TS Solution
Click to order
Cart
Запрос на спецификацию:
Total: 
Остались вопросы?
С удовольствием ответим на них в ближайшее время!
Call Close
Оставьте свой телефон и мы перезвоним вам!
Или позвоните нам:
+7 (499) 638 26 91

Обзор сетевой песочницы FortiSandbox

24 МАРТА 2017
Рассмотрим сетевое устройство FortiSandbox, предназначенное для обнаружения сложных целевых атак в изолированной защищенной среде («песочнице»). В сегодняшнем обзоре мы рассмотрим вопросы поставки, технические характеристики, функциональные возможности, вопросы базовой настройки и взаимодействия с FortiSandbox.

Начнем с того, что FortiSandbox – это ключевой компонент фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), и предназначен он для обнаружения сложных угроз и защиты от целенаправленных атак. Данное устройство осуществляет анализ и выявление потенциальных угроз в защищаемой сети с использованием эмуляции кода в изолированной защищенной среде.

Вся информация о вредоносных программах, обнаруженных FortiSandbox, передается для углубленного анализа в исследовательскую группу FortiGuard Labs.

Алгоритм обновления механизмов безопасности за счет выявленных угроз средствами FortiSandbox представлен на рисунке.
Варианты поставки
FortiSandbox доступен в нескольких вариантах:

  1. В качестве физического устройства;
  2. В качестве виртуального устройства;
  3. В качестве облачного сервиса защиты от сложных атак, который интегрирован с межсетевым экраном FortiGate (FortiSandbox Cloud).
Линейка физических устройств FortiSandbox и их характеристики представлены ниже.
Характеристики виртуального устройства FortiSandbox-VM представлены в таблице ниже.
FortiSandbox Cloud в качестве сервиса FortiGuard обеспечивает такую же скорость обнаружения угроз и автоматическое реагирование на них, только в облаке.

Функции FortiSandbox Cloud могут быть предоставлены либо в виде услуг на платформах безопасности Fortinet (FortiGate, FortiWiFi, FortiMail, FortiWeb), предосставляемых по подписке, либо могут быть интегрированы в существующие службы безопасности.

Также для использования сервиса FortiSandbox Cloud необходимо подключение пользователя к соответствующему аккаунту.
Сценарии развертывания физических устройств FortiSandbox в защищаемой сети
Функциональные возможности
Для раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак FortiSandbox использует систему эмуляции кода. Виртуальные машины, используемые FortiSandbox, оснащенны инструментами, эмулирующими типичную рабочую среду (операционные системы и программное обеспечение). С их помощью осуществляется оценка угроз исполняемых файлов, сжатых файлов (ZIP-файлов) и широкого набора файлов приложений (Adobe Flash, Adobe PDF, JavaScript и т. д.). Кроме того, FortiSandbox поддерживает возможность создания собственных образов, включающих используемое заказчиком ПО.

В изолированной среде проверка каждого файла представляется ресурсоемкой и долгосрочной задачей, способной ограничить общее число оцененных подозрительных файлов и значительно снизить производительность. Поэтому все подозрительные файлы подвергаются предварительной фильтрации: осуществляется антивирусное сканирование (AV Engine) и производится запрос к облачному сервису FortiGuard (Cloud Query).

Если после предварительной проверки угроза файла не идентифицирована, то образец файла передается для дальнейшего анализа в виртуальную «песочницу» (Full Virtual Sandbox), включающую эмуляцию кода. Если образец оказывается вредоносным, то FortiSandbox (при наличии соответствующей настройки) загружает данные об угрозе в FortiGuard Labs, которые будут переданы на анализ специалистов и в итоге войдут в обновления продуктов Fortinet для всех пользователей.
Технологии обнаружения угроз средствами FortiSandbox представлены на рисунке ниже.
Для представления о выявленных угрозах FortiSandbox предоставляет подробные отчеты о перехваченных пакетах, исходных файлах, логи трассировки и скриншоты. Благодаря наличию этой отчетной информации увеличивается скорость восстановления и обновления защиты.
Базовая настройка FortiSandbox
По умолчанию на всех устройствах FortiSandbox доступны следующие образы виртуальных машин: Microsoft Windows XP SP 3 (32-разрядная версия), Windows 7 (32-разрядная версия) и Windows 7 SP 1 (64-разрядная версия) (см. ниже). Через приобретение официальной лицензии у авторизованных партнеров Fortinet можно установить дополнительные образы Android, Windows 8.1 и Windows 10.

На виртуальные машины установлено следующее программное обеспечение:

  1. Adobe Flash Player;
  2. Adobe Reader;
  3. Java Run Time;
  4. MSVC Run Time;
  5. Microsoft .Net Framework;
  6. Microsoft Office (только для WINXPVM и WIN7X86VM);
  7. Веб-браузеры.
Настройка устройств Fortinet для взаимодействия с FortiSandbox
Все устройства Fortinet настраиваются на передачу файлов на FortiSandbox для того, обеспечить осуществление инспекционного контроля. Для FortiMail доступна возможность отправки подозрительных вложений электронной почты на FortiSandbox, FortiGate поддерживает отправку всех файлов для проверки. FortiSandbox возвращает обратно на FortiGate и FortiMail статистические данные. При интеграции с FortiGate поддерживаются следующие протоколы: HTTP, FTP, POP3, IMAP, SMTP, MAPI, IM и их зашифрованные версии.
Настройка межсетевого экрана FortiGate для взаимодействия с FortiSandbox
  1. По результатам сканирования FortiSandbox генерирует пакеты вредоносных программ и черный список URL и распространяет их на устройства FortiGate и защиту конечных точек FortiClient для антивирусного сканирования и веб-фильтрации с целью блокирования вредоносного программного обеспечения.
  2. Каждые две минуты FortiGate или FortiClient отправляют на FortiSandbox запрос на получение пакета вредоносных программ. Запрос включает в себя версию пакета, хранящегося на устройстве FortiGate или FortiClient (версия 0.0 символизирует об отсутствии пакета вредоносных программ).
  3. FortiSandbox получает запрос и сравнивает версию пакета с версией последнего пакета на FortiSandbox.
  4. В случае если версии не совпадают, FortiSandbox обновляет пакеты на FortiGate или FortiClient, отправляя актуальную версию пакета вредоносных программ.
Настройка использования песочницы FortiSandbox
по умолчанию в профиле антивирусной защиты

При обнаружении угрозы FortiSandbox создает соответствующую сигнатуру для этого файла, которая добавляется в базу данных сигнатур антивируса межсетевого экрана FortiGate. Ниже представлена настройка антивирусной защиты.
Настройка использования песочницы FortiSandbox
по умолчанию в профиле веб-фильтра

При обнаружении FortiSandbox угрозы безопасности URL-адрес, по которому исходила угроза, добавляется в список URL-адресов, блокируемых FortiGate. Ниже представлена настройка веб-фильтра.
Настройка профиля сканирования FortiSandbox
Работа с отчетами FortiSandbox
На странице «Сводные отчеты» раздела «Обнаруженные файлы» существуют настраиваемые виджеты, которые содержат графическую информацию и статистические данные:

• Scanning Statistics отображает таблицу с информацией о проверяемых файлах для определенного устройства за выбранный период времени.
• Scanning Statistics by Type отображает таблицу с информацией о типах файлов, рейтинге, и подсчет событий для выбранного устройства за выбранный период времени.
• Top Targeted Hosts отображает график количества инфекционных событий для конкретных хостов.
• File Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени для выбранного устройства.
• Top Infectious URLs отображает график наиболее популярных инфекционных URL-адресов, которые были обнаружены в течение выбранного периода времени.
• Top Malware отображает график инфекционных событий конкретных вредоносных программ, которые произошли для выбранного устройства в течение выбранного периода времени.
• Top Callback Domains отображает график наиболее посещаемых доменов, которые посещали файлы при их выполнении в виртуальной среде.
• Top File Types отображает статистику наиболее популярных типов файлов, которые были обнаружены в течение выбранного периода времени.
Статистика событий безопасности в защищаемой сети
Оповещения событий безопасности позволяют Проводить анализ активности сети, источников угроз и атакуемых узлы сети позволяют оповещения событий безопасности. Для детализации информации системой предотвращения вторжений осуществляется сканирование трафика. Существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Event Trend отображает график, предоставляющий информацию о количестве сетевых атак, посещениях подозрительных URL, обращений файлов к ботнет-сетям из виртуальной среды в течение определенного периода времени.
• Тop Network Attacks отображает график, предоставляющий информацию о количестве и типе сетевых атак.
• Top Attacked Hosts отображает график, предоставляющий информацию о наиболее часто атакуемых хостах защищаемой сети.
• Top Communicated Botnet отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями.
• Top Botnet Infected Hosts отображает график, предоставляющий информацию о наиболее частых взаимодействиях с ботнет-сетями среди зараженных хостов защищаемой сети.
• Top Visited Suspicious URL Hosts отображает график, предоставляющий информацию о наиболее посещаемых подозрительных URL-адресах.
• Top Hosts Visiting Suspicious URL отображает график, предоставляющий информацию о хостах сети, наиболее часто посещающих подозрительные URL-адреса.

С использованием базы данных сигнатур системы предупреждения вторжений FortiSandbox сканирует перехватываемый трафик для выявления подключений к ботнет-серверам и сетевых атак. Затем этот трафик сравнивается с базой данных веб-фильтра. Пользователю предоставляется развернутая информация и возможность создания файла отчета.
Статистика обнаруженных URL
На странице «Сводные отчеты» раздела «Обнаруженные URL» также существуют настраиваемые виджеты, содержащие графическую информацию и статистические данные:

• Scanning Statistics отображает график, предоставляющий информацию об URL-адресах, сканируемых в ОС за выбранный период времени.
• Scanning Statistics by Type отображает график, предоставляющий информацию о типах URL, рейтинге и подсчете событий за выбранный период времени.
• Scanning Activity отображает количество чистых, подозрительных и вредоносных событий, которые произошли в определенное время в течение выбранного периода времени.
• Top Infectious URLs отображает график, предоставляющий информацию о наиболее популярных зараженных URL-адресах, обнаруженных в течение выбранного периода времени.

Чистые, неизвестные и файлы без рейтинга отображаются на странице «Чистые URL»
Выводы
Сетевое устройство безопасности FortiSandbox — это полнофункциональная сетевая «песочница», интегрированная с анализом угроз FortiGuard Labs и механизмами безопасности продуктов Fortinet (FortiGate, FortiClient, FortiWeb и FortiMail). Это обеспечивает безопасность контролируемой сети и конечных точек на каждом уровне защиты в режиме реального времени.
Физические устройства FortiSandbox предназначены для защиты вычислительных сетей крупных компаний и корпораций. Благодаря различным вариантам встраивания устройства позволяют распределять нагрузку и защищать удаленные сегменты сети. Устройства обладают высокой производительностью, однако покупка дополнительных функций может повысить себестоимость решения.
Для небольших компаний Fortinet предлагает FortiSandbox Cloud.
Достоинства
• Высокая производительность;
• Высокая скорость анализа сетевого трафика;
• Наличие большого числа сетевых портов;
• Возможность расширения за счет дополнительных интерфейсов;
• Поддержка нескольких режимов развертывания;
• Интеграция с другими продуктами Fortinet;
• Поддержка FortiGuard Labs;
• Поддержка масштабируемости и кластеризации;
• Управление единым средством централизованного управления FortiManager.
Недостатки
• Отсутствие русской локализации;
• Использование дополнительных функций безопасности и образов виртуальных машин требует приобретение дополнительных лицензий.
Читайте также: