Kaspersky Sandbox

Для кого подходит

Решение подходит в первую очередь для компаний, где функции отдела департамента информационной безопасности совмещены с функциями ИТ-департамента. На практике часто встречается нехватка кадров в условиях ограниченного бюджета. Тогда требуется с минимальным количеством затрат получить, если не решение класса EDR, то хотя бы просто «песочницу».

Кроме того, Kaspersky Sandbox удобно использовать в случае наличия большого количества удалённых офисов компании, в которых нет своих специалистов по информационной безопасности. Тогда в центральном офисе используется максимально сложное решение, на котором происходит детектирование сложных угроз в филиалах с помощью Kaspersky Sandbox. Его применение сокращает количество трудозатрат, используемых в компании, и оно не требует привлечения дополнительных человеческих ресурсов. Таким образом можно сэкономить бюджет.

Основные сценарии работы

Продукт решает проблемы недостаточности автоматизации, нехватки ресурсов, загрузки специалистов информационной безопасности решением других рутинных задач.

Решение используется, когда:

• необходима поддержка автоматических сценариев противодействия неизвестным угрозам без необходимости привлечения специалистов информационной безопасности;
• нужно защитить высоконагруженные терминальные серверы, в том числе с выключенным модулем поведенческого анализа в Kaspersky Security для бизнеса;
• нужно защитить рабочие станции при отключенном взаимодействии с глобальной базой данных об угрозах Kaspersky Security Network или Kaspersky Private Security Network;
• при наличии API для интеграции со сторонними приложениями в инфраструктуре заказчика.

Принцип работы

Система полностью автоматизирована и работает напрямую с решением Kaspersky Endpoint Security, которое устанавливается на хосты сети организации. Таким образом, у Kaspersky Endpoint Security появляется дополнительный способ детектирования сложных угроз через Kaspersky Sandbox.

Решение работает в двух режимах: синхронный и асинхронный.

Асинхронный режим используется в тех случаях, когда появляется новый файл на хосте и требуется впервые проанализировать его в «песочнице». Тогда файл отправляется на обработку в «песочницу». После этого вынесенный вердикт о нём отправляется обратно на хост и добавляется в общий кэш вердиктов в одну «песочницу» или в кластеры.

Синхронный режим используется в тех случаях, когда репутация запрашиваемого файла уже имеется в кэше вердиктов. Это возникает тогда, когда такой же файл уже был обработан ранее. Тогда решение Kaspersky Endpoint Security сначала проверяет свой локальный кэш вердиктов и после этого отправляет запрос в общий кэш вердиктов на Kaspersky Sandbox. После этого вердикт возвращается. В таких ситуациях при синхронном режиме работы происходит более быстрое детектирование. После того, как все детекты были осуждены, информация о них передаётся в Kaspersky Security Center, который в свою очередь используется для управления Kaspersky Endpoint Security, а также Kaspersky Sandbox. На Kaspersky Security Center находится вся статистика о срабатываниях. На основе этих событий можно создавать отчёты.

Функциональные возможности:

• стабильность и высокая производительность за счёт аппаратной виртуализации, являющейся основой Kaspersky Sandbox;
• поддержка платформ с установленными операционными системами Android и Microsoft Windows;
• мониторинг взаимодействия операционной системы и процесса, который необходимо расследовать;
• углубленный анализ в подозрительных случаях;
• обнаружение типичного поведения эксплойтов, в том числе продвинутых (в целевых направленных атаках) ещё на ранних стадиях их выполнения.

Управление

Всё управление Kaspersky Sandbox ведётся через Kaspersky Security Center. Там создаются отдельные политики для управления агентами, которые отвечают за отправку файлов в «песочницу». Помимо этого, можно управлять лицензиями из Kaspersky Security Center и осуществлять мониторинг работоспособности системы.

Одна лицензия Kaspersky Sandbox рассчитана на 1 000 агентов в Kaspersky Security Center. В эту лицензию также включена лицензия на Microsoft Windows и лицензии на все программы, которые установлены в образе Windows 7.