top of page
Writer's pictureTheodor Porutiu

Ako môže zabezpečenie pomocou Sandboxu zvýšiť vaše schopnosti detekcie a analýzy malwaru?




V nedávnych veľkých incidentoch, ako bol útok na MGM Resorts alebo únik dát Bank of America, hrali veľkú úlohu exploity typu zero-day, pokročilé perzistentné hrozby (APT) a ďalšie komplexné kybernetické hrozby.


Vzhľadom na to, že aktéri hrozieb rozširujú svoj arzenál, musia ich bezpečnostní špecialisti nasledovať. Jednou z najlepších reakcií na dnešné komplikované prostredie hrozieb je nasadenie zabezpečenia pomocou sandboxov. Môže organizácia ochrániť pred modernými bezpečnostnými rizikami a zvýšiť ich informovanosť o hrozbách.


Čo je Sandbox Security?

Riešenia Sandbox Security využívajú virtuálne počítače na detonáciu súborov v bezpečnom prostredí a analýzu ich správania. Ide o typ dynamickej analýzy malwaru s mnohými aplikáciami, ktoré možno všeobecne rozdeliť do dvoch kategórií: detekcia a analýza malwaru.


Pri detekcii sú prostredia sandboxov veľmi užitočné na zastavenie hrozieb typu zero-day alebo APT, ktoré by unikli jednoduchým metódam detekcie. Statická analýza nemôže o súbore odhaliť všetko, takže jeho detonácia v zabezpečenom prostredí môže odhaliť viac informácií o zdanlivo neškodných súboroch. Tieto informácie je možné využiť na filtrovanie podozrivých programov a ochranu koncových bodov, brán (gateways) alebo zariadení.


Pri analýze malwaru používajú sandboxing výskumní pracovníci a bezpečnostní špecialisti, ktorí chcú porozumieť potenciálne škodlivému kódu alebo škodlivému softvéru. Tým, že nechajú nežiaducu aplikáciu bežať v prostredí sandboxu, môžu bezpečnostné operačné centrum (SOC) a bezpečnostní analytici pozorovať rôzne fázy útoku hrozieb, a to aj v prípade, že by ich antimalvérové riešenie mohlo zastaviť.


Bezpečnostní špecialisti tak môžu pochopiť bežné taktiky, techniky a postupy (TTP) používané útočníkmi a posilniť svoju obranu.


Rôzne typy prostredia Sandboxov

Všeobecne existujú dva typy prostredia sandboxov: cloudové alebo lokálne.


Cloudový sandboxing je dnes priemyselným štandardom. Je jednoduchšie na používanie, najmä pre vzdialený tím, a je oveľa lepšie škálovateľný. Pretože je obvykle hosťovaný niektorou bezpečnostnou spoločnosťou, je tiež lacnejšie na údržbu a poskytuje pokročilý kontext hrozieb pre akýkoľvek súbor.


On-premises sandboxing poskytuje väčšiu kontrolu nad nastavením a úplné súkromie ihneď po inštalácii. Mnoho cloudových sandboxingových riešení však môže ponúknuť rovnakú úroveň súkromia vďaka anonymizácii informácií a mazaniu súborov po detonácii v prostredí sandboxu.


On-prem sandboxing vyžaduje viac technických zdrojov, vyššie hardvérové nároky a horšie sa aktualizuje. Naproti tomu cloudové sandboxy majú lepšiu detekciu, sú vysoko škálovateľné, ľahšie sa integrujú a ich údržba stojí menej. Vzhľadom na výhody cloudových sandboxov sa na ne vo zvyšku článku zameriame.


Ako Sandboxing funguje

Proces skenovania súboru v sandboxe sa líši v závislosti od poskytovateľa, ale vo všeobecnosti zahŕňa tieto kroky:


  1. Odoslanie súboru prostredníctvom užívateľského rozhrania alebo volania rozhrania API.

  2. Predfiltrovanie súboru pre získanie rýchleho rozhodnutia.

  3. Detonácia vo vhodnom virtuálnom počítači.

  4. Protokolovanie udalostí a automatická analýza správania súboru.

  5. Vrátenie verdiktu užívateľovi v ľudsky čitateľnom formáte.



Pre informáciu uvádzame prehľad fungovania služby Bitdefender Sandbox:



Prostredie Sandbox simulujú fyzický hardvér hostiteľského počítača a operačný systém koncového užívateľa. Pokročilý malware však niekedy dokáže rozpoznať, že je odpálený v zabezpečenom virtuálnom počítači a zamaskovať škodlivý zámer.


Preto je dôležité vybrať si spoľahlivého poskytovateľa sandboxového softvéru, ktorý dokáže rozpoznať techniky obchádzania sandboxov a zaručí správne odpálenie v prostredí sandboxu.


Výhody Sandbox Security

Jednou z najväčších výhod sandboxového zabezpečenia je lepšia ochrana. Pokročilé hrozby, ako sú APT alebo zero-days, je veľmi ťažké zastaviť pomocou jednoduchej detekcie, založenej na signatúrach alebo dokonca bežných vzoroch.


Jediným spôsobom, ako dôsledne zastavovať potenciálne škodlivý softvér, je dynamická analýza malwaru. Spustenie škodlivého kódu odhalí informácie, ktoré by inak bolo ťažké alebo nemožné získať, napríklad zmeny v súborovom systéme, zápisy do pamäte, vykonávané inštrukcie API a mnoho ďalších.


Okrem lepšej detekcie je sandboxing malwaru nepostrádateľný aj pre analytikov SOC a bezpečnostných analytikov. Môže poskytnúť prehľad o zámeroch malwaru, relevantných IoC a IoA, bežných TTP a užitočnom kontexte aktérov hrozieb.


