Top Communicated Botnet отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями.
• Top Botnet Infected Hosts отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями среди зараженных хостов защищаемой сети.
• Top Visited Suspicious URL Hosts отображает график, предоставляющий информацию о наиболее посещаемых подозрительных URL-адресах.
• Top Hosts Visiting Suspicious URL отображает график, предоставляющий информацию о хостах сети, наиболее часто посещающих подозрительные URL-адреса.

С использованием базы данных сигнатур системы предупреждения вторжений FortiSandbox сканирует перехватываемый трафик для выявления подключений к ботнет-серверам и сетевых атак. Затем этот трафик сравнивается с базой данных веб-фильтра. Пользователю предоставляется развернутая информация и возможность создания файла отчета.

Статистика обнаруженных URL

На странице «Сводные отчеты» раздела «Обнаруженные URL» также существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Scanning Statistics отображает график, предоставляющий информацию об URL-адресах, сканируемых в ОС за выбранный период времени.
• Scanning Statistics by Type отображает график, предоставляющий информацию о типах URL, рейтинге и подсчете событий за выбранный период времени.
• Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени.
• Top Infectious URLs отображает график, предоставляющий информацию о наиболее популярных зараженных URL-адресах, обнаруженных в течение выбранного периода времени.

Чистые, неизвестные и файлы без рейтинга отображаются на странице «Чистые URL».

Выводы

Сетевое устройство безопасности FortiSandbox — это полнофункциональная сетевая «песочница», интегрированная с анализом угроз FortiGuard Labs и механизмами безопасности продуктов Fortinet (FortiGate, FortiClient, FortiWeb и FortiMail). Это обеспечивает безопасность контролируемой сети и конечных точек на каждом уровне защиты в режиме реального времени.
Физические устройства FortiSandbox предназначены для защиты вычислительных сетей крупных компаний и корпораций. Благодаря различным вариантам встраивания устройства позволяют распределять нагрузку и защищать удаленные сегменты сети. Устройства обладают высокой производительностью, однако покупка дополнительных функций может повысить себестоимость решения.
Для небольших компаний Fortinet предлагает FortiSandbox Cloud.

Достоинства:

• Высокая производительность;
• Высокая скорость анализа сетевого трафика;
• Наличие большого числа сетевых портов;
• Возможность расширения за счет дополнительных интерфейсов;
• Поддержка нескольких режимов развертывания;
• Интеграция с другими продуктами Fortinet;
• Поддержка FortiGuard Labs;
• Поддержка масштабируемости и кластеризации;
• Управление единым средством централизованного управления FortiManager.

Недостатки:

• Отсутствие русской локализации;
• Использование дополнительных функций безопасности и образов виртуальных машин требует приобретение дополнительных лицензий.

 

Вам также будет интересно:

  1. Система информационной безопасности Fortinet
  2. Fortinet — описание продуктов, презентации
  3. Конкурентное сравнение Check Point и Fortinet
  4. Каталог программно-аппаратных комплексов сетевой безопасности Fortinet