Обновление PT Sandbox ускоряет анализ вредоносных файлов

Positive Technologies обновила PT Sandbox до версии 5.17, предназначенной для защиты от сложного вредоносного ПО. Производительность в сравнении с версией 5.7, выпущенной год назад, заметно увеличилась при сохранении качества обнаружения угроз. Улучшения реализованы за счет внедрения новых функций.

Одним из ключевых обновлений, которое значительно повысило скорость работы PT Sandbox, стало увеличение числа виртуальных машин, одновременно запускаемых на одном узле поведенческого анализа. Разработчики оптимизировали процессы эмуляции аппаратного обеспечения, внедрив модули перехвата системных вызовов для проверки. Это позволило ускорить анализ поведения файлов, а также расширить объем регистрируемых событий информационной безопасности и повысить вероятность обнаружения киберугроз.

Вторым фактором, который повлиял на повышение производительности продукта, стала предварительная фильтрация файлов. PT Sandbox предварительно классифицирует файлы и ссылки, полученные от подключенных источников, и отправляет на поведенческий анализ только те объекты, которые отвечают установленным политикам ИБ. Обновленная песочница позволяет настроить фильтрацию объектов под конкретные сценарии, связанные в том числе с сезонными проектами компаний, например с важными конференциями, предоставлением финансовой отчетности, презентациями новых решений. Команда детально проработала набор экспертных параметров для определения потенциально опасных объектов. Благодаря этому администраторы, которые работают с продуктом, могут либо сделать проверки более глубокими, либо ускорить работу системы, сократив объем данных для поведенческого анализа.

Также улучшения коснулись работы с очередностью проверки файлов, что повлияло на скорость PT Sandbox. Теперь файлы, отправленные на поведенческий анализ, проверяются в порядке очереди, а начиная с версии PT Sandbox 5.15, администраторам доступно управление этой очередью. Они могут просматривать детали заданий, отменять их, а также изменять приоритет файлов. Кроме того, была улучшена внутренняя логика очередей, появилась возможность использовать результаты предыдущих проверок. В условиях обработки больших потоков файлов, что может занимать от нескольких часов до нескольких дней, эта функциональность заметно ускоряет работу PT Sandbox.