PT Sandbox یک محیط تحلیل پیشرفته برای دفاع سازمانی در برابر تهدیدات پیشرفته (APT) و حملات سایبری گسترده است. این سیستم قادر است بدافزارهای پیچیده را هم در فایل‌ها و هم در ترافیک شبکه شناسایی کند و با ارائه امکان سفارشی‌سازی گسترده محیط‌های مجازی، دقت شناسایی را بهبود می‌بخشد.

حفاظت از ایمیل

PT Sandbox تمام ترافیک ورودی ایمیل را در سطح سرور ایمیل اسکن می‌کند و با بهره‌گیری از چندین موتور آنتی‌ویروس و قوانین YARA توسعه یافته توسط مرکز تخصصی PT ESC، فایل‌ها و لینک‌های مشکوک را شناسایی می‌کند. این فایل‌ها و لینک‌ها تحت تحلیل رفتاری در یک محیط مجازی ایزوله قرار می‌گیرند که با مدل‌های یادگیری ماشین قابل تنظیم تقویت شده است. این روش قادر است بدافزارهای ناشناخته، مخفی و مبهم را شناسایی کند و از نفوذ تهدیدات به داخل محیط سازمان جلوگیری نماید.

تأمین امنیت ذخیره‌سازی فایل‌ها و سیستم‌های سازمانی

فایل‌ها پیش از بارگذاری در منابع شبکه سازمانی یا انتقال از طریق سیستم‌های مدیریت اسناد، برای شناسایی تهدیدات تحلیل می‌شوند. این اسکن پیشگیرانه از گسترش بدافزارها از طریق ابزارهای به اشتراک‌گذاری فایل و همکاری داخلی جلوگیری می‌کند.

دفاع در برابر ابزارهای پیشرفته هک

PT Sandbox با بهره‌گیری از یک مزیت معماری، بدافزارهای پیچیده را در سطح هایپروایزر تحلیل می‌کند. آنالیزور چندلایه این سیستم تهدیدات را در فضای کاربر، هسته سیستم‌عامل و خود هایپروایزر زیر نظر دارد. این دید عمیق امکان شناسایی تهدیدات گسترده و بدافزارهای بسیار فرار مانند روت‌کیت‌ها و بوت‌کیت‌ها را فراهم می‌کند.

شکار تهدید و تحلیل دستی نمونه‌ها

PT Sandbox ترافیک ضبط‌شده و داده‌های رخدادها را ذخیره می‌کند تا تیم‌های SOC بتوانند تحلیل‌های عمیقی از رفتار بدافزارهای شناسایی‌شده انجام دهند. این سیستم فرآیند شکار فعال تهدیدات را ساده‌تر کرده و تحقیقات خودکار روی اشیای مشکوک یافت‌شده در زیرساخت را ممکن می‌سازد. نمونه‌ها در محیط‌های مجازی متعدد اجرا شده، تمامی فعالیت‌ها ثبت می‌شوند و نمودارهای رفتاری دقیق به همراه داده‌های مفید تولید می‌گردد. نتایج تحلیل‌ها به ماتریس MITRE ATT&CK نگاشت می‌شوند که امکان کاهش سریع تهدید و درک جایگاه مهاجم در زنجیره حمله را فراهم می‌کند.

حفاظت در برابر حملات هدفمند

PT Anti-APT یک مجموعه شناسایی تهدید است که بر پایه سیستم تحلیل رفتاری ترافیک شبکه PT NAD و سندباکس شبکه PT Sandbox ساخته شده است. این ترکیب امکان شناسایی حملات هدفمند را هم در پیرامون شبکه و هم در داخل آن فراهم می‌کند و زمان حضور مهاجم در شبکه را کاهش می‌دهد.

PT NAD یک نسخه از ترافیک شبکه بازهدایت‌شده را برای شناسایی تهدیدات بررسی می‌کند. فایل‌های مشکوک به PT Sandbox ارسال می‌شوند تا تحلیل رفتاری روی آن‌ها انجام شود. در صورت شناسایی محتوای مخرب، PT Sandbox نتیجه تحلیل خود را به PT NAD ارسال می‌کند تا اقدامات مناسب انجام شود.

حفاظت از نقاط پایانی (Endpoint Protection)

به عنوان بخشی از راهکار XDR شرکت Positive Technologies، PT Sandbox امنیت نقاط پایانی را با ادغام با MaxPatrol EDR ارتقا می‌دهد. وقتی MaxPatrol EDR فایل‌های مشکوک را شناسایی می‌کند، آن‌ها را برای تحلیل به PT Sandbox ارسال می‌کند. در صورت تأیید تهدید، سیستم آن را در تمام نقاط پایانی مسدود کرده و اطلاعات مربوط به بدافزار شناسایی‌شده را به سیستم SIEM ارسال می‌نماید.

حفاظت از برنامه‌های وب

PT Sandbox به شناسایی حملات زنجیره تأمین کمک می‌کند که به جای خود شرکت، مشتریان آن را هدف قرار می‌دهند. مهاجمان ممکن است از آسیب‌پذیری‌های برنامه وب سوءاستفاده کرده و فایل‌های قانونی را با فایل‌های مخرب جایگزین کنند. وقتی PT Sandbox با فایروال برنامه وب یکپارچه شود، فایل‌های بارگذاری‌شده را تحلیل کرده، تهدیدات را شناسایی کرده و امکان مسدودسازی فوری را فراهم می‌کند.

نظارت بر اشیاء در ترافیک شبکه

ادغام با ابزارهای نظارت و تحلیل ترافیک به PT Sandbox امکان می‌دهد تا بدافزارها را در ترافیک وب شناسایی و مسدود کند، و از این طریق محافظت در برابر حملات هدفمند، بدافزارهای پیشرفته و تهدیدات APT را تقویت نماید. این سیستم فایل‌هایی را که از طریق فایروال‌ها و فایروال‌های برنامه وب عبور می‌کنند، بررسی کرده و درباره وجود محتوای مخرب در آن‌ها قضاوت می‌کند.

تأمین امنیت مخازن توسعه

PT Sandbox با تحلیل برنامه‌ها پیش از استقرار، از محیط‌های توسعه محافظت می‌کند. تحلیل رفتاری نرم‌افزارهای داخلی از ایجاد آسیب‌پذیری در زنجیره تأمین جلوگیری می‌کند و اطمینان می‌دهد که برنامه‌های منتشرشده، خطرات امنیتی برای کاربران به همراه نداشته باشند.

حفاظت در برابر آسیب‌پذیری‌ها

ترکیب PT Sandbox با MaxPatrol VM مدیریت آسیب‌پذیری‌ها را با شناسایی احتمال سوءاستفاده‌ها پیش از آنکه به تهدید تبدیل شوند، تقویت می‌کند. این یکپارچگی، لایه‌ای اضافی از امنیت فراهم کرده و ریسک‌ها را حتی برای آسیب‌پذیری‌هایی که هنوز وصله رسمی دریافت نکرده‌اند، کاهش می‌دهد.

نحوه عملکرد

PT Sandbox در زیرساخت سازمان ادغام می‌شود و به منابع متعددی متصل می‌گردد تا بدافزارهای ناشناخته و تهدیدات روز صفر را به‌صورت لحظه‌ای شناسایی کند.

    PT Sandbox advantages

    تخصص PT Sandbox

    PT Sandbox از روش‌های تشخیص چندلایه برای کشف فعالیت‌های مخرب استفاده می‌کند. قوانین ایستا قطعات کد مخرب را شناسایی می‌کنند، قوانین همبستگی رفتارهای غیرعادی را دنبال می‌کنند، تحلیل شبکه ارتباط با سرورهای کنترل شده توسط مهاجم را تشخیص می‌دهد، مدل‌های یادگیری ماشین ناهنجاری‌ها را شناسایی می‌کنند و حسگرهای مانیتورینگ سیستم‌عامل تغییراتی که نشان‌دهنده نفوذ هستند را ثبت می‌کنند. هر یک از این مکانیزم‌ها به‌طور همزمان فعالیت می‌کنند تا تهدیداتی که به‌منظور فرار از ابزارهای امنیتی سنتی طراحی شده‌اند را کشف کنند.

     

    پوشش چارچوب MITRE ATT&CK

    PT Sandbox تاکتیک‌ها و تکنیک‌های بدافزار را که به چارچوب MITRE ATT&CK برای ویندوز و لینوکس نگاشت شده‌اند، شناسایی می‌کند. این سیستم تهدیدات را در هر مرحله‌ای، از اجرای بدافزار تا ماندگاری، افزایش امتیازات دسترسی و حرکت جانبی، تشخیص می‌دهد.