PT Sandbox — первая песочница с искусственным интеллектом в реестре российского ПО
«Злоумышленники постоянно совершенствуют вредоносное ПО, стремясь сделать его невидимым для классических средств защиты. Передовая песочница PT Sandbox обнаруживает такие программы в файлах. Продукт проводит комплексные и глубокие проверки, в том числе с помощью ML-системы, которая реализует поведенческий анализ трасс [1] процессов и обнаруживает в них вредоносное и нетипичное ПО. Запись в реестре российского ПО официально признает, что продукт содержит технологии искусственного интеллекта. Это подтверждение будет важно в первую очередь тем компаниям, для которых наличие технологий ИИ в продукте — обязательное условие», - Сергей Осипов, руководитель направления защиты от вредоносного ПО в компании Positive Technologies.
ML-система PT Sandbox анализирует более 8500 признаков[2] поведения объекта с точки зрения тех процессов, которые они запускают. Процессы, в свою очередь, создают системные вызовы, мы учитываем их последовательность и некоторые паттерны. Благодаря такому комплексному анализу повышается точность выявления неизвестных целенаправленных угроз. Например, на одной из кибербитв Standoff атакующие запустили вредоносную программу, которая перед началом своей активности создала цепочку подпроцессов в количестве 100 штук. ML-решение заметило эту аномалию, в то время как классической сигнатуры для ее обнаружении в продукте не было. Так алгоритм, помимо прочего, помогает расширять экспертизу, используемую в PT Sandbox. Эксперты продолжают тестировать модель на новых данных, повышая точность обнаружения угроз, а также обучать ее с учетом особенностей IT-инфраструктуры клиентов.
[1] Трасса — цепочка событий, произошедших во время выполнения программы.
[2] Признаки были сформированы в результате анализа большого объема информации о событиях ИБ, собранной из инфраструктуры Positive Technologies и полученной от команды экспертного центра безопасности PT ESC.
