Ez a blogbejegyzés a OPSWAT Academy által támogatott, folyamatban lévő kiberbiztonsági képzéssorozat ötödik része, amely a kritikus infrastruktúrák védelmi programjának megtervezéséhez, végrehajtásához és kezeléséhez szükséges technológiákat és folyamatokat tekinti át.
A malware veszélyes, de nem nyilvánvalóan az. Ha a rosszindulatú szoftvereket könnyű lenne felismerni, akkor minden e-mail, hálózat vagy megosztási rendszer teljes védelmet élvezne. Ahogy a kiberbiztonsági eszközök fejlődnek, úgy kell, hogy a rosszindulatú tartalmak mindenféle fajtájának megállítása is könnyebbé váljon. Mégis, 2020-ban a McAfee Stratégiai és Nemzetközi Tanulmányok Központja rekordösszegű, alig 1 billió dollár alatti globális veszteségről számolt be. Miért olyan hatékonyak tehát a rosszindulatú programok még mindig a kiberbiztonság modern korszakában?
A természetes elvárásainkhoz való alkalmazkodásra tervezett rosszindulatú szoftverek némelyike ügyesen elkerüli az ellenőrzéseket és az elemzőeszközöket. Egy látszólag normális e-mail, weboldal vagy ingyenes online eszközök mind-mind kaput biztosítanak a rosszfiúk számára, hogy rosszindulatú kódot, programokat vagy folyamatokat juttassanak be céljaik elérése érdekében.
Az egyén jobb természetét kihasználó, álcázott rosszindulat mindig is hatékony stratégia volt. Analógia gyanánt a fegyveres konfliktusokkal sújtott területeken aknákat használnak, hogy egy ártatlan utat veszélyes csapdává álcázzanak. Ugyanígy gondolhatunk a kitérő rosszindulatú szoftverekre is.
Ha megnézzük az utat, és egy megzavart földfoltot vagy egy csipogó fémdetektort látunk, megállapíthatjuk, hogy mit találtunk, és az utat biztonságosan járhatóvá tesszük. De néha nem tudjuk. A taposóaknák lehetnek gondosan elásva, vagy nem fémből készültek, hatékonyan megakasztva a felfedezési kísérleteinket.
A legbiztonságosabb út az, ha előre felrobbantjuk az utunkat.
Már a második világháborúban hatalmas forgócséplőgépeket erősítettek nagy, pajzsos járművekre, hogy a talajra csapjanak és aknákat robbantsanak fel, hogy biztonságos utat tudjanak vágni az aknamezőkön keresztül. Hasonló kialakítású járműveket ma is használnak. Ez a módszer erőszakos és költséges, ugyanakkor ellenőrzött, kiszámított és rendkívül hatékony.
A modern kiberbiztonsági eszközök, mint például a Sandbox elemzés, lehetővé teszik számunkra, hogy a rosszindulatú szoftvereket hasonló módon robbantsuk fel. A mintaprogramokat és -fájlokat elszigetelt és biztonságos virtuális környezetekbe töltik be, ahol a rosszindulatú szoftverek futhatnak, de nem károsíthatnak semmilyen külső rendszert. A malware minta a mi aknánk, a Sandbox pedig az erősen páncélozott csapásmérőnk.
A kód felrobbantásával a tartalom minden aspektusát elemezhetjük, és ellenőrizhetjük a szándékát. A fájl lehet, hogy biztonságos, de az is lehet, hogy megpróbál kapcsolatba lépni nem ellenőrzött külső forrásokkal, megváltoztatja a rendszerleíró kulcsokat, vagy átvizsgálja a helyi fájlrendszert. A rosszindulatú szoftverek izolált környezetben történő futtatását a viselkedésük elemzése érdekében dinamikus elemzésnek nevezik.
Ellentétben a mi utunkkal, amelynek bináris állapota a biztonságos vagy nem biztonságos, figyelembe kell vennünk a fájl szándékának összetettségét. Sok legitim program végez olyan műveleteket, amelyek potenciálisan rosszindulatú tevékenységbe esnek. Nem minden Sandbox egyforma, és egy jó terméket azok a módszerek és számítások tesznek jóvá, amelyek a lehető legnagyobb biztonságot nyújtják egy fájl tevékenységének elemzése során.
Az OPSWAT MetaDefender Cloud, egy olyan eszköz, amelyet bárki ingyenesen kipróbálhat, egy hatékony Sandbox opciót kínál, amely a feltöltött fájlokat egy robusztus súlyozási rendszer alapján pontozza. A fájl biztonságos felrobbantásának képessége olyan információkat szolgáltat, amelyek egyébként megkerülhetnék a hagyományos statikus elemzési technikákat. A Sandbox kiváló védelmet nyújt a nulladik napi támadások ellen, amikor a fájldefiníciókat még nem adták hozzá az AV-cégek adatbázisaihoz. Valójában sok AV vállalat a Sandboxokat használja a rosszindulatú szoftvereket tartalmazó aláírásokhoz hozzáadandó fájlok megismerésének alapjául.
A sandboxing azonban nem jelent mindenre kiterjedő megoldást a rosszindulatú szoftverek ellen. Ahhoz, hogy az eredmények ne szennyeződjenek, minden egyes fájlt külön-külön kell vizsgálni. Már egyetlen pdf, telepítő, futtatható fájl stb. feldolgozása is jelentős idő- és hardvererőforrásokat igényel, ami a biztonsági rendszerek szűk keresztmetszetét jelentheti, ha nagy mennyiségű fájlról van szó. Annak ismerete, hogy mikor és milyen körülmények között kell használni a Sandbox, kiemelkedő fontosságú ahhoz, hogy ez egy valóban hatékony technológia legyen.
Szeretne többet tudni? OPSWAT Az Akadémia számos kiberbiztonsági képzést kínál, amelyek mélyebben elmerülnek a Sandboxingban és más biztonsági technológiákban, amelyeket az OPSWAT kínál. Látogasson el azopswatacademy.com oldalra, és iratkozzon fel ingyenesen még ma!
