Всем привет. На связи снова Александр Грачев. Как и обещал, возвращаюсь с новыми рассказами о внутренней кухне технической поддержке песочницы PT Sandbox и том, как мы делаем мир безопаснее и лучше благодаря нашему продукту.
Вначале хочется рассказать о том, почему я считаю песочницу необходимым продуктом для любой компании. Все мы знаем о таких распространенных вирусах, как шифровальщики. И да, когда-то о них было слышно «из каждого утюга», а потом шумиха улеглась и вроде как все прошло. Но наши исследования показывают, что они никуда не делись.
Предположу, что от слова «шифровальщик» у любого IT-специалиста начинает дергаться глаз. И я понимаю эти эмоции. В мир ИБ я, как многие в этой сфере, попал из ИТ (и это несмотря на то, что многие айтишники не любят безопасников и наоборот).
Так вот, злосчастные шифровальщики — это страшный сон IT-специалиста, о котором мечтаешь забыть. Да, сейчас стало легче и проще, способов защиты стало больше, а вот раньше… В любой момент мог раздаться звонок со словами: «У меня тут на рабочем столе появился текстовый файл „Открой меня“, а внутри просят деньги. Что делать?» И начинается череда приключений. Найди все узлы, которые были зашифрованы, очисти следы шифровальщика, восстанови данные из резервной копии. И хорошо, когда все это разбито по контурам и есть внутренняя защита инфраструктуры. А если компания маленькая и никто никогда не думал о том, что шифровальщик может их задеть? А если еще и резервная копия не была «спрятана» на такой случай и ее удалили, потому что это была APT-атака, прикрытая шифровальщиком? В общем, можно сказать так: шифровальщик шифровальщику рознь, и хорошо, когда его последствия можно устранить малой кровью. Но зачем устранять, если можно не допускать?
Рассмотрим на примере того же шифровальщика, почему PT Sandbox нужен не только крупным компаниям, но и, например, SME.
Существуют разные способы поддержки инфраструктуры, это может быть как свой штат ИТ (большой или маленький), так и ИТ-аутсорсинг. Неважно, кто именно отвечает за вашу инфраструктуру, важно, как они это делают.
Шифровальщик — это вирус, который обычно рассылается по огромной базе почтовых адресов и выглядит как документ формата PDF, Word или Excel. Такие файлы повсеместно используются в системах электронного документооборота, с которыми работает, например, бухгалтерия.
И вот я как пользователь, который постоянно работает с документами, вижу, что на почту пришла очередная выписка из реестра или, например, счет от поставщика, который я давно жду. ИТ уверяет меня, что я в безопасности, ведь у меня на ПК стоит антивирус, хороший, дорогой (сам счета подписывал) — он промолчал, значит, файл можно открывать.
Пробуем открыть? Не получается. Когда-то ИТ просили сверять адреса — вроде все правильно, никаких проблем. Наверное, файл битый, вернусь к своим делам.
Вы уже догадались, что все это неспроста?
Пока я занимаюсь своими делами, мой компьютер шифруется. Казалось бы, всего одно письмо, всего одна ошибка — человеческий фактор. А вот уже и инцидент безопасности. И начинается вся эта катавасия: звонок в ИТ, восстановление из резервной копии (если она, конечно, жива), поиски, а может, и покупка дешифратора, восстановление инфраструктуры. Время. Бесконечно много драгоценного времени. А как мы все знаем, время — деньги.
Вы уже, наверное, думаете, зачем я это читаю, я же пришел про PT Sandbox узнать, получше разобраться во внутреннем мире в продукте и его поддержке, а тут про шифраторы и «вот это вот всё» (с). Да, вы правы, оставим нашу вымышленную и, конечно же, невозможную в реальной жизни ситуацию в прошлом и вернемся к песочнице.
Как связаны PT Sandbox и наша вымышленная ситуация, спросите вы? Напрямую, отвечу вам я