Что такое песочница в программировании
Перейти к содержимому

Что такое песочница в программировании

  • автор:

Для чего нужна и как поставляется песочница (SandBox)

Премия Securitymedia

Интерес к средствам защиты инфраструктуры разных классов неуклонно растет. Некоторые компании впервые сталкиваются с ИБ-тематикой и активно ищут эффективные инструменты, которые нужно ввести в инфраструктуру уже сейчас. Один из таких инструментов – песочница. Песочница (SandBox) – это «карантинная среда», через которую проходит входящий трафик. Зловред воспринимает ее как реальную цифровую систему и начинает совершать нелегитимные действия, после чего идентифицируется и блокируется, не соприкасаясь с основной инфраструктурой. Этот класс решений используется для фильтрации как почтового, так и веб-трафика. В этой статье мы рассмотрели прикладной механизм эксплуатации песочницы в инфраструктуре компании, а также модели реализации этого класса решений с позиции бизнеса.

Принцип работы песочницы

  • антивирус;
  • межсетевые экраны;
  • спам-фильтры.

Они отсеивают те угрозы, информация о которых есть в базах данных этих решений. Это позволяет снизить нагрузку на саму песочницу и инфраструктуру в целом. Оставшийся трафик может содержать неизвестные другим средствам защиты вредоносы или их замаскированные варианты.

Директор центра развития продуктов NGR Softlab

При интеграции песочницы в инфраструктуру компании важно обратить внимание, как автоматизировать процесс проверки и как обеспечить его балансировку и эшелонированную защиту. Нужно убедиться, что поддерживаемые решением протоколы позволяют забрать или принять файлы для анализа, а результат этого анализа может быть передан в систему мониторинга ИБ. Если поток файлов большой, важно удостовериться, что может быть обеспечена балансировка нагрузки на экземпляры песочницы и у вас не будет очередей. Если песочница – лишь одно из звеньев проверки (например, используется дополнительно потоковый антивирус и DLP), убедитесь, что в этом процессе не будет ручного труда и вы можете автоматизировать этот конвейер.

Неизвестные вредоносы могут появляться вследствие несвоевременного обновлений защитных устройств. Этот риск стал особенно актуален в условиях ухода с российского рынка иностранных вендоров. Также, некоторые уязвимости и ВПО просто не были идентифицированы исследователями на момент атаки, а значит и программных средств автоматизированной защиты от них нет.

В таких условиях песочница – лучший способ защитить инфраструктуру. Программа SandBox позволяет посмотреть, как проявит себя подозрительный файл в карантинной среде.

Такой класс решений особенно актуален в контексте борьбы с руткитами, APT-атаками и попытками эксплуатации «уязвимостей нулевого дня». Можно сказать, что песочница «просеивает» уже отфильтрованный первичными средствами защиты трафик.

Модели поставки песочницы

Менеджер по развитию бизнеса департамента информационной безопасности «Сиссофт»

При интеграции песочницы в инфраструктуру компании важно обратить внимание на то, насколько функциональна сама система. Важно, чтобы она не только мониторила трафик, но и блокировала атаки, имела различные способы проверки зловредов.

В действительности аспектов, которые важно принять во внимание в этом случае, довольно много. Однако самый первый вопрос, который нужно себе задать при выборе песочницы звучит так: «Кто будет заниматься песочницей»?

На рынке имеются не только решения для самостоятельного внедрения, но и продукт «песочница как услуга» (SaaS-версии Sandbox) — востребованный бизнесом, когда нужны преднастройки, кастомизация под конкретные нужды и круглосуточная техническая поддержка решения.

