К основному контенту

В чем тонкости тестирования песочниц

Поскольку занимаюсь периодически тестированием песочниц, то вижу что заказчик тестирования часто не понимает как тестировать и что тестировать. Для этого опубликую несколько основополагающих вещей, которые различают песочницы.
1. Есть ли в самом продукте сенсор для сбора файлов или нет.
Сама по себе песочница, это набор виртуальных машин. Да, все вендоры бьются тут в области как и сколько файлов определилось верно, сколько было ложных срабатываний и сколько ложных пропусков. Однако важным является то, как собственно файлы вообще попадают на тестирование в песочницу? Ведь кто-то должен выковырять трафик из ваших приложений и отдать их в песочницу! Кто это делает в вашей именно сети? И вот тут то и оказываются самые провальные результаты. Где у вас идут файлы? Да где угодно! Люди скачивают файлы браузером по HTTP, HTTPS, FTP. Люди получают файлы по почте, а это SMTP, POP3 и IMAP и их SSL версии. Ну или просто SMB или Sharepoint. И оказывается что некоторые вендоры просто игнорирует целиком приложения: кто то вообще не смотрит в FTP, кто-то не умеет расшифровывать SSL и соответственно все что идет внутри того же gmail, dropbox или facebook, который умеет передавать файлы - просто пропускается из проверки. И поэтому здесь важно что за сенсор вы используете для сбора файлов и отправки в песочницу. Вот и выбирайте.
2. Генерируется ли сигнатура или нет.
Оказалось, что часть вендоров просто показывает, что они увидели файл с плохим поведением, но сигнатуру не генерируют. Смысл песочницы какой? Чтобы вы узнали, что вас взломали и будут взламывать этим эксплойтом? Обычно после обнаружения песочницы генерируют сигнатуру и тут они уже друг с другом соревнуются кто быстрее ее создает. Самые быстрые делают это за 5 минут. Но новенькие вендоры пока что не могут создавать сигнатур и это ограничивает их применение "оповещением о проблемах". А обычно песочницы ставят, чтобы они "решали проблемы" автоматически. Вот и выбирайте.

Я выделил два критерия, но недавно смотрел комментировал отчет Forrester, где коллеги собрали еще больше критериев для сравнения песочниц.

Ну и под конец резюмирую: результаты тестирования песочницы выглядят как везение: в одном тестировании один вендор поймал эксплойт, в другом тестировании другой вендор. Потому что идеального решения которое на 100% видит и блокирует эксплойты по поведению пока нет.

И реклама ) На самом деле Palo Alto Networks предлагает установить прямо на рабочую станцию продукт TRAPS, который блокирует все известные и неизвестные эксплойты при помощи ловушек. Впрочем, это отдельный разговор.

Комментарии

Популярные сообщения из этого блога

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 
Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0. То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.

Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую…

1 из 10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:
функции безопасности, удобство управления, производительность.  Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность вашей команды управлять рисками, связанными с работой приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам?
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? 

Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения: Идентификация и контроль приложений по любому портуИдентификация и контроль попыток обхода з…

Запись с PHD: Демонстрация блокировки криптолокеров на примере locky и wanacrypt0r

Практическая демонстрация блокировки криптолокеров. Видеозапись с конференции Positive Hack Days 2017.
Смотрим:
В процессе демонстрации я использовал криптолокер locky и wanacrypt0r. Защита их блокировала. Чтобы показать, что защита многоэшелонированая, я выключал поочередно функции многоэшелонированной защиты и показывал, что тогда срабатывает следующая техника защиты. В итоге у меня заняло больше часа времени отключение всех имеющихся техник защиты у межсетевого экрана нового поколения и у хостовой защиты нового поколения.
То есть техник защиты у компании Palo Alto Networks достаточно.  Для защиты вам нужно, чтобы хотя бы одна сработала и блокировала криптолокер в вашей компании. А мы вам предлагаем целую пачку техник защиты.

Введение - что будет показано 4:15 показываю слайд какие технологии Threat Intelligence работают в Palo Alto Networks
4:45 рассказываю про функционал и принципы работы хостовой защиты TRAPS
6:10 показываю слайд с описанием техник kill chain, которые мы будем блоки…