Устройство обнаружения сложных угроз FortiSandbox является ключевым компонентом фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), разработанным для защиты от целенаправленных атак. Оно осуществляет анализ и выявление потенциальных угроз в защищаемой сети с использованием эмуляции кода в изолированной защищенной среде. Устройство FortiSandbox обеспечивает проактивное обнаружение и минимизацию последствий атак. Информация об обнаруженных FortiSandbox вредоносных программах передается в исследовательскую группу FortiGuard Labs для углубленного анализа.
FortiSandbox поддерживает несколько режимов развертывания.
1. Standalone — самый простой изолированный режим. В таком режиме происходит подключение FortiSandbox к SPAN-портам коммутатора. Такое подключение наиболее актуально для того, чтобы добавить к имеющимся системам безопасности защиту от сложных угроз. Также в режиме Standalone администратор может с помощью графического интерфейса загрузить подозрительные файлы на проверку. Схема использования изолированного режима FortiSandbox представлена на рисунке ниже.
2. Integrated – это более продвинутый режим интеграции. Данный режим позволяет различным продуктам продукты Fortinet (FortiGate, FortiMail, FortiWeb, FortiClient) перехватывать и передавать для анализа FortiSandbox подозрительный.
Для конфигурации этих продуктов с использованием FortiSandbox достаточно ввести IP-адрес сервера FortiSandbox. Для мгновенной блокировки известных угроз без снижения производительности сети и уменьшения поверхности атак такое взаимодействие является эффективным, а интеграция обеспечивает своевременное восстановление и генерацию отчетов для этих устройств.
3. Также использование FortiSandbox возможно в распределенных сетях предприятия. При таком режиме использования межсетевые экраны FortiGate развертываются в филиалах организации и отправляют подозрительные файлы центральному устройству FortiSandbox. Такая интеграция при низкой совокупной стоимости обеспечивает безопасность отдаленных сегментов сети. Схема развертывания FortiSandbox в распределенной сети предприятия представлена на рисунке ниже.
Для раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак FortiSandbox использует систему эмуляции кода. Виртуальные машины, используемые FortiSandbox, оснащенны инструментами, эмулирующими типичную рабочую среду (операционные системы и программное обеспечение). С их помощью осуществляется оценка угроз исполняемых файлов, сжатых файлов (ZIP-файлов) и широкого набора файлов приложений (Adobe Flash, Adobe PDF, JavaScript и т. д.). Кроме того, FortiSandbox поддерживает возможность создания собственных образов, включающих используемое заказчиком ПО.
В изолированной среде проверка каждого файла представляется ресурсоемкой и долгосрочной задачей, способной ограничить общее число оцененных подозрительных файлов и значительно снизить производительность. Поэтому все подозрительные файлы подвергаются предварительной фильтрации: осуществляется антивирусное сканирование (AV Engine) и производится запрос к облачному сервису FortiGuard (Cloud Query).
Если после предварительной проверки угроза файла не идентифицирована, то образец файла передается для дальнейшего анализа в виртуальную «песочницу» (Full Virtual Sandbox), включающую эмуляцию кода. Если образец оказывается вредоносным, то FortiSandbox (при наличии соответствующей настройки) загружает данные об угрозе в FortiGuard Labs, которые будут переданы на анализ специалистов и в итоге войдут в обновления продуктов Fortinet для всех пользователей.
| A | B | |
|---|---|---|
| 1 | ИТ ЭНИГМА | |
| 2 | Полный прайс-лист | |
| 3 | со скидками от 20.06.2022 | |
| 4 | ||
| 5 | Fortisandbox 3000e | |
| 6 |