У бизнеса есть три модели интеграции SandBox в инфраструктуру компании:

  1. Самостоятельно. Купить готовый продукт и своими силами интегрировать его в сетевую инфраструктуру. Такой подход актуален для крупных IT-ориентированных компаний, у которых есть достаточное количество специалистов соответствующей компетенции.
  2. Опосредованно. От предыдущей модели этот вариант отличается тем, что интеграцией и настройкой занимаются внешние специалисты, представители поставщика ПО или другая компетентная компания. Такой метод, с позиции бизнеса, проще, но не решает вопрос того, кто будет работать с песочницей «на местах».
  3. Делегировано. То есть по SaaS-модели, где компания оплачивает подписку, а все операции с SandBox удаленно выполняет поставщик. Такой подход позволяет оптимизировать расходы (нет необходимости «разово» платить большую сумму за приобретение самой программы песочницы) и снижает нагрузку на штат ИБ компании.

Итоги

Актуальность использования песочницы в защитной инфраструктуре компании напрямую обусловлена зрелостью ИБ в конкретной организации. Как только первичные инструменты защиты внедрены и инфраструктура защищена от наиболее распространенных, ожидаемых угроз, можно переходить к «эшелонированию» обороны компании с помощью SandBox.

При наличии достаточного количества ресурсов (финансовых, временных) и штата специалистов компания может самостоятельно интегрировать песочницу в свою инфраструктуру.

Если же такого ресурса нет или соответствующие специалисты загружены другими задачами, оптимально будет воспользоваться моделью работы «по подписке», где компания, фактически, платит за комфорт, и получает все необходимые опции для работы с этим классом защитных инструментов.

Что такое песочница? Значение термина песочница в IT

Песочница (sandbox) – в компьютерной безопасности это механизм для безопасного исполнения программ.

Обычно песочница – это жестко контролируемый набор ресурсов предназначенный для исполнения гостевой программы, например место в памяти или на диске. Доступ к сети, возможность сообщения с главной ОС или считывание информации с устройства ввода зачастую либо эмулируют, либо ограничивают. По сути – песочница это пример виртуализации. Повышенная безопасность исполнения кода в ней, часто связана с достаточно большой нагрузкой на систему. Поэтому многие песочницы используют лишь для подозрительного или еще неотлаженного кода.

Песочницы обычно использую для запуска непроверенного кода из неизвестного источника, как средство защиты и для анализа и обнаружения вредоносного ПО. Часто песочницы используют при разработке ПО для запуска еще «сырого» кода, который возможно может повредить систему либо сложную конфигурацию. Песочницы копируют самые основные элементы среды, для которой был написан код, и позволяют разработчикам безопасно экспериментировать.

Песочницы, как средство защиты пользователей от неизвестных угроз, используют многие разработчики антивирусов.
Лаборатория Касперского в своих продуктах использует технологию «Безопасная среда», которая позволяет запускать подозрительные программы.

Avast! в некоторые сваи пакеты включила песочницу, в которой можно запускать подозрительные приложения без угрозы для системы.

Panda Security предоставляет безопасный доступ в сеть с помощью браузера, который запущен в песочнице.
В браузере Google Chrome так же применяется технология песочницы.

Помогло? Делись!

Реклама:

Представляем
систему управления сайтами
NetCat

CMS NetCat — профессиональная коммерческая система управления Интернет-сайтами, один из лидеров на российском рынке веб-разработок.
Наша компания является сертифицированным партнером и рекомендуемым разработчиком сайтов на NetCat во Владивостоке.
В настоящее время большинство новых сайтов мы создаем на основе ее программной платформы.

Песочница Windows

Песочница Windows предоставляет компактную среду рабочих столов для безопасного запуска приложений в изоляции. Программное обеспечение, установленное внутри среды Песочницы Windows, изолировано от всей остальной системы и работает независимо от главного компьютера.

Песочница является временной. При ее закрытии все находящееся в ней программное обеспечение, все файлы и данные о состоянии удаляются. При каждом открытии приложения вы получаете новый экземпляр песочницы. Однако обратите внимание, что с Windows 11 версии 22H2 данные будут сохраняться через перезапуск, инициированный из виртуализированной среды, что полезно для установки приложений, которым требуется перезагрузка ОС.

