На что способна система защиты от целенаправленных атак AVSOFT ATHENA. Обзор антивирусного мультисканера и «песочницы»

Введение

Решение AVSOFT ATHENA имеет внутри сразу два класса современных систем безопасности: антивирусный мультисканер и «песочницу». Каждый из них содержит внутри большое количество инструментов и возможностей. Основная задача системы ATHENA анализировать на безопасность файлы и ссылки, которые поступают к ней из различных источников, в том числе из ее собственной системы агентов на рабочих местах.

Решение развивается на рынке уже более 10 лет и находится в реестре отечественного программного обеспечения. Среди потребителей есть организации из финансового, промышленного, образовательного, оборонного сектора, а также SOC центры.

Функциональные возможности

Система ATHENA инвариантна к источнику приема данных – это может быть межсетевой экран, антиспам система, почтовый, сетевой и веб-трафик, ручная загрузка, файловое хранилище, и любая другая система, которая может быть интегрирована по API.

Объекты анализа последовательно проходят проверку сначала в статическом блоке, а затем в динамическом. Такая строгая последовательность обусловлена высокой скоростью обработки данных статическом блоком благодаря чему можно быстро получить результат по уже известным вирусам, определить тип файла для дальнейшего запуска в динамике и сэкономить ресурсы, т.к. динамика более ресурсозатратна.

В этапе статического анализа файл проходит параллельную проверку следующими инструментами:

• 25 антивирусными движками
• моделями машинного обучения
• внешними аналитическими источниками
• парсинг синтаксической структуры на предмет вредоносных макросов, скриптов, упаковщиков, цифровой подписи, обфускации, энтропии и др.

На этапе динамического анализа идет запуск файла в имитационной среде на базе ОС Windows или ОС Linux (возможна также параллельная проверка) и идет анализ следующих параметров:

• поведение в операционной системе
• сетевая активность
• использование ресурсов для выявления майнеров

На основании двух видов анализа определяется общий вердикт. В целях экономии времени и ресурсов система ATHENA сначала смотрит есть ли у нее контрольная сумма по файлу в базе данных, что определяется целесообразность проверки в системе, т.к. если результат уже есть, то она может сразу его отдать. Если информации по файлу нет, то он проходит обязательную статическую проверку, которая определяет уже целесообразность проверки в динамике на основании присутствия активного содержимого в файле и вердикта, если он уже подозрительный/вредоносный, то дальнейшую проверку можно остановить. Данный сценарий использования системы является рекомендуемым, при необходимости можно активировать принудительную проверку всех этапов. ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

Система ATHENA способна проверять почтовый трафик организации по SMTP протоколу в режиме «зеркала» (BCC копия) и в «разрыв».

При проверке электронных писем система способна обрабатывать следующие кейсы:

• запароленный архив и рядом с ним txt файл с паролем
• несколько запароленных архивов и txt файл c паролями от архивов
• запароленный архив из нескольких файлов и txt файл, в котором перечислено несколько паролей, в т.ч. пароль от архива
• письмо в письме и в письме
• проверка файлов по ссылке

Почтовый трафик проверяется на спам по известным стандартам безопасности DKIM, DMARK, SPF, на фишинг и на вредоносные вложения.

Проверка в системе ATHENA веб-трафика возможна через зеркальный прокси, который встраивается в браузерный клиент. Также возможна проверка по ICAP (рекомендуется использовать c-icap клиент).

Система ATHENA может проверять файловые хранилища с сохранением структуры дерева папок. При выявлении подозрительного/вредоносного файла она помещает его в карантин, а на его месте создается txt файл. Можно выбрать режим работы по появлению нового файла и по таймеру. Протоколы, которые поддерживаются системой для проверки:

• SMB
• (S)FTP
• NFS
• SSHFS

Технические характеристики

Система поддерживает установку на ОС Debian и ОС RHEL. В ее составе присутствуют инфраструктурные компоненты такие как базы данных, менеджеры очередей, библиотеки для работы модулей и непосредственно сами модули системы, которые разработаны компанией АВ Софт и имеют количество уже более 50.

Все компоненты системы можно конфигурировать на различном количестве серверов и достигать производительности до 250 000 файлов в час.

Сценарии применения

Систему ATHENA можно использовать для проверки больших потоков трафика на безопасность, в том числе в отказоустойчивом кластерном исполнении. Она позволяет гибко настроить инструменты проверки и отключать долгие по времени процессы проверки, если это необходимо.

Также система хорошо применима для исследовательских целей, на базе нее можно формировать свою собственную корпоративную базу знаний о вредоносном программном обеспечении, независимую от вендора. Это позволяют делать конструкторы аналитик и индикаторов компрометации, большое количество справочников, инструментов сравнения и поиска по артефактам анализа.

Внутри системы присутстсвует большое количество справочников и баз индикаторов компрометации (IoC), которые она обновляет в автоматическом режиме ежедневно.

Варианты поставки и лицензирование

Система ATHENA может быть установлена на физический сервер, в виртуальную среду (с обязательной поддержкой вложенной виртуализации) и в виде образа для развёртывания с использованием Ansible.

Лицензирование формируется на базе необходимых клиенту функциональных модулей и максимальной нагрузки по проверке в час. Предоставляется неисключительная лицензия на весь срок действия исключительной лицензии, т.е. в рамках поддержки поставляются только обновления, если она приобретается, но сама система независимо от покупки поддержки продолжает свою работу.

Лицензии на стороннее программное обеспечение: антивирусы и операционные системы для «песочниц» приобретаются заказчиком отдельно.

Интеграция с другими решениями

• Межсетевой экран UserGate NGFW компании ООО «Юзергейт»
• Шлюз безопасности Шлюз безопасности межсетевого экрана нового поколения ViPNet xFirewall 5 компании АО «ИнфоТеКС»
• ПАК INFOWATCH ARMA INDUSTRIAL FIREWALL 3.5 компании ООО «Инфовотч АРМА»
• SIEM система RuSIEM компании ООО «Русием»
• SIEM система MaxPatrol SIEM компании АО «Позитив Текнолоджиз»
• AlterOS и пакет офисных приложений AlterOffice компании ООО «Алми Партнер»
• ОС «Ред ОС» компании ООО «Ред Софт»

Roadmap

В дорожной карте продукта присутствуют следующие направления развития функциональных характеристик:

• Обучение моделей машинного обучения на данных пользователей
• Проверка нескольких файлов в одной «песочнице»
• Создание более легких по весу «песочниц»
• Обмен IoC c межсетевыми экранами
• Интеграция с платформами ThreatIntelligence
• Личные кабинеты пользователей

Система ATHENA может применяться в различных типах организаций, проверять на безопасность множество источников поступления данных и интегрироваться с другими системами для приема данных и обмена информацией. Ее отличается большое количество кастомизируемых инструментов анализа, высокая скорость работы, а также сеть ботов в сети Интернет, которые в автоматическом режиме собирают данные по вредоносным IoC.

Благодаря тому, что система ATHENA является программным обеспечением и не имеет привязки к физической инфраструктуре — это позволяет гибко конфигурировать ее установку на различных ресурсах.