PT MultiScanner

PT MultiScanner - многопоточная система выявления вредоносного контента.

2024: В популярных продуктах Positive Technologies обнаружена критическая уязвимость

В конце октября ФСТЭК опубликовала предупреждение о критической уязвимости BDU:2024-08291^[1], которая была обнаружена в двух продуктах Positive Technologies — Sandbox и MultiScanner. Уязвимыми являются версии с 5.6.0 до 5.15.0 включительно — исправление в версии 5.15.1 (есть и сертифицированная). Опасность оценивается как 8.8 из 10 по CVSSv3. Эксплуатации данной уязвимости пока зафиксировано не было.

В случае данной уязвимости она была найдена в рамках стандартной внутренней программы Positive Technologies, устранена нашей разработкой, соответствующие обновления и уведомления о мерах, которые необходимо предпринять для дальнейшей работы, получили все пользователи наших продуктов, — заверила читателей TAdviser пресс-служба Positive Technologies. — Согласно правилам ответственного разглашения уязвимостей в России, информация об уязвимости отправлена во ФСТЭК.

Уязвимость относится к классу сохранённого межсайтового скриптинга (SXSS), которая срабатывает в веб-интерфейсе администратора или специалиста по безопасности. При их подключении к веб-интерфейсу от имени соответствующего пользователя может запуститься вредоносный сценарий JavaScript. С его помощью злоумышленники могут как захватить компьютер администратора, так и отключить настройки корпоративной защиты. Обычно XSS–ошибки не являются критичными, однако в данном случае ошибка позволяет, во-первых, проникнуть сквозь периметр, а во-вторых — повлиять на систему безопасности.

𝓲

Фото: TAdviser

В данном случае уязвимость может быть использована только для APT-атак, поскольку из внутренней системы можно вытянуть только те данные, которые через неё проходят, а значит, это довольно закрытая история, — пояснил для TAdviser ситуацию Андрей Мичкин, начальник отдела внедрения ИБ-решений Cloud Networks. — Надо понимать, что песочница как продукт – это изолированная тема, даже данные какого-нибудь проверяемого письма, скорее всего, не удастся получить в легкодоступном формате. К тому же, этот продукт используется ещё не во всех компаниях, а сам производитель уже выпустил несколько рекомендаций по исправлению уязвимости.

Впрочем, исправления в основном связаны с установкой последних обновлений^[2] соответствующих продуктов. Даже ФСТЭК в своём сообщении не приводит рекомендаций для тех пользователей, которые не могут установить обновления. Хотя понятно, что тот же экран уровня веб-приложений (WAF) вполне может защитить от подобного класса ошибок. Правда, для этого он должен контролировать интерфейс соответствующего продукта Positive Technologies и фильтровать спецсимволы в веб-приложении.

В данной ситуации самым действенным способом защиты была бы проверка конфигурации и «дизайна» веб-ресурсов, — порекомендовал Андрей Мичкин. — Также не следует забывать об использовании WAF: от последствий эксплуатации этой уязвимости межсетевой экран вполне мог бы защитить. Теоретически, уязвимость может быть эксплуатирована в режиме удалённого доступа для изменения или провокации сбоя в настройках СЗИ. Однако особых причин для волнения пока нет: к чести производителя, уже выпущен перечень рекомендаций по устранению уязвимости.

2017

Декабрьское обновление

7 декабря 2017 года компания Positive Technologies сообщила о выпуске следующей версии PT MultiScanner. Модернизированная система может локализовать и блокировать передачу вредоносных объектов непосредственно в почтовом потоке, объединять выявленное вредоносное ПО по всей инфраструктуре в одну угрозу заражения.

PT MultiScanner позволяет найти все потоки распространения инфекции и затронутые ею жизненно важные органы инфраструктуры, заявили разработчики. Для работы с полученными данным создан веб-интерфейс с информационными панелями, статистикой и настраиваемыми фильтрами.Российский рынок цифровизации телекома: ключевые тренды и ИТ-поставщики. Обзор TAdviser 5.3 т

Усовершенствованная архитектура PT MultiScanner позволяет обрабатывать до 150 тысяч файлов в час в потоковом режиме. Ресурсы системы не простаивают при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ (что позволяет выявлять ранее неизвестное вредоносное ПО), благодаря чему исключается вероятность влияния на производительность системы в часы пиковой нагрузки.

В PT MultiScanner появилась возможность использования "черных" и "белых" списков:

• можно вручную создавать кастомизированные списки
• использовать черные списки, поставляемые Positive Technologies.

Допускается настройка детектирования заражения с учетом специфики конкретной компании, повышается эффективность обнаружения и блокировки вредоносного ПО. При обнаружении объекта из "черного" списка в исторических данных, PT MultiScanner запускает ретроспективный анализ и оповещает оператора в веб-интерфейсе и (или) отправив уведомление на выделенный почтовый адрес или в SIEM-систему.

