Содержание |
Введение
Решение AVSOFT ATHENA имеет внутри сразу два класса современных систем безопасности: антивирусный мультисканер и «песочницу». Каждый из них содержит внутри большое количество инструментов и возможностей. Основная задача системы ATHENA анализировать на безопасность файлы и ссылки, которые поступают к ней из различных источников, в том числе из ее собственной системы агентов на рабочих местах.
Решение развивается на рынке уже более 10 лет и находится в реестре отечественного программного обеспечения. Среди потребителей есть организации из финансового, промышленного, образовательного, оборонного сектора, а также SOC центры.
Функциональные возможности
Система ATHENA инвариантна к источнику приема данных – это может быть межсетевой экран, антиспам система, почтовый, сетевой и веб-трафик, ручная загрузка, файловое хранилище, и любая другая система, которая может быть интегрирована по API.
Объекты анализа последовательно проходят проверку сначала в статическом блоке, а затем в динамическом. Такая строгая последовательность обусловлена высокой скоростью обработки данных статическом блоком благодаря чему можно быстро получить результат по уже известным вирусам, определить тип файла для дальнейшего запуска в динамике и сэкономить ресурсы, т.к. динамика более ресурсозатратна.
В этапе статического анализа файл проходит параллельную проверку следующими инструментами:
- 25 антивирусными движками
- моделями машинного обучения
- внешними аналитическими источниками
- парсинг синтаксической структуры на предмет вредоносных макросов, скриптов, упаковщиков, цифровой подписи, обфускации, энтропии и др.
На этапе динамического анализа идет запуск файла в имитационной среде на базе ОС Windows или ОС Linux (возможна также параллельная проверка) и идет анализ следующих параметров:
- поведение в операционной системе
- сетевая активность
- использование ресурсов для выявления майнеров
На основании двух видов анализа определяется общий вердикт. В целях экономии времени и ресурсов система ATHENA сначала смотрит есть ли у нее контрольная сумма по файлу в базе данных, что определяется целесообразность проверки в системе, т.к. если результат уже есть, то она может сразу его отдать. Если информации по файлу нет, то он проходит обязательную статическую проверку, которая определяет уже целесообразность проверки в динамике на основании присутствия активного содержимого в файле и вердикта, если он уже подозрительный/вредоносный, то дальнейшую проверку можно остановить. Данный сценарий использования системы является рекомендуемым, при необходимости можно активировать принудительную проверку всех этапов. TAdviser выпустил Гид по российским операционным системам
Система ATHENA способна проверять почтовый трафик организации по SMTP протоколу в режиме «зеркала» (BCC копия) и в «разрыв».
При проверке электронных писем система способна обрабатывать следующие кейсы:
- запароленный архив и рядом с ним txt файл с паролем
- несколько запароленных архивов и txt файл c паролями от архивов
- запароленный архив из нескольких файлов и txt файл, в котором перечислено несколько паролей, в т.ч. пароль от архива
- письмо в письме и в письме
- проверка файлов по ссылке
Почтовый трафик проверяется на спам по известным стандартам безопасности DKIM, DMARK, SPF, на фишинг и на вредоносные вложения.
Проверка в системе ATHENA веб-трафика возможна через зеркальный прокси, который встраивается в браузерный клиент. Также возможна проверка по ICAP (рекомендуется использовать c-icap клиент).
Система ATHENA может проверять файловые хранилища с сохранением структуры дерева папок. При выявлении подозрительного/вредоносного файла она помещает его в карантин, а на его месте создается txt файл. Можно выбрать режим работы по появлению нового файла и по таймеру. Протоколы, которые поддерживаются системой для проверки:
- SMB
- (S)FTP
- NFS
- SSHFS
Технические характеристики
Система поддерживает установку на ОС Debian и ОС RHEL. В ее составе присутствуют инфраструктурные компоненты такие как базы данных, менеджеры очередей, библиотеки для работы модулей и непосредственно сами модули системы, которые разработаны компанией АВ Софт и имеют количество уже более 50.
Все компоненты системы можно конфигурировать на различном количестве серверов и достигать производительности до 250 000 файлов в час.
Сценарии применения
Систему ATHENA можно использовать для проверки больших потоков трафика на безопасность, в том числе в отказоустойчивом кластерном исполнении. Она позволяет гибко настроить инструменты проверки и отключать долгие по времени процессы проверки, если это необходимо.
Также система хорошо применима для исследовательских целей, на базе нее можно формировать свою собственную корпоративную базу знаний о вредоносном программном обеспечении, независимую от вендора. Это позволяют делать конструкторы аналитик и индикаторов компрометации, большое количество справочников, инструментов сравнения и поиска по артефактам анализа.
Внутри системы присутстсвует большое количество справочников и баз индикаторов компрометации (IoC), которые она обновляет в автоматическом режиме ежедневно.
Варианты поставки и лицензирование
Система ATHENA может быть установлена на физический сервер, в виртуальную среду (с обязательной поддержкой вложенной виртуализации) и в виде образа для развёртывания с использованием Ansible.
Лицензирование формируется на базе необходимых клиенту функциональных модулей и максимальной нагрузки по проверке в час. Предоставляется неисключительная лицензия на весь срок действия исключительной лицензии, т.е. в рамках поддержки поставляются только обновления, если она приобретается, но сама система независимо от покупки поддержки продолжает свою работу.
Лицензии на стороннее программное обеспечение: антивирусы и операционные системы для «песочниц» приобретаются заказчиком отдельно.
Интеграция с другими решениями
- Межсетевой экран UserGate NGFW компании ООО «Юзергейт»
- Шлюз безопасности Шлюз безопасности межсетевого экрана нового поколения ViPNet xFirewall 5 компании АО «ИнфоТеКС»
- ПАК INFOWATCH ARMA INDUSTRIAL FIREWALL 3.5 компании ООО «Инфовотч АРМА»
- SIEM система RuSIEM компании ООО «Русием»
- SIEM система MaxPatrol SIEM компании АО «Позитив Текнолоджиз»
- AlterOS и пакет офисных приложений AlterOffice компании ООО «Алми Партнер»
- ОС «Ред ОС» компании ООО «Ред Софт»
Roadmap
В дорожной карте продукта присутствуют следующие направления развития функциональных характеристик:
- Обучение моделей машинного обучения на данных пользователей
- Проверка нескольких файлов в одной «песочнице»
- Создание более легких по весу «песочниц»
- Обмен IoC c межсетевыми экранами
- Интеграция с платформами ThreatIntelligence
- Личные кабинеты пользователей
Система ATHENA может применяться в различных типах организаций, проверять на безопасность множество источников поступления данных и интегрироваться с другими системами для приема данных и обмена информацией. Ее отличается большое количество кастомизируемых инструментов анализа, высокая скорость работы, а также сеть ботов в сети Интернет, которые в автоматическом режиме собирают данные по вредоносным IoC.
Благодаря тому, что система ATHENA является программным обеспечением и не имеет привязки к физической инфраструктуре — это позволяет гибко конфигурировать ее установку на различных ресурсах.