СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
АВ Софт
15.08.2022
#Обзоры #Dev#ИБ#ИИ#Инфра

Система защиты от целенаправленных атак AVSOFT ATHENA антивирусный мультисканер и песочница

Система защиты от целенаправленных атак AVSOFT ATHENA антивирусный мультисканер и песочница

Введение

Решение AVSOFT ATHENA имеет внутри сразу два класса современных систем безопасности: антивирусный мультисканер и «песочницу». Каждый из них содержит внутри большое количество инструментов и возможностей. Основная задача системы ATHENA анализировать на безопасность файлы и ссылки, которые поступают к ней из различных источников, в том числе из ее собственной системы агентов на рабочих местах.

Решение развивается на рынке уже более 10 лет и находится в реестре отечественного программного обеспечения. Среди потребителей есть организации из финансового, промышленного, образовательного, оборонного сектора, а также SOC центры.

Функциональные возможности

Система ATHENA инвариантна к источнику приема данных – это может быть межсетевой экран, антиспам система, почтовый, сетевой и веб-трафик, ручная загрузка, файловое хранилище, и любая другая система, которая может быть интегрирована по API.

Объекты анализа последовательно проходят проверку сначала в статическом блоке, а затем в динамическом. Такая строгая последовательность обусловлена высокой скоростью обработки данных статическом блоком благодаря чему можно быстро получить результат по уже известным вирусам, определить тип файла для дальнейшего запуска в динамике и сэкономить ресурсы, т.к. динамика более ресурсозатратна.

В этапе статического анализа файл проходит параллельную проверку следующими инструментами:

  • 25 антивирусными движками
  • моделями машинного обучения
  • внешними аналитическими источниками
  • парсинг синтаксической структуры на предмет вредоносных макросов, скриптов, упаковщиков, цифровой подписи, обфускации, энтропии и др.

На этапе динамического анализа идет запуск файла в имитационной среде на базе ОС Windows или ОС Linux (возможна также параллельная проверка) и идет анализ следующих параметров:

  • поведение в операционной системе
  • сетевая активность
  • использование ресурсов для выявления майнеров

На основании двух видов анализа определяется общий вердикт. В целях экономии времени и ресурсов система ATHENA сначала смотрит есть ли у нее контрольная сумма по файлу в базе данных, что определяется целесообразность проверки в системе, т.к. если результат уже есть, то она может сразу его отдать. Если информации по файлу нет, то он проходит обязательную статическую проверку, которая определяет уже целесообразность проверки в динамике на основании присутствия активного содержимого в файле и вердикта, если он уже подозрительный / вредоносный, то дальнейшую проверку можно остановить. Данный сценарий использования системы является рекомендуемым, при необходимости можно активировать принудительную проверку всех этапов.

Система ATHENA способна проверять почтовый трафик организации по SMTP протоколу в режиме «зеркала» (BCC копия) и в «разрыв».

При проверке электронных писем система способна обрабатывать следующие кейсы:

  • запароленный архив и рядом с ним txt файл с паролем
  • несколько запароленных архивов и txt файл c паролями от архивов
  • запароленный архив из нескольких файлов и txt файл, в котором перечислено несколько паролей, в т.ч. пароль от архива
  • письмо в письме и в письме
  • проверка файлов по ссылке

Почтовый трафик проверяется на спам по известным стандартам безопасности DKIM, DMARK, SPF, на фишинг и на вредоносные вложения.

Проверка в системе ATHENA веб-трафика возможна через зеркальный прокси, который встраивается в браузерный клиент. Также возможна проверка по ICAP (рекомендуется использовать c-icap клиент).

Система ATHENA может проверять файловые хранилища с сохранением структуры дерева папок. При выявлении подозрительного/вредоносного файла она помещает его в карантин, а на его месте создается txt файл. Можно выбрать режим работы по появлению нового файла и по таймеру. Протоколы, которые поддерживаются системой для проверки:

  • SMB
  • (S)FTP
  • NFS
  • SSHFS

Технические характеристики

Система поддерживает установку на ОС Debian и ОС RHEL. В ее составе присутствуют инфраструктурные компоненты такие как базы данных, менеджеры очередей, библиотеки для работы модулей и непосредственно сами модули системы, которые разработаны компанией АВ Софт и имеют количество уже более 50.

Все компоненты системы можно конфигурировать на различном количестве серверов и достигать производительности до 250 000 файлов в час.