Программное обеспечение и приложения, установленные на главном компьютере, не являются непосредственно доступными в песочнице. Если в среде Песочницы Windows вам нужны какие-либо определенные приложения, их необходимо явным образом установить в этой среде.

Песочница Windows обладает следующими свойствами:

  • Это часть Windows: все, что требуется для этой функции, входит в состав операционных систем Windows 10 Pro и Windows 10 Корпоративная. Нет необходимости скачивать VHD.
  • Чистая система: при каждом запуске Песочницы Windows создается новый экземпляр чистой системы Windows.
  • Одноразовость: на устройстве не сохраняются никакие данные. Когда пользователь закрывает это приложение, все данные удаляются.
  • Безопасность: для изоляции ядра используется аппаратная виртуализация. Гипервизор Майкрософт выполняет отдельное ядро, отделяющее Песочницу Windows от главного компьютера.
  • Эффективность: используется интегрированный планировщик ядра, интеллектуальное управление памятью и виртуальный ГП.

Песочница Windows по умолчанию включает подключение к сети. Его можно отключить с помощью файла конфигурации Песочницы Windows.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Песочница Windows:

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Да Да Да Да

Песочница Windows лицензии предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Да Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Предварительные условия

  • ARM64 (для Windows 11 версии 22H2 и более поздних версий) или архитектура AMD64
  • Возможности виртуализации должны быть включены в BIOS
  • Не менее 4 ГБ оперативной памяти (рекомендуется 8 ГБ)
  • Не менее 1 ГБ свободного места на диске (рекомендуется твердотельный накопитель)
  • По крайней мере два ядра ЦП (четыре ядра с гиперпотоками рекомендуется)

Песочница Windows в настоящее время не поддерживается в выпуске Windows Home

Установка

  1. Убедитесь, что на компьютере установлена операционная система Windows 10 Pro или Корпоративная с версией сборки 18305 или Windows 11.
  2. Включите виртуализацию на компьютере.
  3. Если вы используете физический компьютер, убедитесь, что возможности виртуализации включены в BIOS.
  4. Если вы используете виртуальную машину, необходимо включить вложенную виртуализацию. При необходимости также обновите виртуальную машину для поддержки вложенной виртуализации. Выполните следующие команды PowerShell на узле:
Set-VMProcessor -VMName -ExposeVirtualizationExtensions $true Update-VMVersion -VMName

Примечание. Чтобы включить песочницу с помощью PowerShell, откройте PowerShell от имени администратора и выполните следующую команду:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online 

Примечание. Песочница Windows не соответствует параметрам мыши в хост-системе, поэтому если в системе узла настроена левая мышь, эти параметры необходимо применить в Песочница Windows вручную при запуске Песочница Windows. Кроме того, можно использовать файл конфигурации песочницы, чтобы выполнить команду входа для переключения параметра мыши. Пример см. в разделе Пример 3.

Использование

  1. Скопируйте исполняемый файл (и все остальные файлы, необходимые для запуска приложения) с главного компьютера и вставьте их в окно Песочницы Windows.
  2. Запустите исполняемый файл или установщик в песочнице.
  3. По завершении экспериментов закройте песочницу. В диалоговом окне будет указано, что все содержимое песочницы будет безвозвратно удалено. Нажмите кнопку ОК.
  4. Убедитесь, что на главном компьютере нет никаких изменений, сделанных вами в Песочнице Windows.

Обратная связь

Были ли сведения на этой странице полезными?

Что такое песочница? Как работает облачная песочница?

Киберпреступления становятся все более опасными и продуманными с каждым днем, при их совершении используются сложные техники атак, а для установки вредоносного ПО и нарушения конфиденциальности данных находятся новые пути.
Одной из важнейших задач в сфере киберзащиты, стоящих перед малым и средним бизнесом (SMB), становится обеспечение безопасности операций, которые все больше переносятся в облачные службы и Интернет.

