Serangan yang ditargetkan adalah yang paling berbahaya di antara banyak ancaman cyber modern. Mereka juga dikenal sebagai ATP (singkatan dari Advanced Persistent Threat). Itu bukan virus yang secara tidak sengaja dapat masuk ke komputer karena kecerobohan pengguna. Baik itu adalah upaya untuk mengganti alamat situs populer untuk menipu informasi penagihan dari pengguna yang kredibel. Serangan cyber yang ditargetkan dipersiapkan dan dipikirkan dengan hati-hati dan menimbulkan ancaman tertentu.
Target penyerang dapat berupa sejumlah organisasi (misalnya, lembaga pemerintah) dan industri dan beberapa perusahaan tertentu. Para profesional TI sangat menyadari bahwa serangan semacam ini dapat dengan mudah melewati cara perlindungan tradisional. Salah satu alat utama untuk menghadapinya adalah kotak pasir jaringan. Dalam ulasan kami, Anda akan menemukan informasi tentang kotak pasir paling canggih di pasar dan akan dapat memilih yang paling cocok untuk Anda dalam hal parameter dalam tabel perbandingan Kotak Pasir khusus
Apa itu kotak pasir? Secara umum, ini adalah lingkungan aman terisolasi yang mensimulasikan sistem operasi dengan semua komponennya - driver, pengaturan, perangkat lunak umum, dll. Di kotak pasir, Anda dapat menjalankan file dan program yang mencurigakan untuk memantau perilaku mereka dan memahami tujuannya tanpa membahayakan jaringan dan titik akhir organisasi. Pada umumnya, akan lebih tepat menyebut teknologi secara berbeda - "sel" atau "isolator" karena nama-nama itu akan dengan jelas menyampaikan makna dan tujuan media. Tetapi kita memiliki apa yang kita miliki.
Mengapa kotak pasir itu relevan? Saat melakukan serangan yang ditargetkan, penjahat cyber sering menggunakan apa yang disebut ancaman zero-day. Itu adalah virus dan eksploitasi yang baru saja muncul (atau ditulis khusus untuk serangan tertentu) dan belum dimasukkan ke dalam basis data tanda tangan alat pertahanan tradisional. Ya, basis data diperbarui sangat sering, tetapi kadang-kadang beberapa jam sudah cukup untuk menyebabkan kerusakan yang signifikan. Juga, beberapa malware dapat tetap tidak terdeteksi selama berbulan-bulan karena perilaku mereka. Kotak pasir, di sisi lain, memungkinkan Anda untuk mendeteksi tindakan jahat di lingkungan yang aman, di mana program jahat dapat melakukan upaya untuk merusak sebanyak mungkin tanpa hasil sekalipun. Tentu saja, kotak pasir itu sendiri bukanlah obat mujarab untuk ancaman zero-day dan serangan cyber yang ditargetkan. Ketika serangan dilakukan, seluruh gudang alat yang tersedia untuk penyerang digunakan. Jadi ini merupakan elemen penting dalam sistem keamanan informasi setiap organisasi. Tanpanya, perlindungan yang dibangun hampir tidak dapat disebut andal.
Kotak pasir dapat berfungsi baik sebagai solusi perangkat keras terpisah dan sebagai layanan virtual atau cloud (kombinasi metode ini juga digunakan). Pada saat yang sama, dianggap bahwa solusi yang paling efektif adalah perangkat keras. Solusi perangkat keras disediakan baik sebagai sarana independen maupun sebagai bagian dari produk kompleks untuk memerangi serangan yang ditargetkan dan ancaman lainnya. Selanjutnya, dalam ulasan kami, kami akan mempertimbangkan solusi dari perusahaan IT terkemuka yang populer di pasar dan dilaporkan oleh para ahli Gartner sebagai solusi yang andal dan terbukti untuk perlindungan informasi.
Tren Micro Deep Discovery
Produk ini adalah bagian dari sistem Trend Micro Deep Discovery yang terintegrasi, yang dirancang untuk melindungi jaringan perusahaan dari semua jenis ancaman umum dan juga dapat digunakan secara independen. Alat analisis Deep Discovery menggunakan gambar virtual, yang sepenuhnya mereplikasi sistem yang diinstal dan pengaturannya, termasuk driver, utilitas, aplikasi, dan bahkan versi bahasa, seperti kotak pasir. Modul ini dapat memeriksa dan menganalisis berbagai file yang dapat dieksekusi, Microsoft Office, dan dokumen PDF. Itu juga memproses konten dari halaman Internet yang dilihat serta konten yang diunduh dari halaman tersebut (termasuk unduhan multi-level). Pada saat yang sama, penganalisis Deep Discovery dapat mendeteksi kerentanan umum dalam dokumen kantor dan program jahat yang menggunakannya. Salah satu fungsi yang paling mendesak saat ini adalah deteksi program ransomware. Alat ini mendeteksi ancaman dan serangan berikut: ancaman nol hari, eksekusi tersembunyi skrip berbahaya, enkripsi file massal, dan tindakan lain yang khas untuk program ransomware. Untuk tujuan ini tidak hanya analisis perilaku langsung digunakan, tetapi juga sistem reputasi global, serta daftar besar pola perilaku.
Solusi ini memungkinkan Anda untuk menyebarkan hingga 60 kotak pasir di satu perangkat dan mendukung virtualisasi. Beberapa perangkat keras penganalisa Deep Discovery dapat dikelompokkan untuk meningkatkan produktivitas. Itu juga dapat berintegrasi dengan produk Trend Micro dan peralatan pelindung pihak ketiga.
Fortinet forti sandbox
Sandbox dari Fortinet adalah sistem emulasi canggih untuk mendeteksi ancaman zero-day yang tidak diketahui dan serangan bertarget menggunakan berbagai alat. Ini menggunakan mesin virtual yang meniru lingkungan operasi normal - sistem operasi dengan driver dan perangkat lunak yang diinstal. Dalam hal ini, Anda dapat menggunakan mesin virtual standar dengan OS dan program yang sudah diinstal sebelumnya (Adobe Flash Player, Java Run Time, dll.), Tetapi ada juga opsi untuk mengunggah gambar dari workstation Anda sendiri. Pemindaian objek yang mencurigakan di FortiSandbox dilakukan dalam beberapa tahap. Pertama, pemindaian antivirus biasa terjadi, kemudian objek dipindai menggunakan layanan cloud FortiGuard. Dan hanya jika selama pemeriksaan ini tidak mungkin untuk menentukan apakah objek berbahaya atau aman, itu diarahkan untuk pemindaian di kotak pasir. Prosedur ini memungkinkan Anda menghemat sumber daya secara signifikan karena beberapa file diperiksa tanpa menggunakan mekanisme kotak pasir secara langsung. Solusi ini berfungsi dengan file individual dan juga dapat memeriksa tautan web.
Fortinet FortiSandbox tersedia baik sebagai perangkat terpisah (lima model tersedia secara total) dan sebagai layanan cloud (mendukung cloud publik dan pribadi). Juga, solusinya dapat berfungsi pada peralatan klien sebagai mesin virtual. Alat ini terintegrasi dengan produk Fortinet lainnya, misalnya, alat keamanan FortiGate dan FortiWeb. Ini memungkinkan Anda untuk meningkatkan kualitas verifikasi, termasuk kemampuan untuk bekerja dengan lalu lintas terenkripsi.
Forcepoint Advanced Malware Detection
Produk Forcepoint ini dapat digunakan dalam semua solusi vendor terkemuka sebagai modul terpisah. Diantaranya: layanan cloud Broker Keamanan Akses Cloud, Keamanan Web, dan Keamanan Email, serta perangkat keras generasi baru firewall (NGFW). Modul ini diaktifkan oleh langganan terpisah dan dapat ditangguhkan dengan cara yang sama tanpa mempengaruhi operasi produk secara keseluruhan.
Sandbox Forcepoint Advanced Malware Detection tidak hanya mengemulasi sistem operasi, tetapi seluruh host, termasuk prosesor, RAM, dan komponen lainnya. Pada saat yang sama, alat analisis mendalam yang tertanam ini melacak semua tindakan program yang dieksekusi dan bahkan dapat mendeteksi kode tidak aktif untuk verifikasi. Ini memungkinkan Anda untuk mendeteksi ancaman dan skrip tersembunyi yang biasanya berjalan beberapa minggu atau bahkan beberapa bulan setelah infeksi, dan tidak muncul sendiri sebelumnya. Selain itu, Deteksi Malware Lanjutan memantau tindakan mencurigakan, bahkan jika dilakukan oleh sistem operasi atau program tepercaya. Pendekatan ini memungkinkan Anda untuk berurusan dengan kelas ancaman khusus yang mendelegasikan tindakan jahat ke alat lain.
Analisis Perangkat Lunak FireEye
Sebagai kotak pasir berpemilik, FireEye menawarkan solusi perangkat keras - perangkat yang disebut Malware Analysis AX 5550. Perangkat ini memungkinkan Anda untuk menjalankan lingkungan pengujian yang kuat dan dapat disesuaikan secara otomatis berdasarkan Windows dan MacOS. Mereka melacak malware dan ancaman zero-day yang bisa masuk ke jaringan melalui lampiran email, file biasa, dan tautan jahat. Perangkat ini menggunakan mesin Eksekusi Virtual Multi-Vektor milik yang dapat melacak serangan dari eksekusi awal kode berbahaya ke tahap akhir ketika skrip mencoba mengunduh beberapa komponen yang hilang. Semua upaya koneksi keluar melalui beberapa protokol juga dimonitor.
Platform ini memungkinkan Anda untuk bekerja dalam dua mode: langsung di kotak pasir dan langsung. Opsi terakhir berguna ketika ada serangan bertarget kompleks. Ini memungkinkan pelacakan real-time dari semua vektor dan tahap serangan di lingkungan yang aman. Selain itu, Analisis Malware bertukar informasi tentang serangan dengan perangkat berpemilik lainnya, sehingga informasi tentang ancaman zero-day baru tersedia dengan sangat cepat melalui jaringan. Hal ini, pada gilirannya, memungkinkan persiapan sebelumnya untuk serangan semacam itu dan mengurangi potensi bahayanya.
Perlindungan Serangan Bertarget Proofpoint
Email dikenal sebagai salah satu metode paling umum untuk mendapatkan malware di komputer. Proofpoint telah mengembangkan lini produk Perlindungan Serangan Bertarget Proofpoint yang memiliki alat perlindungan email bersama dengan orang lain. Ini adalah layanan cloud yang menggunakan kotak pasir berbasis cloud yang memindai lampiran email dan tautan untuk mendeteksi serangan yang ditargetkan dan ancaman zero-day. Alat ini memindai lalu lintas surat di semua jenis perangkat umum, termasuk yang seluler. Ini melindungi tidak hanya dari malware tetapi juga dari tautan phishing, yang juga sangat sering ditemukan dalam email. Pada saat itu, tidak hanya surat itu sendiri yang dipindai, tetapi juga perilaku akun dimonitor, yang memungkinkan mendeteksi aktivitas yang aneh dan memblokirnya. Fitur ini sangat berguna jika akun email telah diretas. Alat ini juga menganalisis jumlah serangan untuk setiap akun dan memberi tahu administrator yang mana yang paling banyak diserang dan memungkinkan untuk bekerja dengan orang-orang tertentu.
Perlindungan Serangan Bertarget Proofpoint mendukung sebagian besar layanan email, termasuk Office 365 dan layanan perusahaan swasta. Alat ini cepat digunakan dan dikonfigurasi. Ini dapat digunakan baik sebagai solusi mandiri dan sebagai modul dari produk perusahaan lain - Proofpoint Protection Server.
Zscaler cloud sandbox
Untuk melindungi dari ancaman zero-day dan serangan bertarget Zscaler menawarkan kotak pasir berbasis cloud-nya sendiri. Alat ini dapat digunakan sebagai solusi mandiri, serta bagian dari produk terintegrasi Zscaler Web Security. Salah satu keuntungan utama Zscaler Cloud Sandbox adalah kemampuan untuk memindai lalu lintas terenkripsi dan menggunakan pembelajaran mesin untuk mengidentifikasi ancaman. Selain itu, produk secara luas menerapkan kebijakan keamanan yang dapat dikonfigurasi oleh administrator secara pribadi. Misalnya, Anda dapat memeriksa file berdasarkan jenis dan juga memberikan perhatian khusus kepada pengguna istimewa (pengawas, dll.). Kebijakan keamanan yang dikonfigurasi dengan benar menentukan apa yang harus dilakukan dengan file yang mencurigakan - memblokirnya, mengkarantina, atau hanya memberi tahu pengguna.
Karena analisis file terjadi di dalam cloud, Zscaler Cloud Sandbox bekerja sangat cepat, dan mengarah ke infrastruktur perusahaan sangat minim. Ini juga memungkinkan Anda untuk melindungi perangkat pengguna terlepas dari lokasi mereka, seperti notebook kantor dan smartphone karyawan di perjalanan bisnis dan di luar kantor.
Periksa sandblast titik
Sandbox dari Check Point adalah teknologi yang digunakan di sejumlah alat bermerek. Ini termasuk: Keamanan Jaringan SandBlast untuk Firewall Generasi Berikutnya (NGFW), Agen SandBlast, yang melindungi titik akhir, dan SandBlast Cloud, yang bekerja dengan layanan cloud Office 365 dan melindungi email perusahaan. Produk ini dapat menganalisis lebih dari empat puluh jenis file dan konten berbahaya dari mereka, yang memungkinkan penggunaan file tanpa membahayakan. SandBlast melindungi dari virus yang dikenal dan ancaman zero-day. Produk menganalisis eksekusi file pada tingkat instruksi prosesor dan inti sistem, yang mencegah kemungkinan peluncuran objek yang terinfeksi. Ini, pada gilirannya, menghemat sumber daya untuk verifikasi dan memungkinkan Anda memproses permintaan dengan cepat.
SandBlast secara aktif menggunakan sistem Check Point ThreatCloud, database global ancaman yang diidentifikasi oleh Check Point sendiri, dalam kerjanya. Tanda tangan ancaman baru muncul di dalamnya segera setelah deteksi dan segera dikirim ke semua perangkat yang terhubung ke sistem. Hal ini memungkinkan untuk merespons dengan sangat cepat terhadap ancaman zero-day, yang belum ada dalam database anti-virus tradisional, dan yang juga digunakan di SandBlast.
Palo Alto Networks, Kebakaran Hutan
Produk komprehensif dari pengembang terkemuka perlindungan dan kontrol dan lalu lintas jaringan. Sandbox WildFire dapat menganalisis semua jenis file umum, dan juga mendukung pekerjaan dengan lalu lintas terenkripsi. Pendekatan gabungan digunakan untuk mengidentifikasi ancaman zero-day, serangan bertarget, dan objek berbahaya lainnya. Misalnya, selain analisis dinamis dan statis di kotak pasir, anti-virus, tanda tangan terowongan tersembunyi, pembelajaran mesin, dan informasi dari perangkat Palo Alto Networks lain di seluruh dunia digunakan. Analisis potensi ancaman di WildFire terjadi baik pada server lokal dan mesin virtual, maupun di cloud pengembang. Ini membantu memintas beberapa trik penyusup. Misalnya, ada teknologi menghindar. Ini memungkinkan objek jahat untuk menentukan bahwa ia sedang diuji pada mesin virtual dan tidak menunjukkan dirinya (menghindar). Kemampuan untuk menguji peralatan nyata menghilangkan trik semacam itu. Ketika platform menentukan bahwa objek menghindari cek, itu mengirimkannya ke server kotak pasir nyata untuk verifikasi.
Palo Alto Networks WildFire memiliki teknologi eksklusif yang disebut TRAPS, yang digunakan sebagai perlindungan titik akhir. Ini memantau lalu lintas secara real time dan segera setelah mendeteksi eksekusi kode berbahaya menggunakan salah satu kerentanan yang dikenal itu menciptakan perangkap virtual untuk kode, yang menutup proses berbahaya yang dieksekusi.
