Dr.Web vxCube: анализируй это!
Каким образом данный сервис позволяет повысить безопасность ИТ-инфраструктуры компании, мы попросили ответить Василия Севостьянова, руководитель отдела технического сопровождения продаж компании «Доктор Веб».
Dr.Web сравнительно недавно выпустила инструмент vxCube – что это и как работает?
Данный инструмент представляет собой интерактивный анализатор угроз, который запускает файл в изолированной виртуальной среде и проводит подробный анализ всех выполняемых им действий: что он изменяет, какие файлы создает или меняет, обращается ли в сеть и пр. Если среди них зафиксированы вредоносные, файл классифицируется как вредоносное ПО, о чем и сообщается оператору. Опционально может быть сгенерирована утилита Dr.Web CureIt! для лечения именно этой угрозы. Для конечного пользователя схема работы
Dr.Web vxCube выглядит предельно просто: подозрительный файл загружается в облако, оперативно проходит проверки и анализатор выдает вердикт касательно вредоносности. Однако за этой видимой простотой стоит глубокий анализ. При подозрении, что файл может оказаться угрозой, пользователю нужно авторизоваться и загрузить его на официальную страницу Dr.Web vxCube. После завершения анализа отображается окно с оценкой опасности интересующего файла. Также здесь прикреплен видеоотчет о проделанной работе — в том числе пользователь может понаблюдать за тем, как запускается вредоносный файл.
Возможно ли интегрировать Dr.Web vxCube в ИТ-инфраструктуру компании?
Да, возможно. Данный инструмент предоставляет возможность взаимодействия с собой с помощью HTTP API, через который любое авторизованное (то есть имеющее токен доступа) приложение может прислать файловый объект на анализ и затем получить вердикт по его анализу. Также по результатам анализа – если файл определен как вредоносный – будут сгенерированы индикаторы компрометации, по которым можно выявить присутствие заражения на других компьютерах.
Кроме того, буквально только что вышла новая версия Dr.Web для почтовых серверов UNIX — теперь продукт имеет штатный функционал интеграции с анализатором подозрительных файлов Dr.Web vxCube. Благодаря этому новшеству Dr.Web vxCube с легкостью становится частью ИТ-инфраструктуры компании и не требует дополнительных действий для интеграции. Данный функционал может быть использован Dr.Web для почтовых серверов UNIX в двух сценариях: в первом он подключается к существующему почтовому шлюзу, вложения из входящих писем передаются на проверку в Dr.Web для почтовых серверов UNIX, откуда они отправляются в Dr.Web vxCube. Далее, в зависимости от вердикта анализатора, чистая почта доставляется адресату, а подозрительная либо добавляется в архив с паролем, либо удаляется. Для этого варианта важно использование совместимого с Dr.Web почтового шлюза на UNIX/Linux. Второй вариант – когда Dr.Web для почтовых серверов UNIX устанавливается отдельно, а действующий почтовый сервер (при этом варианте его тип не важен) настраивается на отправку копии всех сообщений в vxCube – при таком варианте почта доставляется адресату как обычно, а в случае выявления в ней угроз администратору будет направлено оповещение.
Какие платформы поддерживаются этим решением?
На данный момент поддерживаются Windows от XP до 10, а также Android.
Присутствует ли Dr.Web vxCube в реестре отечественного ПО?
Да, присутствует.
Насколько точен результат, полученный Dr.Web vxCube, и что делать, если возникают сомнения в его правильности?
Если анализируемый образец проявил свои вредоносные свойства во время анализа, результат будет абсолютно точен. При наличии сомнений можно воспользоваться нашими услугами и прислать образец на анализ в нашу вирусную лабораторию, где его проанализируют вручную и дадут по нему вердикт.
Сколько стоит продукт Dr.Web vxCube и по какой схеме распространяется?
Dr.Web vxCube доступен в двух версиях. Первая — облачная версия (лицензируются сроком на 12 месяцев), которая подразумевает отправку файлов для анализа на серверах «Доктор Веб» (100/500/1000/3000 файлов) и генерацию лечащей утилиты Dr.Web CureIt! в случае обнаружения угроз. И имеется версия On-premise, используя которую, можно анализировать неограниченное количество подозрительных файлов в пределах собственной сети, без их отправки на внешние сервисы. Данный сервис лицензируются сроком на 12, 24 или 36 месяцев. Рекомендованная розничная цена «облачной» версии начинается от 125 000 рублей, при этом Dr.Web vxCube (версия on-premise) будет стоить от 2 000 000 рублей.
Опубликовано 01.11.2022