Актуальная информация об объектах — заблокированных, пропущенных или выявленных в рамках ретроспективного анализа — отображается в единой панели статистики. Этим повышается скорость реагирования оператора на выявленные в сети угрозы заражения. Для удобства работы с данными PT MultiScanner позволяет создавать пользовательские фильтры, что сокращает время на обработку таких, к примеру, запросов, как «найти все шифровальщики в почте, веб-трафике или хранилище» до десятков секунд.

PT MultiScanner агрегирует все одинаковые объекты, передаваемые в различных потоках распространения вредоносного ПО, в одну угрозу заражения, что снижает трудозатраты оператора на анализ схемы распространения и значительно повышает эффективность расследования и реагирования на возникшие инциденты.

Сертификация в Минобороны РФ

Система многоуровневой защиты от вредоносного ПО PT MultiScanner прошла испытания в системе сертификации Минобороны РФ. Это означает, что теперь она может применяться во всех подразделениях ведомства, сообщили 5 сентября 2017 года в компании Positive Technologies.

PT MultiScanner применяется в областях, где необходимо проверять на вирусы большой входящий поток файлов пользователей — на порталах государственных услуг, в банковский, страховой, телекоммуникационной и других сферах. Она позволяет повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусами в сочетании с другими методами выявления угроз, включая ретроспективный анализ действий вредоносных файлов в системе.

Сертификат № 3710 выдан 22 августа 2017 года и действует в течение трех лет. Документ подтверждает, что система Positive Technologies отвечает требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 2-му уровню контроля отсутствия недекларированных возможностей. Наличие сертификата также говорит о том, что продукт отвечает требованиям по соответствию реальных и декларируемых в документации функциональных возможностей.

2016: Создана система выявления вредоносного контента

22 сентября 2016 года компания Positive Technologies представила многопоточную систему выявления вредоносного контента PT MultiScanner.

Продукт повышает точность и оперативность обнаружения угроз в корпоративной сети посредством параллельного сканирования несколькими антивирусными ядрами, точечного анализа поведения вредоносных файлов и репутационных сервисов.

Некоторые исследования показывают, что ежемесячно появляется около 400 тыс. единиц нового и модифицированного вредоносного ПО. При этом выпускаемые антивирусными компаниями обновления зачастую доставляются пользователям слишком поздно: между первичным обнаружением зловреда и его детектированием другими производителями антивирусных решений проходят недели, а иногда и месяцы. Ни о какой стопроцентной защите от всех новых угроз при этом даже говорить не приходится. Злоумышленники же активно эксплуатируют так называемые уязвимости нулевого дня, а нередко и уязвимости в самих антивирусах (например, реализуя целевые атаки). В таких случаях для дополнительной защиты служба ИБ зачастую обращается к облачным сервисам кросс-проверок, что, в свою очередь, увеличивает вероятность утечки конфиденциальной информации. Евгения Красавина, менеджер по продвижению продуктов Positive Technologies

Повысить уровень обнаружения вредоносных файлов без риска компрометации данных в облачных сервисах помогает система выявления вредоносного контента PT MultiScanner. Она устанавливается локально, внутри защищаемого периметра. Опциональная возможность обновления антивирусов дает возможность работать в изолированных сегментах сети и пресекать возможные утечки данных: проверяемые файлы не покидают инфраструктуру системы.

Взаимодействие PT MultiScanner в ИТ-инфраструктуре, (2016)

PT MultiScanner выполняет автоматизированную проверку файлов на различных антивирусных движках, в том числе разработанных Kaspersky Lab, ESET, Sophos, Doctor Web. При этом единая внутренняя база знаний Positive Technologies и репутационные списки постоянно обновляются и выявляют то, что пропустили антивирусы.

Продукт может использоваться как для выборочной проверки файлов, так и для защиты почтового трафика, файловых хранилищ, архивов и веб-порталов на потоке. Модуль точечного анализа угроз в PT MultiScanner позволяет всесторонне изучать вредоносные объекты и способствует выявлению распределенных во времени атак. Значительно облегчает расследование инцидентов и модуль ретроспективного анализа, который дает возможность выяснить, какие системы подвергались воздействию вредоносного ПО в прошлом — до того, как оно стало известно антивирусам. Максим Филиппов, директор по развитию бизнеса Positive Technologies в России

PT MultiScanner интегрируется в любую ИТ-инфраструктуру, которая обеспечивается за счет поддержки стандартных интерфейсов (REST API, SMTP, ICAP, Syslog) и мониторинга файловых ресурсов и сетевого трафика.

По разным оценкам совокупные затраты на устранение последствий одной вирусной инфекции могут исчисляться миллионами рублей. В такой ситуации даже 1% прироста уровня детектирования за счет параллельного сканирования снизит вероятность вирусной инфекции до 0,1%. Это тот уровень риска, который управляем и контролируем, в том числе благодаря модулю точечного изучения угроз системы PT MultiScanner. Евгения Красавина

Согласно заявлению компании-разработчика, продукт поможет снизить трудозатраты на обработку заявок сотрудников на проверку подозрительного контента.

На 22 сентября 2016 года компания заявила о завершении пилотного внедрения продукта в ряде компаний финансового, страхового и телекоммуникационного секторов бизнеса.

Примечания