Реальность такова, что Интернет, число активных пользователей которого достигает сегодня 4,5 миллиона, стал основной платформой для совершения атак. Недавнее исследование компании Verizon, результаты которого представлены в отчете Data Breach Investigations Report за 2020 г., показало, что 43 % утечек данных в 2019 г. было связано с атаками на веб-приложения.

Способов украсть данные великое множество. Киберпреступники получают доступ к сети компании или к домашней сети человека с помощью ложных URL-адресов, вложений и файлов, внедряя их в фишинговые письма или размещая вводящие в заблуждение ссылки.

Хорошая новость заключается в том, что современные средства веб-защиты (например, облачная песочница и безопасные веб-шлюзы) не отстают в развитии от новейших угроз для сети и электронной почты. Например, безопасные веб-шлюзы проверяют каждый байт веб-трафика (даже зашифрованного) и используют облачную песочницу, чтобы проверять подозрительные веб-материалы на наличие вредоносного содержания.

Как песочница системы кибербезопасности защищает от угроз?

Песочница системы кибербезопасности предлагает безопасную среду для открытия подозрительных файлов, запуска ненадежных программ и загрузок с URL-адресов без влияния на устройство, с помощью которого выполняются эти операции. Ее можно использовать в любое время и в любой ситуации, чтобы безопасно проверить файл или код, который может быть вредоносным, прежде чем отправлять его на устройства. И все это — в изоляции от ПК и сети компании.

В кибербезопасности песочница используется как ресурс для проверки программного обеспечения, которое может быть классифицировано как «безопасное» или «небезопасное». Вредоносные программы становятся все более опасными и распространенными, поэтому опасные приложения, ссылки и загрузки потенциально могут получить бесконечный доступ к данным сети, если они не будут предварительно протестированы в песочнице. Песочницу можно использовать как инструмент для обнаружения атак вредоносных программ и их блокирования до того, как они попадут в сеть. Система позволяет ИТ-специалистам проверить код и точно понять, как он работает, прежде чем он проникнет на конечное устройство, внедряя вредоносные программы или вирусы. Она дает ИТ-отделам понимание и информацию о том, на что следует обращать внимание в других случаях.

В качестве ключевой меры стратегий сетевой и веб-защиты использование песочницы обеспечивает дополнительный уровень безопасности: угрозы можно анализировать, изолируя их от сети, чтобы не позволить им нарушить работу системы. При необходимости приложение или файл можно запустить, а после закрытия песочницы все изменения будут отменены, чтобы исключить риск повреждения устройств.

ПО песочницы предоставляется в виде облачного или размещаемого на устройстве решения и может иметь различные возможности в зависимости от потребностей вашего бизнеса.

Какая разница между облачной и традиционной песочницей, установленной на устройстве?

Во многих компаниях из сегмента SMB быстро понимают, что облачное программное обеспечение позволяет сотрудникам работать продуктивно, где бы они ни находились, существенно сокращает расходы и не требует обслуживания, в отличие от локального оборудования и программного обеспечения. Поэтому решения с использованием физических устройств на месте используются все реже. Среди преимуществ облачного ПО можно назвать удаленную работу, резервное копирование и восстановление, а также сокращение расходов на локальное оборудование.

Как облачные, так и локальные песочницы способны укрепить защиту от угроз нулевого дня. Но облачные песочницы предлагают современному быстрорастущему штату сотрудников ряд преимуществ, связанных с веб-проверкой вредоносных программ, масштабируемостью и удобством использования.

Во-первых, использование облачной песочницы устраняет необходимость локальных серверов и позволяет без труда проверять URL-адреса, загрузки и код по запросу в виртуальной песочнице, полностью отделенной от компьютера и всех сетевых устройств. Локальные песочницы работают на физическом оборудовании и не способны защищать передвигающихся или удаленных сотрудников, тогда как возможность выполнять проверку в виртуальной среде может защищать пользователей как в корпоративной сети, так и за ее пределами.

Облачные песочницы превосходят локальные альтернативы и в том, что касается возможностей проверки, так как они позволяют проверять SSL-трафик, где нередко скрывается вредоносное ПО. Если ваша песочница не способна проверять весь SSL-трафик, вредоносные веб-угрозы могут проникнуть за линию обороны.

Использование облачной песочницы также устраняет необходимость дорогостоящих устройств для проверки на безопасность, которые требуют обслуживания, обновлений, со временем устаревают и приводят к дополнительным расходам.

Какой вариант песочницы больше подходит вашей компании?

Облачная песочница идеально подойдет компаниям с обширной сетью и большим количеством удаленного персонала, так как она обеспечивает защиту сотрудникам вне офиса. Кроме того, облачная песочница может масштабироваться вместе с компанией, тогда как устройства необходимо заменять на аналоги с большей емкостью или приобретать для них дополнительные элементы. Локальное оборудование не способно проверять подозрительные элементы в песочнице удаленно, но оно может стать идеальным выбором для небольших компаний с ограниченным количеством конечных устройств, подключаемых вне корпоративной сети.

Как облачная песочница обеспечивает защиту всей сети от угроз?

После принудительного перехода на удаленную работу из-за пандемии COVID-19 ИТ-специалисты смогли убедиться в преимуществах облачных песочниц. Главным из них является возможность обезопасить удаленных сотрудников, с чем не способны справиться локальные песочницы.

Например, использование удаленными сотрудниками различных подключений к Интернету в гостевых сетях (которые из-за большого количества пользователей можно без труда взломать или использовать для совершения киберпреступлений) представляет собой реальную опасность, если не предусмотрены меры по защите удаленного персонала. Дело в том, что, пользователь подвергается потенциальным угрозам, как только покидает сеть, поскольку взять с собой локальную систему невозможно. Облачная песочница защищает всю сеть независимо от местоположения. Дополнительные советы, связанные с безопасностью во время удаленной работы, можно найти в блоге Avast Business.

Чем песочница отличается от функции Avast Business CyberCapture?

Киберпреступники выбирают быстрые, новаторские схемы взлома сети и воздействуют на максимально возможное количество пользователей за короткий отрезок времени. Одним из способов устранения этой проблемы, предусмотренных решениями Avast Business для защиты конечных точек, является собственная функция сканирования файлов — CyberCapture. Ей оснащены все антивирусные продукты Avast Business.

Функция CyberCapture разработана для автоматического обнаружения и анализа редких подозрительных файлов. Она использует машинное обучение и анализ поведения, чтобы выполнить глубокий анализ потенциально вредоносного ПО. Эта функция используется для обнаружения подозрительных неизвестных файлов и их перехвата для более тщательной проверки. Если вредоносное ПО будет обнаружено, CyberCapture отправит его в карантин и прекратит его работу, чтобы предотвратить выполнение вредоносного кода в системе пользователя и воздействие на сеть.

Как и облачная песочница, функция CyberCapture работает в облачной среде, выявляя вредоносные программы, использующие шифрование для маскировки своих истинных намерений, и раскрывая их ложный код, чтобы определить реальные команды и инструкции таких программ. Затем ПО отмечается как безопасное или небезопасное, в последнем случае оно помещается в карантин и не может запускаться на устройстве.

Функция CyberCapture работает автоматически, тогда как облачная песочница используется по запросу любым пользователем или ИТ-отделом, который хочет запустить определенный файл или приложение в облачной среде, изолированной от устройства.

Песочница может работать в сочетании с функцией CyberCapture, передавая CyberCapture полученную информацию и позволяя ИТ-отделу лучше определять вредоносное и безопасное поведение, постоянно укрепляя защиту от угроз.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *