fortinet что это за вирус
Fortinet: Компьютерные вирусы очень сходны с биологическими
Исследователи провели сравнение между компьютерными и биологическими вирусами, чтобы понять, почему человеческий иммунитет борется с вирусами гораздо лучше, чем антивирусные программы.
Компьютерные хакеры могут создать вирус, который будет очень близок к биологическому и сможет вызвать эпидемию среди людей, заявили исследователи на конференции Black Hat Europe.
Исследователи провели сравнение между компьютерными и биологическими вирусами, чтобы понять, почему человеческий иммунитет борется с вирусами гораздо лучше, чем антивирусные программы. Они пришли к выводу, что эти вирусы ведут себя подобно, кодируя информацию для паразитического поведения в хост-системе. Так, DDoS-атаку исследователи сравнили с ВИЧ, так обе эти угрозы направлены на перезагрузку системы. Помимо этого ВИЧ поражает иммунную систему человека, делая его более уязвимым к определенным болезням. Компьютерный вирус W32/Sality также использует эту стратегию, выводя из строя антивирусные программы и устанавливая вредоносное ПО для обхода межсетевого экрана Microsoft.
Также ученые отметили, что компьютеры, как и люди, способны заражать друг друга. Люди способны подхватить инфекцию посетив врача, к примеру, а компьютеры могут заразиться, посетив web-сайт с вредоносным ПО, которое автоматически устанавливается на системы.
Некоторые биологические вирусы, вирус гриппа, к примеру, умеют изменяться при репликации. Аналогично функционируют компьютерные вирусы Conficker и Koobface. У первого, как и у вируса гриппа, существует «инкубационный период», во время которого вирус не проявляет никакой активности в системе.
Отмечается, что одним из основных отличий между этими видами вирусов является то, что компьютерные вирусы гораздо изощренние, они способны шифровать данные и защищаться от попыток устранить ошибку. Если бы кто-то записал вирус гриппа компьютерным кодом, то весь файл составил бы не больше 22 Кб.
Исследователи компании Fortinet предсказывают, что в будущем компьютерные и биологические вирусы будут все больше сближаться, а границы между биологическим и цифровым миром размываются уже сейчас. В качестве примера приводится создание электронных протезов, таких как кардиостимуляторы, глубокие стимуляторы мозга и кохлеарные имплантаты. Как только эти устройства начинают взаимодействовать с внешней машиной, что необходимо на определенном этапе, теоретически они становятся уязвимыми для компьютерных вирусов.
Результаты своего исследования ученые изложили в докладе, ознакомиться с которым можно здесь.
Инвестидея: Fortinet, потому что хакеров стало больше
Сегодня у нас очень спекулятивная идея: взять акции производителя ПО в сфере кибербезопасности Fortinet (NASDAQ: FTNT), дабы заработать на росте этих акций после недавнего падения.
Потенциал роста и срок действия: 20% за 16 месяцев.
Почему акции могут вырасти: хакерская угроза все еще актуальна.
При создании материала использовались источники, недоступные пользователям из РФ. Надеемся, вы знаете, что делать.
Наши размышления основаны на анализе бизнеса компании и личном опыте наших инвесторов, но помните: не факт, что инвестидея сработает так, как мы ожидаем. Все, что мы пишем, — это прогнозы и гипотезы, а не призыв к действию. Полагаться на наши размышления или нет — решать вам.
И что там с прогнозами автора
Исследования, например вот это и вот это, говорят о том, что точность предсказаний целевых цен невелика. И это нормально: на бирже всегда слишком много неожиданностей и точные прогнозы реализовываются редко. Если бы ситуация была обратная, то фонды на основе компьютерных алгоритмов показывали бы результаты лучше людей, но увы, работают они хуже.
Поэтому мы не пытаемся строить сложные модели. Прогноз доходности в статье — это ожидания автора. Этот прогноз мы указываем для ориентира. Как и с инвестидеей в целом, читатели решают сами, стоит доверять автору и ориентироваться на прогноз или нет.
На чем компания зарабатывает
Fortinet делает ПО в сфере кибербезопасности и еще немножко продает специальные устройства, которые по ее заказу производят сторонние компании.
Согласно годовому отчету, ее выручка делится на следующие сегменты.
В 2022 с новыми знаниями
Товары — 35,32%. Покупка права использования программ Fortinet и ее «железа». Валовая маржа сегмента — 62% от его выручки.
Услуги — 64,68%. Продажи тут делятся на подписку на решения в сфере кибербезопасности — 54,79% — и техподдержку клиентов — 45,21%. Валовая маржа сегмента — 87% от его выручки.
Выручка компании по регионам:
Аргументы в пользу компании
Коронакризис увеличил нагрузку на виртуальные мощности корпоративного сектора — и вместе с этим выросли риски взломов. Эту ситуацию мы уже обсуждали в обзоре SentinelOne. На данный момент только в США остаются незанятыми 600 тысяч вакансий в сфере кибербезопасности — то есть нужна целая армия специалистов, которой взяться неоткуда. Возможно, что в таких условиях Fortinet продолжит наращивать свои финансовые показатели: раз специалистов мало, то Fortinet сможет поддерживать высокую цену на свои услуги. И может, даже увеличивать ее — во всяком случае, недостатка в желающих стать ее клиентами не предвидится.
Также на котировки компании будут благоприятно влиять новости о крупных хакерских атаках. А такие новости появятся неизбежно.
Стакан наполовину Нолан. P / E у компании великоват — 87,77, да и P / S немаленький — 16,2, но это не критично. Компания прибыльная, и ее P / E пока что не исчисляется в сотнях — это уже выгодно отличает ее от многих компаний в сфере кибербезопасности. Например, Palo Alto Networks до сих пор убыточная. Fortinet на общем фоне выгодно отличается своей прибыльностью, и думаю, уже это хорошо выделяет ее на общем фоне и поспособствует росту ее котировок.
Что может помешать
Концентрация. У компании большая часть продаж осуществляется через перепродавцов из сферы ИТ. Самыми крупными перепродавцами решений Fortinet числятся ИТ-компании Exclusive Networks с 30% выручки и Ingram Micro с 10% выручки. Пересмотр отношений с этими заказчиками может негативно повлиять на отчетность Fortinet.
Ох, Китай. Согласно годовому отчету, 85% продаваемых компанией устройств производится в Тайване. Проблема в том, что мы не знаем, какой процент в продажах компании занимает железо. Поэтому, если КНР устроит десант на блудный остров, это может негативно повлиять на отчетность Fortinet. А может и не повлиять: мы не знаем, насколько важны для нее продажи устройств.
Все равно дорого. Даже с поправкой на аргумент про «огромное достижение для компании — сам факт ее прибыльности» она выглядит недешево. Так что ее котировки может потрясти.
Теория и практика. Есть небольшие риски того, что ПО Fortinet смогут взломать злоумышленники, как было с SolarWinds. И если такое случится, то акции Fortinet улетят в ад.
Что в итоге
Блог Инфратех
FortiSandbox: полный обзор [2021]
В статье расскажем, чем опасны угрозы нулевого дня, кому и зачем нужна песочница Fortinet FortiSandbox и как она работает.
Бесплатный вебинар
все о FortiGate от А до Я
Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate
Что такое песочница и зачем она нужна
Песочница (англ. Sandbox) — это безопасная изолированная среда, в которой подозрительный файл можно запустить без вреда для сети. Она проверяет код файла и выявляет угрозы нулевого дня.
Угрозы нулевого дня — это новые вирусы и способы маскировки, для которых ещё нет сигнатур. Фаервол и антивирус не могут заблокировать такие угрозы, даже если используют свежие сигнатурные базы.
Сигнатура — это часть кода вируса или характерный признак, который отличает вредоносный код от безопасного.
Администраторы могут разрешить доступ только к однозначно безопасным файлам с помощью белых списков и проверки репутации файла. Тогда все неизвестные файлы будут недоступны. При этом может возникнуть ложное срабатывание, и пользователь не получит доступ к нужному для работы файлу.
Спектр безопасности файлов. Белые и чёрные списки, сигнатуры, IP-репутация выявляют только известные угрозы
По данным Verizon data breach investigation report 2020, 40% всех заражений начинаются с перехода по вредоносной ссылке из письма. В 96% случаев злоумышленники пытаются получить персональные данные, логины и пароли пользователей методом фишинга. Затем эти данные используют для доступа к личной и корпоративной информации, финансовым документам и коммерческим тайнам.
Посмотрим, как угрозы нулевого дня обходят средства защиты на примере атаки через электронную почту.
Схема атаки через электронную почту
1-й шаг. Хакер присылает пользователю электронное письмо со ссылкой. По ссылке открывается сайт с вирусом.
Защита почты, например, FortiMail, заблокирует такое письмо. Но она не сработает если злоумышленник использовал:
Тогда письмо попадёт в почтовый ящик, пользователь прочитает его и скорее всего перейдёт по ссылке.
По данным отчёта Verizon, в 2020 году 3,4% сотрудников компаний переходили по ссылкам в спам-письмах, что приводило к заражению сети. Это значит, что три человека из каждой сотни сотрудников компании делают возможными атаки через почту.
2-й шаг. Фаервол заблокирует переход пользователя по ссылке, если сайт имеет плохую репутацию. Но новые сайты появляются ежедневно, а рейтинги репутации обновляются не сразу. Если данных о сайте нет, фаервол считает его безопасным.
Если администратор не запретил доступ к незнакомым сайтам, пользователь переходит на сайт.
3-й шаг. Сайт запускает эксплойт — программу, которая использует «дыры» в системе безопасности, чтобы получить доступ к компьютеру пользователя. Эксплойты блокирует система предотвращения вторжений (IPS).
Другой вариант этого шага — загрузка файла с вирусом. Она может начаться автоматически при переходе на сайт. Или, например, пользователь может считать, что попал на сайт с необходимой ему программой и сам начнёт скачивание. При загрузке файлов их должен проверять антивирус.
Антивирусу и IPS нужны свежие сигнатуры. Если они ещё не получены, что часто случается при атаках нулевого дня, вирус или эксплойт через компьютер пользователя попадает в сеть предприятия.
4-й шаг. Злоумышленник через вирус получает доступ к учётным данным пользователя и пытается передать их на свой сервер.
Если система защиты сверит адрес сервера со списками IP-репутации, то передача данных будет заблокирована.
Но если атака новая, то проверка окажется бесполезной. Злоумышленник получит полный доступ к сети: может заразить компьютеры других пользователей и получить любые конфиденциальные данные.
Песочница остановит атаку на первом шаге:
Письмо с вредоносным содержанием пользователь не получит.
Если песочница определит, что письмо безопасное, то пользователь получит егоо на несколько минут позже. Такая задержка несущественна для почтового трафика: обычно почту не проверяют ежеминутно.
Сложности могут возникнуть у компаний, которые используют почту как основной способ общения с клиентами и должны отвечать быстро. Но и в этом случае задержка ответа на 5 минут предпочтительнее полной остановки работы из-за заражения сети вирусом.
Что такое FortiSandbox
FortiSandbox — это песочница компании Fortinet. Она сканирует подозрительный файл с помощью антивирусных алгоритмов, а затем запускает его в виртуальной машине и анализирует поведение. Песочница имитирует взаимодействие пользователя с файлом.
FortiSandbox может проверять файл одновременно в нескольких операционных системах: Android, Windows и MacOS. Или анализировать несколько файлов в разных виртуальных машинах.
FortiSandbox обрабатывает один файл до 5 минут. Точное время зависит от размера файла, производительности песочницы и числа виртуальных машин, используемых для анализа. Если все виртуальные машины заняты, следующие подозрительные файлы направляются в очередь.
В комплексе с фаерволом песочница работает наиболее эффективно: фаервол обрабатывает известные угрозы, а незнакомые файлы анализируются в песочнице. Трафик распределяется равномерно и оба устройства работают быстрее.
Комплекс FortiGate + FortiSandbox охватывает весь спектр файлов: от однозначно хорошего трафика до однозначно плохого
FortiSandbox сертифицирована независимыми лабораториями NSS Labs и ICSA Labs. Они тестировали защиту в комплексе:
Защита обнаружила и нейтрализовала 97,8% угроз в тесте NSS Labs Breach Prevention Systems (BPS). Не было ложноположительных срабатываний: все безопасные файлы пропущены в сеть.
Комплекс заблокировал 99,8% угроз в интернет-трафике и 99,9% угроз в почте во время тестов ICSA Labs Advanced Threat Defense. Защита пропустила только 1 из 142 угроз нулевого дня.
Что такое FortiSandbox
Этапы работы FortiSandbox:
1-й этап. Загрузка файла
FortiSandbox может получить файл:
В режиме сниффера FortiSandbox получает файлы напрямую с портов коммутатора. Песочница анализирует входящий трафик и отправляет на проверку файлы, соответствующие настройкам. В настройках режима можно ограничить число файлов в очереди на проверку, тип или максимальный размер файла, выбрать протоколы для прослушивания: HTTP, FTP, POP3, IMAP, SMTP, SMB, DNS и TCP.
Устройства Fortinet (FortiGate, FortiMail, FortiWeb и FortiClient) передают подозрительные файлы на анализ в FortiSandbox автоматически. В настройках можно указать максимальный размер передаваемого файла или его расширение.
FortiMail пересылает на анализ вложения электронной почты и URL из текста письма. FortiWeb может приостанавливать загрузку файлов из интернета до получения оценки от песочницы.
Устройства сторонних производителей подключаются к FortiSandbox через адаптеры. В FortiSandbox адаптеры — это встроенные функции, которые преобразуют полученные данные в формат, понятный песочнице.
Получать файлы от устройств и передавать им результат проверки можно:
Вложения электронной почты и URL-адреса от стороннего почтового шлюза можно передать через адаптер BCC.
Cетевое хранилище передаёт файлы в FortiSandbox по расписанию или по запросу администратора. Расписание снижает нагрузку на песочницу: обрабатывается только один раздел хранилища в течение заданного времени. Затем песочница отключается до следующего сеанса или переходит к другим задачам, например, переключается в режим сниффера.
FortiSandbox может сканировать облачные сетевые хранилища, например, Azure FS и Amazon S3.
В ручном режиме администратор сам отправляет на анализ отдельные файлы и URL-адреса. Отправить файл или URL на проверку можно с любого устройства безопасности, из хранилища, из облака или загрузить напрямую в FortiSandbox.
В ручном режиме можно пропустить отдельные этапы сканирования. Например, проверять файлы только в эмуляции.
Полученный файл отправляется на префильтрацию.
2-й этап. Префильтрация
Оценка файла до сканирования необходима для того, чтобы снизить нагрузку на песочницу. Префильтр работает как обычный антивирус и выявляет вирусы по сигнатурам, не запуская эмуляцию.
Действие префильтра показано в анимации от Fortinet:
Префильтр позволяет приобрести FortiSandbox как единственное средство безопасности для маленькой сети без антивируса и фаервола.
Если префильтр обнаружил вирус, песочница не будет анализировать файл, а администратор получит уведомление об инциденте. Но этот файл можно отправить на проверку позднее в ручном режиме.
Если известные угрозы не выявлены, FortiSandbox выполняет запрос к облачной базе данных.
3-й этап. Запрос в облако FortiGuard Labs
FortiGuard Labs собирает информацию об угрозах от всех сетевых устройств Fortinet, а также от компаний-партнёров, например, AWS или Microsoft. Если подозрительный файл уже был детектирован, его действия и сигнатура появятся в базе.
Если в облаке найдена подходящая запись о файле, то песочница сразу получит готовый отчёт о проверке. В противном случае файл будет передан на следующий этап.
4-й этап. Быстрая эмуляция кода
FortiSandbox расшифровывает и построчно проверяет файл, чтобы определить его функционал и поведение. Фактически код не выполняется, а только анализируется, поэтому вирус не может выполнить прописанные в нем действия.
Функция основана на языке Compact Pattern Recognition Language (CPRL). Это запатентованная технология Fortinet, в которой одна сигнатура может детектировать до 50 000 вариантов одного и того же вируса. Так можно обнаружить полиморфные угрозы — вирусы, которые изменяют собственный код во время выполнения.
Если после быстрой эмуляции остались подозрительные фрагменты кода, для которых не удалось подобрать сигнатуру CPRL, FortiSandbox начинает полноценную эмуляцию.
5-й этап. Эмуляция в виртуальной машине
Алгоритмы песочницы имитируют действия пользователя внутри виртуальной операционной системы. Например, клики и скроллы мышью, переходы по ссылкам, запуск программ.
FortiSandbox может изменить системное время, чтобы проверить, нет ли в коде файла отложенных инструкций. Или разрешить подключение к удаленному серверу или ботнету, чтобы определить цель и результат запроса. При этом песочница записывает все изменения реестра, процессов и файлов, подключения к сети, трафик, полученный от злоумышленников.
После эмуляции FortiSandbox присваивает файлу оценку на основе полученных данных.
6-й этап. Оценка безопасности файла
Песочница оценивает файл как:
Вредоносные файлы FortiSanbox помещает в карантин. А безопасные пользователь получит сразу после анализа в песочнице. Это займет до 5 минут.
Статус «неизвестный» получает файл, который не удалось просканировать. Такое случается из-за таймаута виртуальной машины или из-за того, что файл защищён паролем. Время таймаута и список паролей для автоматического подбора можно задать в настройках FortiSandbox.
7-й этап. Формирование отчёта
Песочница формирует отчёт из результатов анализа подозрительного файла. Администратор сети получает краткую или полную версию.
В кратком отчёте указаны имя, размер и тип файла, тип виртуальной машины, время проверки, устройство, от которого получен файл.
В полном отчёте собраны данные обо всех этапах сканирования, указаны действия файла во время эмуляции. Также в полном отчёте можно сравнить результаты сканирования на разных операционных системах.
После формирования отчёта FortiSandbox отправляет полученную информацию другим устройствам и сетям.
8-й этап. Отправка сигнатур
Сигнатуры найденных угроз автоматически передаются на все устройства безопасности внутри сети.
Отчёт о сканирования и сигнатуры также можно автоматически или вручную отправить в базу FortiGuard и партнёрам Fortinet. Это позволяет сообществу быстрее выявлять угрозы и реагировать на них. Например, предотвратить заражение других сетей, которые не имеют собственной песочницы, но используют базу сигнатур FortiGuard.
Версии и модели FortiSandbox
Доступны четыре версии FortiSandbox:
Аппаратные модели различаются по числу виртуальных машин и максимальной производительности: сколько файлов может обрабатывать песочница за час.
Версия предназначена для компаний от 100 сотрудников, которые хотят всегда иметь доступ к оборудованию и самостоятельно заниматься настройкой и обслуживанием.
 FSA-500F |  FSA-1000F/-DC |  FSA-2000E |  FSA-3000E | |
| Число ВМ | 6 | 8 | 24 | 56 |
| Число пользователей | 100—299 | 300–999 | 1000+ | 10000+ |
| Производительность префильтра (файл/час) | 4 500 | 7 500 | 12 000 | 15 000 |
| Производительность ВМ (файл/час) | 120 | 280 | 480 | 1 120 |
| Производительность сниффера (Гбит/сек) | 0,5 | 1 | 4 | 8 |
Основные характеристики аппаратных моделей. Другие данные можно посмотреть в официальном даташите (актуально на начало 2021 года)
Виртуальная FortiSandbox-VM подходит компаниям, у которых есть свободные мощности в физическом или облачном ЦОД.
Число виртуальных машин в FortiSandbox-VM на физическом оборудовании варьируется от 8 до 99, производительность в режиме сниффера —
до 1 Гбит/секунду. Производительность виртуальных машин зависит от характеристик машины, на которую установлена FortiSandbox-VM.
FortiSandbox-VM можно развернуть в локальном облаке. Тогда производительность виртуальных машин будет зависеть от аппаратного обеспечения облака. В этой версии FortiSandbox-VM доступно от 5 до 200 виртуальных машин.
Облачный FortiSandbox-VM от публичных облаков Amazon Web Services (AWS) и Microsoft Azure подходит для микробизнеса с 5–10 работниками. Ресурсы песочницы FortiSandbox доступны по моделям BYOL (по ранее купленной лицензии) и on-demand (оплачиваются только используемые ресурсы).
Облачная служба FortiSandbox Cloud — это готовое решение, которое не требует настройки и поддержки. Для каждой компании генерируется уникальная песочница с полным доступом и неограниченным числом проверок, а администратор на стороне компании не нужен.
FortiSandbox Cloud подходит для бизнеса любого сегмента и даже для частного использования: в ней доступно от 1 до 200 виртуальных машин. Интеграция занимает не больше одного дня. Сервис готов к работе сразу после оплаты и подключения к платформе https://fortisandboxcloud.com/.
Версии отличаются по производительности и количеству одновременно работающих виртуальных машин. Чем их больше, тем больше файлов можно проверить одновременно.
Пробная виртуальная машина позволит испытать FortiSandbox и выбрать конкретную версию под нужды сети. За 60 дней станет понятно, сколько реально необходимо виртуальных машин и какая требуется пропускная способность.
Fortinet предлагает брошюру о сайзинге FortiSandbox, которая тоже поможет с выбором.
Варианты развёртывания в сети
FortiSandbox разворачивается:
FortiSandbox можно изолированно подключить к коммутатору, если в сети нет устройств безопасности. Администратор сам выбирает какие файлы проверить. Также будет доступен режим сниффера — прослушивание трафика и сканирование подозрительных файлов из него.
При изолированное подключении песочница работает в режимах сниффера и ручного управления
Изолированный режим также используют, если менять конфигурацию сети по каким-то причинам нельзя. Тогда изолированная песочница становится дополнительным уровнем защиты от угроз нулевого дня.
Интеграция FortiSandbox в сеть возможна как с устройствами Fortinet, так и с фаерволом и другими средствами безопасности от сторонних производителей.
Интеграция FortiSandbox в сеть повышает безопасность всей системы, а также производительность песочницы. В песочницу при этом попадают только неизвестные угрозы, пропущенные другими средствами защиты
В составе Fortinet Security Fabric песочница обменивается данными о найденных угрозах со всеми продуктами компании Fortinet. Это обеспечивает наивысший уровень безопасности всей системы.
Объединение устройств FortiSandbox в кластеры повышает скорость реакции на угрозы. Такая модель удобна для компаний с филиалами в разных странах.
Число файлов, которые можно отправить на анализ одновременно, в кластере растёт пропорционально количеству устройств
Заключение
FortiSandbox доступна пользователям с различными запросами: песочница может обрабатывать 20 файлов в час в стартапе с пятью работниками или 15 000 файлов в час — в распределённой корпоративной сети на 10 000 пользователей.
У FortiSandbox есть общая с другими вендорами база сигнатур, которая регулярно обновляется. При выявлении угрозы нулевого дня в любой точке мира, FortiSandbox немедленно получит сигнатуру и предотвратит заражение сети, даже не запуская эмуляцию в виртуальной машине.
Но если для неизвестного файла нет сигнатур, FortiSandbox выполнит эмуляцию и проанализирует каждое действие файла. При этом тесты независимых лабораторий показывают почти идеальную эффективность работы — FortiSandbox выявляет по разным оценкам 97,8–99,9% угроз нулевого дня в интернет-трафике и электронной почте.