معرفی ویژگی Sandboxing سیمانتک

سندباکس قابلیت Sandboxing پیشرفته Symantec نیز با تجزیه و تحلیل محتوا در دسترس است. سازمان‌ها به سادگی می‌توانند این قابلیت sandboxing را در همان دستگاه تجزیه و تحلیل محتوا یا به عنوان یک سرویس sandboxing میزبانی شده از Symantec مجوز دهند. سندباکس تجزیه و تحلیل محتوا دارای بسیاری از ویژگی های پیشرفته است که آن را در مقایسه با رقبا به گزینه ای جذاب تر برای sandboxing تبدیل می کند. این ویژگی‌ها به تجزیه و تحلیل سریع و اولویت‌بندی بدافزارهای پیشرفته و تهدیدات روز صفر برای اصلاح و بهبود مستمر امنیت کمک می‌کنند. این ویژگی ها عبارتند از:

معماری منحصر به فرد Dual-Sandbox: پشتیبانی ترکیبی شبیه سازی شده و مجازی برای بهترین تشخیص فرار تکرار نمایه

تصویر استاندارد: محیط های تجزیه و تحلیل قابل تنظیم، دقیقاً با سیستم های تولید مطابقت دارند

روش‌های تشخیص فرار بدافزار: تجزیه و تحلیل محتوا مجموعه ای از اقدامات متقابل تهاجمی را برای شناسایی و خنثی کردن بدافزارهای فراری به کار می گیرد.

Ghost User Plugin: رفتار کاربر را شبیه سازی می کند، از جمله فشار دادن کلید و پذیرش مراحل نصب برای فریب بدافزار در اجرا و در نتیجه شناسایی ماشه

کتابخانه الگوی تشخیص: الگوها می توانند شناسایی شوند بدافزار هدفمند و یکبار مصرف، و بر متدولوژی های تشخیص مبتنی بر امضا تکیه نکنید

Sandbox Avoidance Detection: تشخیص و دور زدن خواب های طولانی و کوتاه طراحی شده برای منتظر ماندن از تجزیه و تحلیل جعبه شنی و همچنین شناسایی تلاش ها برای تشخیص اینکه آیا بدافزار در یک محیط تجزیه و تحلیل مصنوعی (ماشین مجازی) بازرسی می شود یا خیر.

کد استاتیک و تجزیه و تحلیل قوانین YARA: اثر انگشت فایل را انجام می دهد، بسته کننده ها را شناسایی می کند، رشته ها را تجزیه و تحلیل می کند و از الگوهای متنی و باینری برای شناسایی و طبقه بندی نمونه های بدافزار استفاده می کند.

گزارش های تفصیلی: گزارش های سفارشی به طور کلی نشان می دهد امتیاز ریسک، شاخص‌های ریسک کلیدی، گزارش دقیق فعالیت بدافزار، تصاویری از رفتار اجرای بدافزار، و توانایی دانلود مصنوعات بدافزار، همگی شناسایی و اصلاح بدافزار را آسان می‌کنند.

بازداشت فایل: با Symantec ProxySG به عنوان نقطه پایان، تجزیه و تحلیل محتوا می تواند فایلی را در حین بازرسی نگهداری کند و تنها پس از تجزیه و تحلیل کامل و ایمن بودن ارسال آن به کاربر تحویل دهد. این یک قابلیت منحصر به فرد در مقایسه با رقبای ما است که به سادگی فایل های ناشناخته را در حالی که sandboxing هنوز در حال انجام است ارسال می کنند.

 برای سازمان هایی که الزامات عملکردی سخت تری دارند، همان سندباکس عملکرد را می توان به عنوان یکی دیگر از ابزارهای تجزیه  و تحلیل محتوا که فقط برای سندباکس توسط Symantec پیکربندی شده است، یا می توان از FireEye یا Lastline استفاده کرد. همچنین گزینه ای برای ارسال فایل های ناشناخته برای بازرسی به سندباکس کلود Symantec از طریق سرویس های تجزیه و تحلیل بدافزار وجود دارد.

گزینه های استقرار و ادغام انعطاف پذیری:  Symantec Content Analysis گزینه های استقرار بسیاری را برای رفع نیازهای سازمان ارائه می دهد. این دستگاه به صورت فیزیکی یا مجازی در دسترس است. گزینه‌های ساختار مجازی افزایش عملکرد را ارائه می‌دهند: تا 1.6 گیگابیت بر ثانیه در VMware ESX. Sandboxing در داخل جعبه و همچنین یک گزینه ابری ارائه می شود. برای سازمان‌هایی که سرویس امنیت وب سیمانتک (WSS) را به کار می‌گیرند، همان موتور بازرسی محتوا در تجزیه و تحلیل محتوا در WSS نیز موجود است.

ادغام تجزیه و تحلیل محتوا با سایر ابزارهای امنیتی نیز ارزش زیادی را فراهم می کند. با استفاده از ICAP،Content Analysis همچنین می‌تواند فایل‌های ناشناخته را از منابع دیگر، نه فقط از پروکسی، دریافت کند. این امکان بازرسی عمیق برای محتوای ناشناخته منشأ گرفته از فایروال، دروازه نامه، راه حل های تشخیص و پاسخ نقطه پایانی (EDR) یا سایر منابع موجود در محیط را فراهم می کند. Content Analysis با Symantec Endpoint Security یکپارچه شده است تا شبکه را برای مشاهده، تجزیه و تحلیل، مسدود کردن، و اصلاح مورد نیاز برای محافظت از سازمان در برابر تهدیدات پیشرفته امروزی در اختیار شما قرار دهد. اگر بدافزار توسط تجزیه و تحلیل محتوا شناسایی شود، می‌تواند شاخص‌های سازش (IOC) را به Symantec Endpoint Security Manager یا راه‌حل‌های دیگر EDR مانند Counter Tack- ارسال کند تا اگر تهدید ناشی از شبکه به نقطه پایانی رسید، اعتبارسنجی شود. سپس می تواند تمام نقاط پایانی Endpoint دیگر را تلقیح کند و پاسخ سریع و اصلاح را فعال کند.

بر خلاف رقبا، سیمانتک Symantec  (آلما شبکه نماینده سیمانتک) یک رویکرد چند لایه ای را پیاده سازی می کند که یک اثر قیف ایجاد می کند، و قبل از ارسال فایل های واقعاً ناشناخته برای بازرسی عمیق تر توسط فرآیندهای پیچیده تر و فشرده تر، از فناوری های اسکن سریع استفاده می کند. این می تواند منجر به نتایج مثبت کاذب کمتر، اسکن کارآمدتر، و پاسخ متمرکز فقط به تهدیدات واقعی که برای سازمان اهمیت دارد، شود. پیاده‌سازی یک پلت‌فرم امنیت سایبری چندلایه به برداشتن بار تیم‌های امنیتی کمک می‌کند و همچنین استرس ناشی از این که آیا راه‌حل نقطه‌ای به اندازه کافی خوب است را کاهش می‌دهد. با ادامه رشد و تکامل حملات امنیتی، یک رویکرد امنیتی چند لایه جامع برای محافظت از سازمان مورد نیاز است.