Сценарии применения

Систему ATHENA можно использовать для проверки больших потоков трафика на безопасность, в том числе в отказоустойчивом кластерном исполнении. Она позволяет гибко настроить инструменты проверки и отключать долгие по времени процессы проверки, если это необходимо.

Также система хорошо применима для исследовательских целей, на базе нее можно формировать свою собственную корпоративную базу знаний о вредоносном программном обеспечении, независимую от вендора. Это позволяют делать конструкторы аналитик и индикаторов компрометации, большое количество справочников, инструментов сравнения и поиска по артефактам анализа.

Состав и архитектура решения

Система ATHENA состоит из подсистемы управления, которая включает в себя модули приема данных, анализа, обработки результатов и др., и подсистемы поддержки жизненного цикла программного комплекса, где присутствуют модули резервного копирования, масштабирования, безопасности самой системы и др.

Система ATHENA поддерживает автоматическое масштабирование и для этого разделена на несколько логических модулей и сервисов, которые можно распределять на различном количестве серверов или виртуальных машин:

  • модуль менеджмента
  • балансировщик
  • базы данных
  • статический модуль
  • динамический модуль

Все ноды работают в режиме active/active за исключение модуля менеджмента, который должен быть всегда один активный.

Системные требования и порядок внедрения

Системные требования для работы системы:

  • ОС Debian 10
  • Тип процессора Intel
  • Поддержка вложенной виртуализации для виртуальных сред

Порядок внедрения состоит из следующих шагов:

  • Обследование текущей ИТ-архитектуры
  • Подготовка и согласование сетевых схем
  • Установка системы в тестовой зоне
  • Настройка и отладка под требования заказчика
  • Тестовое испытание системы
  • Промышленное использование системы

Варианты поставки и лицензирование

Система ATHENA может быть установлена на физический сервер, в виртуальную среду (с обязательной поддержкой вложенной виртуализации) и в виде образа для развёртывания с помощью Ansible.

Лицензирование формируется на базе необходимых клиенту функциональных модулей и максимальной нагрузки по проверке в час. Предоставляется неисключительная лицензия на весь срок действия исключительной лицензии, т.е. в рамках поддержки поставляются только обновления, если она приобретается, но сама система независимо от покупки поддержки продолжает свою работу.

Лицензии на стороннее программное обеспечение: антивирусы и операционные системы для «песочниц» приобретаются заказчиком отдельно.

Интеграция с другими решениями

Межсетевой экран UserGate NGFW компании ООО «Юзергейт»

Шлюз безопасности Шлюз безопасности межсетевого экрана нового поколения ViPNet xFirewall 5 компании АО «ИнфоТеКС»

ПАК INFOWATCH ARMA INDUSTRIAL FIREWALL 3.5 компании ООО «Инфовотч АРМА»

SIEM система RuSIEM компании ООО «Русием»

SIEM система MaxPatrol SIEM компании АО «Позитив Текнолоджиз»

AlterOS и пакет офисных приложений AlterOffice компании ООО «Алми Партнер»

ОС «Ред ОС» компании ООО «Ред Софт»

Roadmap

В дорожной карте продукта присутствуют следующие направления развития функциональных характеристик:

  • Обучение моделей машинного обучения на данных пользователей
  • Проверка нескольких файлов в одной «песочнице»
  • Создание более легких по весу «песочниц»
  • Обмен IoC c межсетевыми экранами
  • Интеграция с платформами Threat Intelligence
  • Личные кабинеты пользователей

Выводы

Система ATHENA может применяться в различных типах организаций, проверять на безопасность множество источников поступления данных и интегрироваться с другими системами для приема данных и обмена информацией.

Ее отличается большое количество кастомизируемых инструментов анализа, высокая скорость работы, а также сеть ботов в сети Интернет, которые в автоматическом режиме собирают данные по вредоносным IoC.

Благодаря тому, что система ATHENA является программным обеспечением и не имеет привязки к физической инфраструктуре — это позволяет гибко конфигурировать ее установку на различных ресурсах.

АВ Софт
Автор: АВ Софт
Наша компания создает крутые решения в области информационной безопасности и коммуникации. За все время деятельности мы выпустили много продуктов, некоторые из которых являются уникальными на рынке, приняли участие во множестве выставок и форумов, развили большую партнёрскую сеть и постоянно находимся в поиске новых идей!
Комментарии: