Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2016/09/22 |
Дата последнего релиза: | 2017/12/07 |
Технологии: | ИБ - Антивирусы, ИБ - Антиспам, ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации |
Содержание |
PT MultiScanner - многопоточная система выявления вредоносного контента.
2024: В популярных продуктах Positive Technologies обнаружена критическая уязвимость
В конце октября ФСТЭК опубликовала предупреждение о критической уязвимости BDU:2024-08291[1], которая была обнаружена в двух продуктах Positive Technologies — Sandbox и MultiScanner. Уязвимыми являются версии с 5.6.0 до 5.15.0 включительно — исправление в версии 5.15.1 (есть и сертифицированная). Опасность оценивается как 8.8 из 10 по CVSSv3. Эксплуатации данной уязвимости пока зафиксировано не было.
В случае данной уязвимости она была найдена в рамках стандартной внутренней программы Positive Technologies, устранена нашей разработкой, соответствующие обновления и уведомления о мерах, которые необходимо предпринять для дальнейшей работы, получили все пользователи наших продуктов, — заверила читателей TAdviser пресс-служба Positive Technologies. — Согласно правилам ответственного разглашения уязвимостей в России, информация об уязвимости отправлена во ФСТЭК. |
Уязвимость относится к классу сохранённого межсайтового скриптинга (SXSS), которая срабатывает в веб-интерфейсе администратора или специалиста по безопасности. При их подключении к веб-интерфейсу от имени соответствующего пользователя может запуститься вредоносный сценарий JavaScript. С его помощью злоумышленники могут как захватить компьютер администратора, так и отключить настройки корпоративной защиты. Обычно XSS–ошибки не являются критичными, однако в данном случае ошибка позволяет, во-первых, проникнуть сквозь периметр, а во-вторых — повлиять на систему безопасности.
В данном случае уязвимость может быть использована только для APT-атак, поскольку из внутренней системы можно вытянуть только те данные, которые через неё проходят, а значит, это довольно закрытая история, — пояснил для TAdviser ситуацию Андрей Мичкин, начальник отдела внедрения ИБ-решений Cloud Networks. — Надо понимать, что песочница как продукт – это изолированная тема, даже данные какого-нибудь проверяемого письма, скорее всего, не удастся получить в легкодоступном формате. К тому же, этот продукт используется ещё не во всех компаниях, а сам производитель уже выпустил несколько рекомендаций по исправлению уязвимости. |
Впрочем, исправления в основном связаны с установкой последних обновлений[2] соответствующих продуктов. Даже ФСТЭК в своём сообщении не приводит рекомендаций для тех пользователей, которые не могут установить обновления. Хотя понятно, что тот же экран уровня веб-приложений (WAF) вполне может защитить от подобного класса ошибок. Правда, для этого он должен контролировать интерфейс соответствующего продукта Positive Technologies и фильтровать спецсимволы в веб-приложении.
В данной ситуации самым действенным способом защиты была бы проверка конфигурации и «дизайна» веб-ресурсов, — порекомендовал Андрей Мичкин. — Также не следует забывать об использовании WAF: от последствий эксплуатации этой уязвимости межсетевой экран вполне мог бы защитить. Теоретически, уязвимость может быть эксплуатирована в режиме удалённого доступа для изменения или провокации сбоя в настройках СЗИ. Однако особых причин для волнения пока нет: к чести производителя, уже выпущен перечень рекомендаций по устранению уязвимости. |
2017
Декабрьское обновление
7 декабря 2017 года компания Positive Technologies сообщила о выпуске следующей версии PT MultiScanner. Модернизированная система может локализовать и блокировать передачу вредоносных объектов непосредственно в почтовом потоке, объединять выявленное вредоносное ПО по всей инфраструктуре в одну угрозу заражения.
PT MultiScanner позволяет найти все потоки распространения инфекции и затронутые ею жизненно важные органы инфраструктуры, заявили разработчики. Для работы с полученными данным создан веб-интерфейс с информационными панелями, статистикой и настраиваемыми фильтрами.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы
Усовершенствованная архитектура PT MultiScanner позволяет обрабатывать до 150 тысяч файлов в час в потоковом режиме. Ресурсы системы не простаивают при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ (что позволяет выявлять ранее неизвестное вредоносное ПО), благодаря чему исключается вероятность влияния на производительность системы в часы пиковой нагрузки.
В PT MultiScanner появилась возможность использования "черных" и "белых" списков:
- можно вручную создавать кастомизированные списки
- использовать черные списки, поставляемые Positive Technologies.
Допускается настройка детектирования заражения с учетом специфики конкретной компании, повышается эффективность обнаружения и блокировки вредоносного ПО. При обнаружении объекта из "черного" списка в исторических данных, PT MultiScanner запускает ретроспективный анализ и оповещает оператора в веб-интерфейсе и (или) отправив уведомление на выделенный почтовый адрес или в SIEM-систему.
Актуальная информация об объектах — заблокированных, пропущенных или выявленных в рамках ретроспективного анализа — отображается в единой панели статистики. Этим повышается скорость реагирования оператора на выявленные в сети угрозы заражения. Для удобства работы с данными PT MultiScanner позволяет создавать пользовательские фильтры, что сокращает время на обработку таких, к примеру, запросов, как «найти все шифровальщики в почте, веб-трафике или хранилище» до десятков секунд.
PT MultiScanner агрегирует все одинаковые объекты, передаваемые в различных потоках распространения вредоносного ПО, в одну угрозу заражения, что снижает трудозатраты оператора на анализ схемы распространения и значительно повышает эффективность расследования и реагирования на возникшие инциденты.
Сертификация в Минобороны РФ
Система многоуровневой защиты от вредоносного ПО PT MultiScanner прошла испытания в системе сертификации Минобороны РФ. Это означает, что теперь она может применяться во всех подразделениях ведомства, сообщили 5 сентября 2017 года в компании Positive Technologies.
PT MultiScanner применяется в областях, где необходимо проверять на вирусы большой входящий поток файлов пользователей — на порталах государственных услуг, в банковский, страховой, телекоммуникационной и других сферах. Она позволяет повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусами в сочетании с другими методами выявления угроз, включая ретроспективный анализ действий вредоносных файлов в системе.
Сертификат № 3710 выдан 22 августа 2017 года и действует в течение трех лет. Документ подтверждает, что система Positive Technologies отвечает требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 2-му уровню контроля отсутствия недекларированных возможностей. Наличие сертификата также говорит о том, что продукт отвечает требованиям по соответствию реальных и декларируемых в документации функциональных возможностей.
2016: Создана система выявления вредоносного контента
22 сентября 2016 года компания Positive Technologies представила многопоточную систему выявления вредоносного контента PT MultiScanner.
Продукт повышает точность и оперативность обнаружения угроз в корпоративной сети посредством параллельного сканирования несколькими антивирусными ядрами, точечного анализа поведения вредоносных файлов и репутационных сервисов.
Некоторые исследования показывают, что ежемесячно появляется около 400 тыс. единиц нового и модифицированного вредоносного ПО. При этом выпускаемые антивирусными компаниями обновления зачастую доставляются пользователям слишком поздно: между первичным обнаружением зловреда и его детектированием другими производителями антивирусных решений проходят недели, а иногда и месяцы. Ни о какой стопроцентной защите от всех новых угроз при этом даже говорить не приходится. Злоумышленники же активно эксплуатируют так называемые уязвимости нулевого дня, а нередко и уязвимости в самих антивирусах (например, реализуя целевые атаки). В таких случаях для дополнительной защиты служба ИБ зачастую обращается к облачным сервисам кросс-проверок, что, в свою очередь, увеличивает вероятность утечки конфиденциальной информации. |
Повысить уровень обнаружения вредоносных файлов без риска компрометации данных в облачных сервисах помогает система выявления вредоносного контента PT MultiScanner. Она устанавливается локально, внутри защищаемого периметра. Опциональная возможность обновления антивирусов дает возможность работать в изолированных сегментах сети и пресекать возможные утечки данных: проверяемые файлы не покидают инфраструктуру системы.
PT MultiScanner выполняет автоматизированную проверку файлов на различных антивирусных движках, в том числе разработанных Kaspersky Lab, ESET, Sophos, Doctor Web. При этом единая внутренняя база знаний Positive Technologies и репутационные списки постоянно обновляются и выявляют то, что пропустили антивирусы.
Продукт может использоваться как для выборочной проверки файлов, так и для защиты почтового трафика, файловых хранилищ, архивов и веб-порталов на потоке. Модуль точечного анализа угроз в PT MultiScanner позволяет всесторонне изучать вредоносные объекты и способствует выявлению распределенных во времени атак. Значительно облегчает расследование инцидентов и модуль ретроспективного анализа, который дает возможность выяснить, какие системы подвергались воздействию вредоносного ПО в прошлом — до того, как оно стало известно антивирусам. |
PT MultiScanner интегрируется в любую ИТ-инфраструктуру, которая обеспечивается за счет поддержки стандартных интерфейсов (REST API, SMTP, ICAP, Syslog) и мониторинга файловых ресурсов и сетевого трафика.
По разным оценкам совокупные затраты на устранение последствий одной вирусной инфекции могут исчисляться миллионами рублей. В такой ситуации даже 1% прироста уровня детектирования за счет параллельного сканирования снизит вероятность вирусной инфекции до 0,1%. Это тот уровень риска, который управляем и контролируем, в том числе благодаря модулю точечного изучения угроз системы PT MultiScanner. |
Согласно заявлению компании-разработчика, продукт поможет снизить трудозатраты на обработку заявок сотрудников на проверку подозрительного контента.
На 22 сентября 2016 года компания заявила о завершении пилотного внедрения продукта в ряде компаний финансового, страхового и телекоммуникационного секторов бизнеса.
Примечания
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
TUV Austria (2)
Сторм системс (StormWall) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
АМТ-Груп (AMT Group) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Крок Облачные сервисы (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Сторм системс (StormWall) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
MaxPatrol SIEM - 2
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (78)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (900)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 368)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (368, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
Лаборатория Касперского (Kaspersky) (2, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Endpoint Security - 82
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 433
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Trend Micro: Deep Discovery - 2
Kaspersky Industrial CyberSecurity (KICS) - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky ASAP Automated Security Awareness Platform - 1
UserGate Proxy & Firewall - 1
Kaspersky Industrial CyberSecurity (KICS) - 1
Другие 3