Содержание |
Введение
Решение AVSOFT ATHENA имеет внутри сразу два класса современных систем безопасности: антивирусный мультисканер и «песочницу». Каждый из них содержит внутри большое количество инструментов и возможностей. Основная задача системы ATHENA анализировать на безопасность файлы и ссылки, которые поступают к ней из различных источников, в том числе из ее собственной системы агентов на рабочих местах.
Решение развивается на рынке уже более 10 лет и находится в реестре отечественного программного обеспечения. Среди потребителей есть организации из финансового, промышленного, образовательного, оборонного сектора, а также SOC центры.
Функциональные возможности
Система ATHENA инвариантна к источнику приема данных – это может быть межсетевой экран, антиспам система, почтовый, сетевой и веб-трафик, ручная загрузка, файловое хранилище, и любая другая система, которая может быть интегрирована по API.
Объекты анализа последовательно проходят проверку сначала в статическом блоке, а затем в динамическом. Такая строгая последовательность обусловлена высокой скоростью обработки данных статическом блоком благодаря чему можно быстро получить результат по уже известным вирусам, определить тип файла для дальнейшего запуска в динамике и сэкономить ресурсы, т.к. динамика более ресурсозатратна.
В этапе статического анализа файл проходит параллельную проверку следующими инструментами:
- 25 антивирусными движками
- моделями машинного обучения
- внешними аналитическими источниками
- парсинг синтаксической структуры на предмет вредоносных макросов, скриптов, упаковщиков, цифровой подписи, обфускации, энтропии и др.
На этапе динамического анализа идет запуск файла в имитационной среде на базе ОС Windows или ОС Linux (возможна также параллельная проверка) и идет анализ следующих параметров:
- поведение в операционной системе
- сетевая активность
- использование ресурсов для выявления майнеров
На основании двух видов анализа определяется общий вердикт. В целях экономии времени и ресурсов система ATHENA сначала смотрит есть ли у нее контрольная сумма по файлу в базе данных, что определяется целесообразность проверки в системе, т.к. если результат уже есть, то она может сразу его отдать. Если информации по файлу нет, то он проходит обязательную статическую проверку, которая определяет уже целесообразность проверки в динамике на основании присутствия активного содержимого в файле и вердикта, если он уже подозрительный/вредоносный, то дальнейшую проверку можно остановить. Данный сценарий использования системы является рекомендуемым, при необходимости можно активировать принудительную проверку всех этапов. ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября
Система ATHENA способна проверять почтовый трафик организации по SMTP протоколу в режиме «зеркала» (BCC копия) и в «разрыв».
При проверке электронных писем система способна обрабатывать следующие кейсы:
- запароленный архив и рядом с ним txt файл с паролем
- несколько запароленных архивов и txt файл c паролями от архивов
- запароленный архив из нескольких файлов и txt файл, в котором перечислено несколько паролей, в т.ч. пароль от архива
- письмо в письме и в письме
- проверка файлов по ссылке
Почтовый трафик проверяется на спам по известным стандартам безопасности DKIM, DMARK, SPF, на фишинг и на вредоносные вложения.
Проверка в системе ATHENA веб-трафика возможна через зеркальный прокси, который встраивается в браузерный клиент. Также возможна проверка по ICAP (рекомендуется использовать c-icap клиент).
Система ATHENA может проверять файловые хранилища с сохранением структуры дерева папок. При выявлении подозрительного/вредоносного файла она помещает его в карантин, а на его месте создается txt файл. Можно выбрать режим работы по появлению нового файла и по таймеру. Протоколы, которые поддерживаются системой для проверки:
- SMB
- (S)FTP
- NFS
- SSHFS
Технические характеристики
Система поддерживает установку на ОС Debian и ОС RHEL. В ее составе присутствуют инфраструктурные компоненты такие как базы данных, менеджеры очередей, библиотеки для работы модулей и непосредственно сами модули системы, которые разработаны компанией АВ Софт и имеют количество уже более 50.
Все компоненты системы можно конфигурировать на различном количестве серверов и достигать производительности до 250 000 файлов в час.
Сценарии применения
Систему ATHENA можно использовать для проверки больших потоков трафика на безопасность, в том числе в отказоустойчивом кластерном исполнении. Она позволяет гибко настроить инструменты проверки и отключать долгие по времени процессы проверки, если это необходимо.
Также система хорошо применима для исследовательских целей, на базе нее можно формировать свою собственную корпоративную базу знаний о вредоносном программном обеспечении, независимую от вендора. Это позволяют делать конструкторы аналитик и индикаторов компрометации, большое количество справочников, инструментов сравнения и поиска по артефактам анализа.
Внутри системы присутстсвует большое количество справочников и баз индикаторов компрометации (IoC), которые она обновляет в автоматическом режиме ежедневно.
Варианты поставки и лицензирование
Система ATHENA может быть установлена на физический сервер, в виртуальную среду (с обязательной поддержкой вложенной виртуализации) и в виде образа для развёртывания с использованием Ansible.
Лицензирование формируется на базе необходимых клиенту функциональных модулей и максимальной нагрузки по проверке в час. Предоставляется неисключительная лицензия на весь срок действия исключительной лицензии, т.е. в рамках поддержки поставляются только обновления, если она приобретается, но сама система независимо от покупки поддержки продолжает свою работу.
Лицензии на стороннее программное обеспечение: антивирусы и операционные системы для «песочниц» приобретаются заказчиком отдельно.
Интеграция с другими решениями
- Межсетевой экран UserGate NGFW компании ООО «Юзергейт»
- Шлюз безопасности Шлюз безопасности межсетевого экрана нового поколения ViPNet xFirewall 5 компании АО «ИнфоТеКС»
- ПАК INFOWATCH ARMA INDUSTRIAL FIREWALL 3.5 компании ООО «Инфовотч АРМА»
- SIEM система RuSIEM компании ООО «Русием»
- SIEM система MaxPatrol SIEM компании АО «Позитив Текнолоджиз»
- AlterOS и пакет офисных приложений AlterOffice компании ООО «Алми Партнер»
- ОС «Ред ОС» компании ООО «Ред Софт»
Roadmap
В дорожной карте продукта присутствуют следующие направления развития функциональных характеристик:
- Обучение моделей машинного обучения на данных пользователей
- Проверка нескольких файлов в одной «песочнице»
- Создание более легких по весу «песочниц»
- Обмен IoC c межсетевыми экранами
- Интеграция с платформами ThreatIntelligence
- Личные кабинеты пользователей
Система ATHENA может применяться в различных типах организаций, проверять на безопасность множество источников поступления данных и интегрироваться с другими системами для приема данных и обмена информацией. Ее отличается большое количество кастомизируемых инструментов анализа, высокая скорость работы, а также сеть ботов в сети Интернет, которые в автоматическом режиме собирают данные по вредоносным IoC.
Благодаря тому, что система ATHENA является программным обеспечением и не имеет привязки к физической инфраструктуре — это позволяет гибко конфигурировать ее установку на различных ресурсах.