Threat Emualtion песочница CPU-level - TS Solution

В релизе своей новой ОС Gaia — R77, Check Point добавил несколько новых функций, в том числе Threat Emualtion. Что он делает? Когда шлюз получает неизвестный файл одного из поддерживаемых типов (Adobe PDF, Microsoft Word, Excel, PowerPoint, EXE) он его запускает в нескольких эмулируемых средах (Microsoft Windows XP, 7, 8; Microsoft Office 2003, 2007, 2010; Adobe Reader) и наблюдает за тем, вносятся ли изменения в ОС или среду пользователя. По идеи, штатный файл такого типа не должен вносить никаких изменений, ну а если он что-то меняет, там точно вирус или иной зловред. Соответственно эмулятор сообщает об этом шлюзу и он блокирует его, также сообщая в облако о новом формате обнаруженного вируса. Такая система выглядит единственно адекватной для блокирования угроз нулевого дня, о которых не знает антивирус.

Этот сервис доступен в виде локальных устройств TE250 и TE1000 на базе устройств 4000 и 12000 серии, младший рекомендован для сред до 3000 пользователей, старший — более 3000. Про апплаенсы можно посмотреть здесь.

Любой обычный шлюз Check Point может отправлять файлы в облако из которого этот функционал предоставляется, как сервис. У производителя есть специальный сервис позволяющий отправить в облако информацию в ручном режиме, им можно воспользоваться по данной ссылке.