PT MultiScanner

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2016/09/22
Дата последнего релиза: 2017/12/07
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации

Содержание

PT MultiScanner - многопоточная система выявления вредоносного контента.

2017

Декабрьское обновление

7 декабря 2017 года компания Positive Technologies сообщила о выпуске следующей версии PT MultiScanner. Модернизированная система может локализовать и блокировать передачу вредоносных объектов непосредственно в почтовом потоке, объединять выявленное вредоносное ПО по всей инфраструктуре в одну угрозу заражения.

PT MultiScanner позволяет найти все потоки распространения инфекции и затронутые ею жизненно важные органы инфраструктуры, заявили разработчики. Для работы с полученными данным создан веб-интерфейс с информационными панелями, статистикой и настраиваемыми фильтрами.

Усовершенствованная архитектура PT MultiScanner позволяет обрабатывать до 150 тысяч файлов в час в потоковом режиме. Ресурсы системы не простаивают при отсутствии загрузки (например, в нерабочие часы): автоматически запускается ретроспективный анализ (что позволяет выявлять ранее неизвестное вредоносное ПО), благодаря чему исключается вероятность влияния на производительность системы в часы пиковой нагрузки.

В PT MultiScanner появилась возможность использования "черных" и "белых" списков:

  • можно вручную создавать кастомизированные списки
  • использовать черные списки, поставляемые Positive Technologies.

Допускается настройка детектирования заражения с учетом специфики конкретной компании, повышается эффективность обнаружения и блокировки вредоносного ПО. При обнаружении объекта из "черного" списка в исторических данных, PT MultiScanner запускает ретроспективный анализ и оповещает оператора в веб-интерфейсе и (или) отправив уведомление на выделенный почтовый адрес или в SIEM-систему.

Актуальная информация об объектах — заблокированных, пропущенных или выявленных в рамках ретроспективного анализа — отображается в единой панели статистики. Этим повышается скорость реагирования оператора на выявленные в сети угрозы заражения. Для удобства работы с данными PT MultiScanner позволяет создавать пользовательские фильтры, что сокращает время на обработку таких, к примеру, запросов, как «найти все шифровальщики в почте, веб-трафике или хранилище» до десятков секунд.

PT MultiScanner агрегирует все одинаковые объекты, передаваемые в различных потоках распространения вредоносного ПО, в одну угрозу заражения, что снижает трудозатраты оператора на анализ схемы распространения и значительно повышает эффективность расследования и реагирования на возникшие инциденты.

Сертификация в Минобороны РФ

Система многоуровневой защиты от вредоносного ПО PT MultiScanner прошла испытания в системе сертификации Минобороны РФ. Это означает, что теперь она может применяться во всех подразделениях ведомства, сообщили 5 сентября 2017 года в компании Positive Technologies.

PT MultiScanner применяется в областях, где необходимо проверять на вирусы большой входящий поток файлов пользователей — на порталах государственных услуг, в банковский, страховой, телекоммуникационной и других сферах. Она позволяет повысить точность и оперативность обнаружения угроз за счет многопоточного сканирования несколькими антивирусами в сочетании с другими методами выявления угроз, включая ретроспективный анализ действий вредоносных файлов в системе.

Сертификат № 3710 выдан 22 августа 2017 года и действует в течение трех лет. Документ подтверждает, что система Positive Technologies отвечает требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 2-му уровню контроля отсутствия недекларированных возможностей. Наличие сертификата также говорит о том, что продукт отвечает требованиям по соответствию реальных и декларируемых в документации функциональных возможностей.

2016: Создана система выявления вредоносного контента

22 сентября 2016 года компания Positive Technologies представила многопоточную систему выявления вредоносного контента PT MultiScanner.

Продукт повышает точность и оперативность обнаружения угроз в корпоративной сети посредством параллельного сканирования несколькими антивирусными ядрами, точечного анализа поведения вредоносных файлов и репутационных сервисов.

«
Некоторые исследования показывают, что ежемесячно появляется около 400 тыс. единиц нового и модифицированного вредоносного ПО. При этом выпускаемые антивирусными компаниями обновления зачастую доставляются пользователям слишком поздно: между первичным обнаружением зловреда и его детектированием другими производителями антивирусных решений проходят недели, а иногда и месяцы. Ни о какой стопроцентной защите от всех новых угроз при этом даже говорить не приходится. Злоумышленники же активно эксплуатируют так называемые уязвимости нулевого дня, а нередко и уязвимости в самих антивирусах (например, реализуя целевые атаки). В таких случаях для дополнительной защиты служба ИБ зачастую обращается к облачным сервисам кросс-проверок, что, в свою очередь, увеличивает вероятность утечки конфиденциальной информации.

Евгения Красавина, менеджер по продвижению продуктов Positive Technologies
»

Повысить уровень обнаружения вредоносных файлов без риска компрометации данных в облачных сервисах помогает система выявления вредоносного контента PT MultiScanner. Она устанавливается локально, внутри защищаемого периметра. Опциональная возможность обновления антивирусов дает возможность работать в изолированных сегментах сети и пресекать возможные утечки данных: проверяемые файлы не покидают инфраструктуру системы.

Взаимодействие PT MultiScanner в ИТ-инфраструктуре, (2016)

PT MultiScanner выполняет автоматизированную проверку файлов на различных антивирусных движках, в том числе разработанных Kaspersky Lab, ESET, Sophos, Doctor Web. При этом единая внутренняя база знаний Positive Technologies и репутационные списки постоянно обновляются и выявляют то, что пропустили антивирусы.

«
Продукт может использоваться как для выборочной проверки файлов, так и для защиты почтового трафика, файловых хранилищ, архивов и веб-порталов на потоке. Модуль точечного анализа угроз в PT MultiScanner позволяет всесторонне изучать вредоносные объекты и способствует выявлению распределенных во времени атак. Значительно облегчает расследование инцидентов и модуль ретроспективного анализа, который дает возможность выяснить, какие системы подвергались воздействию вредоносного ПО в прошлом — до того, как оно стало известно антивирусам.

Максим Филиппов, директор по развитию бизнеса Positive Technologies в России
»

PT MultiScanner интегрируется в любую ИТ-инфраструктуру, которая обеспечивается за счет поддержки стандартных интерфейсов (REST API, SMTP, ICAP, Syslog) и мониторинга файловых ресурсов и сетевого трафика.

«
По разным оценкам совокупные затраты на устранение последствий одной вирусной инфекции могут исчисляться миллионами рублей. В такой ситуации даже 1% прироста уровня детектирования за счет параллельного сканирования снизит вероятность вирусной инфекции до 0,1%. Это тот уровень риска, который управляем и контролируем, в том числе благодаря модулю точечного изучения угроз системы PT MultiScanner.
»

Согласно заявлению компании-разработчика, продукт поможет снизить трудозатраты на обработку заявок сотрудников на проверку подозрительного контента.

На 22 сентября 2016 года компания заявила о завершении пилотного внедрения продукта в ряде компаний финансового, страхового и телекоммуникационного секторов бизнеса.