За последние годы информационные атаки стали намного сложнее: теперь они состоят из нескольких этапов и включают разнообразные модули. В то же время стоимость реализации атаки снизилась, т.к. злоумышленники используют готовую инфраструктуру, а также целый арсенал инструментов для обхода традиционных средств защиты. Теперь практически каждая атака становиться атакой «нулевого дня». Особенно если речь идет о целенаправленных (таргетированных) атаках.
Как защититься от того, о чем мы еще не знаем?
Одним из самых эффективных способов обнаружения новых угроз является эмуляция: открытие (или запуск) подозрительного файла в изолированной среде и наблюдение за его поведением. Это трудоемкий процесс, который проводится либо на отдельном устройстве, либо в облаке.
Решения для защиты от угроз различаются по принципам работы. Некоторые устаревшие решения работают в режиме Detection, т.е. позволяют только обнаружить атаку (honey pots, сенсоры и детекторы, анализаторы сетевой активности и др.). Технологии Check Point реализуют намного более эффективный режим Prevention, при котором угроза блокируется еще до того, как может нанести вред организации.
Check Point SandBlast позволяет защитить организацию от угроз «нулевого дня» в режиме Prevention. Решение устойчиво к способам обхода детектирования, используемым злоумышленниками, что подтверждается высочайшим уровнем обнаружения. При этом SandBlast не тормозит бизнес-процессы и мгновенно доставляет безопасное содержимое.
В основе SandBlast лежит целый ряд сложных технологий анализа и обработки трафика, в том числе Threat Emulation и Threat Extraction, которые поднимают защиту на новый уровень.
Threat Emulation – эмуляция всех подозрительных файлов с возможностью блокировки доступа к им до окончания проверки. Вердикт выносится не более чем через 4 секунды. Используя машинное обучение, многостадийный анализ и исследование поведения, SandBlast обеспечивает не только высочайший уровень обнаружения, но и быструю эмуляцию и непревзойденную производительность.
Threat Extraction позволяет мгновенно предоставить пользователю безопасную копию подозрительного документа, пока производится анализ и эмуляция. Оригинал будет автоматически доступен пользователю в случае признания его безопасным.