Con creatori di malware sempre più esperti nel “travestire”, oltre che creare ex novo, codici malevoli, utilizzando anche tecniche di evasione avanzata, sfuggire a un attacco mirato (APT) può essere difficoltoso. In questo contesto, il sandboxing offre un utile livello di difesa: una emulazione virtuale di interi sistemi operativi, dove eseguire in sicurezza un codice sospetto e osservare il suo comportamento. Ma con nuove tecnologie integrate, così da rendere la sandbox ancora più efficiente. Per quale motivo? Ce lo spiegano i White Paper di Fortinet dedicati alla sandbox e agli attacchi APT.
1. Che cosa è una sandbox?
La sandbox è un ambiente isolato, sicuro, che replica il sistema operativo dell'utente per poter eseguire, osservare e classificare il codice in base all'attività invece che per gli attributi. In una sandbox è possibile eseguire file eseguibili e lasciar passare il traffico di rete associato e tutto ciò che può contenere malware occulto. La sandbox offre un ambiente sicuro in cui eseguire e osservare codice dannoso, come operazioni su file e dischi, connessioni di rete, modifiche alla configurazione di registri e sistemi e così via.
Per saperne di più sulla sandbox
2. Perché usare la sandbox?
I cybercriminali, sempre più informati sui metodi comuni di rilevamento delle minacce, tendono a focalizzare i propri sforzi di sviluppo sull'elusione delle difese. La tecnologia delle sandbox riesce oggi a svelare nuove minacce sfuggenti o vecchie minacce con nuove vesti.
3. La sandbox? Meglio a doppio livello
Ma attenzione, perché oggi i cybercriminali più raffinati riescono sempre più spesso a bypassare le tradizionali soluzioni antimalware e a introdurre nelle reti minacce più subdole e persistenti. Questi attacchi mirati sfuggono al rilevamento basato su signature note, mascherando la propria natura dannosa con tecniche quali la compressione, la crittografia, il polimorfismo e così via. Alcune di queste aggressioni sono persino riuscite a eludere ambienti sandbox virtuali con l'ausilio del rilevamento delle VM, di time bomb e di altre tattiche. Per contrastare gli attacchi odierni serve quindi qualcosa in più di un software antimalware, occorre una strategia completa e integrata: una sandbox a doppio livello, con software antimalware e funzionalità di intelligence delle minacce.
Guarda come funziona la sandbox a doppio livello creata da Fortinet
4. Ma serve ancora l’antivirus?
La sandbox non sostituisce le funzioni antispam, IPS, antivirus, di web filtering, IP reputation e application control dei firewall di nuova generazione, dei Secure Email Gateway e delle piattaforme di protezione degli endpoint in possesso; bensì collabora con esse, per garantire un ulteriore livello di protezione gestibile per una difesa coordinata.