Pertahanan Ancaman Tingkat Lanjut McAfee
Perusahaan Amerika McAfee memposisikan produk Advanced Threat Defense sebagai solusi komprehensif untuk memerangi serangan kompleks dan ancaman zero-day. McAfee Advanced Threat Defense hadir baik sebagai perangkat keras yang dapat digunakan secara lokal (ada dua model perangkat) dan dalam bentuk virtual. Selain itu, lingkungan cloud pribadi dan publik didukung. Di antara semua alat yang digunakan dalam platform ini, ada kotak pasir berpemilik. Objek yang berpotensi berbahaya diselesaikan untuk analisis dinamis ketika diluncurkan di lingkungan yang dilindungi di dalamnya. Selain analisis perilaku, alat ini juga menggunakan analisis tanda tangan dan sistem pembelajaran mesin, memverifikasi reputasi objek. McAfee Advanced Threat Defense memungkinkan Anda untuk menyesuaikan gambar sistem untuk analisis, yang meningkatkan keandalan kerja, keakuratan deteksi ancaman, dan kecepatan investigasi. Mode pengguna interaktif memungkinkan administrator untuk secara mandiri mempelajari sampel malware, sementara sejumlah besar fitur membongkar secara signifikan mengurangi waktu untuk menyelidiki insiden.
McAfee Advanced Threat Defense terintegrasi dengan perangkat keamanan lainnya yang berada di jaringan perusahaan. Ini tidak hanya berlaku untuk solusi bermerek McAfee, tetapi juga untuk produk pihak ketiga. Dengan demikian, perangkat ini dapat membuat keputusan tentang ancaman segera setelah Pertahanan Ancaman Lanjutan menentukannya. Fitur ini memungkinkan Anda untuk merespons ancaman dengan sangat cepat dan tidak menyia-nyiakan sumber daya pada file yang dipindai ulang jika mereka sudah dikenal sebagai berbahaya. Integrasi produk dapat terjadi baik secara langsung atau dengan konektor khusus, misalnya, McAfee Threat Intelligence Exchange atau McAfee Advanced Threat Defense Email Connector.
Cisco Advanced Malware Protection
Solusi ini adalah sistem komprehensif untuk melindungi terhadap serangan lanjutan dan ancaman zero-day. Platform terdiri dari beberapa komponen yang dirancang untuk melakukan tugas yang berbeda. Misalnya, Advanced Malware Protection for Networks melindungi jaringan perusahaan, Advanced Malware Protection untuk Endpoints bekerja dengan titik akhir (termasuk perangkat seluler), dan Advanced Malware Protection untuk Konten memindai lalu lintas web dan email. Tetapi semua modul ini menggunakan kotak pasir Cisco, yang dapat melakukan analisis objek statis dan dinamis, dan menggunakan lebih dari 700 indikator perilaku untuk mendeteksi kode berbahaya.
Deteksi ancaman di Cisco Advanced Malware Protection dilakukan dengan menggunakan kombinasi berbagai metode. Selain analisis perilaku, tes tanda tangan, heuristik dan pembelajaran mesin digunakan. Sistem memeriksa file tidak hanya di titik masuknya, tetapi juga memonitor perilaku mereka selama mereka tinggal di jaringan perusahaan, terlepas dari lokasi mereka. Ini membantu untuk dengan cepat mendeteksi ancaman yang telah tidak aktif untuk waktu yang lama dan memulai aktivitas berbahaya hanya beberapa minggu atau bulan kemudian. Mekanisme yang sama berlaku untuk ancaman, yang dilacak hanya menggunakan pengamatan panjang.
Kata penutup kecil
Kotak pasir jaringan cukup beragam, tetapi mereka mengejar satu tujuan - melindungi jaringan dan titik akhir dari serangan yang tidak dapat dikenali dengan metode tradisional. Ini adalah bagian penting dari sistem keamanan informasi perusahaan, dan tanpanya Anda tidak dapat menjadi 100% yakin bahwa infrastruktur Anda terlindungi. Ada solusi yang cukup di pasar, baik perangkat keras dan cloud, yang dapat mengatasi tugas tersebut.
Tabel perbandingan Kotak Pasir kami akan membantu Anda memilih opsi terbaik.
Penulis: Vladyslav Myronovych, untuk
ROI4CIO