Vďaka týmto výhodám detekcie a analýzy je zabezpečenie sandboxu kľúčové pre moderné zabezpečenie.


Základné funkcie každého dobrého sandboxu

Pokiaľ máte záujem investovať do spoľahlivého riešenia sandboxingu, budete chcieť riešenie, ktoré dokáže ponúknuť:


  1. Prípustné limity dávok : Pokiaľ nemôžete do sandboxu odosielať veľké množstvo súborov, budú obmedzené aj vaše možnosti detekcie a analýzy.

  2. Efektívne predfiltrovanie : Predfiltrácia je dôležitou funkciou, ak chcete mať rýchle výsledky a spoľahlivé triedenie výstrah.

  3. Kvalitatívne technológie detekcie hrozieb : Najlepšie sandboxy používajú na detekciu hrozieb pokročilé technológie zabezpečenia proti malwaru.

  4. Podrobné a relevantné spravodajstvo : Sandboxing je užitočný iba vtedy, ak môžete získať užitočné informácie o správaní malwaru a IoC.

  5. Jednoduchá integrácia : Dobré sandboxy sa ľahko integrujú, či už odosielate súbory prostredníctvom rozhrania API alebo užívateľského rozhrania.

  6. Rovnováha medzi časom prevedenia, kvalitou výsledku a podrobnosťou správy : Dobrý sandbox dokáže prispôsobiť dobu vykonávania rôznym prípadom použitia, spustiť len toľko, koľko je potrebné pre rýchly verdikt, alebo nechať súbor bežať dlhšie pre získanie podrobnej forenznej analýzy.



Ako používať prostredie Sandboxu

Spôsob, akým budete používať prostredie sandboxu, závisí do značnej miery na poskytovateľovi, ktorého si vyberiete, na tom, či zvolíte cloud alebo on-prem, a na vašom prípade použitia.


Ak chcete automatizovať sandboxing na detekciu malwaru, najlepšou voľbou sú volania API na službu sandboxu. Pre manuálnu analýzu sú lepšie podania typu drag-and-drop v užívateľsky prívetivom rozhraní. Či tak alebo onak, odoslanie podozrivého kódu, podozrivých súborov alebo adries URL na testovanie v sandboxe, je obvykle jednoduché.


Napríklad Bitdefender umožňuje používateľom prístup k svojej službe sandboxu prostredníctvom rozhrania API alebo platformy IntelliZone. Tam môžete odoslať URL adresy a súbory na testovanie v sandboxe.




Po dokončení analýzy si môžete stiahnuť správy v ľudsky čitateľnom formáte:




IntelliZone sústreďuje všetky pokročilé informácie o hrozbách poskytované Bitdefenderom do jediného okna.


Ako môže Bitdefender pomôcť

Technológia Sandboxing od Bitdefender ponúka najlepšiu ochranu pred narušením bezpečnosti vo svojej triede, stratou dát a všetkými nákladmi spojenými s kybernetickými útokmi. Ide o vysoko škálovateľné, výkonné a izolované prostredie na vykonávanie hĺbkovej analýzy akéhokoľvek podozrivého súboru alebo URL adresy.


Náš systém na detekciu malwaru sa v nezávislých odborových testoch neustále umiestňuje na popredných priečkach. Viac ako 99,9% miera detekcie, podľa testov nezávislých organizácií, ako je AV-Test , je zachovaná naprieč operačnými systémami.


Sandbox od Bitdefenderu je tiež vybavený inovatívnym systémom predfiltrovania.



Tento cloudový predfilter je užitočný na zníženie počtu detonovaných súborov, jednoduchšie triedenie upozornení a rýchle verdikty.


Ak je súbor odoslaný do sandboxu, môžu používatelia očakávať komplexnú správu o analýze v priebehu niekoľkých minút. Skenovanie a detonácia sú úplne prenesené do cloudu, takže sa uvoľnia systémové prostriedky klienta.


Jedinečnou výhodou sandboxu Bitdefender je to, že doba spustenia je dynamická a závisí od správania súboru. To zaručuje najlepšiu rovnováhu medzi rýchlymi verdiktmi a vhodným odpálením.


Správa sandboxu Bitdefender obsahuje mnoho dát, ktoré je možné použiť, napríklad všeobecné informácie o pôvodcovi hrozby:




Podrobný popis správania súboru:




A mnoho ďalších prehľadov, ako je zoznam systémových zmien, odkazy na rámec MITRE ATT&CK a dokonca geografické rozdelenie sieťovej aktivity súboru:




Správy obsahujú aj snímky obrazovky so škodlivým súborom v akcii, podrobné kódy IoC a grafy, ktoré rozoberajú jeho správanie:




Tieto prehľady sú poskytované prostredníctvom robustnej služby s jednoduchou integráciou API, vysokou škálovateľnosťou, povolenými limitmi rýchlosti a prispôsobiteľnými možnosťami ochrany osobných údajov.


Ide o kompletný balíček, ktorý pomáha bezpečnostným tímom chrániť akýkoľvek operačný systém pred modernými hrozbami. Navyše je to mimoriadne cenný nástroj na spúšťanie nedôveryhodného kódu v izolovanom prostredí.


 

Váhate, či je pre Vašu organizáciu alebo firmu Bitdefender riešenie to pravé? Naši experti Vám radi poradia, stačí si rezervovať konzultáciu prostredníctvom nášho formulára.





 

AUTOR

 


Theodor Porutiu Theodor Porutiu je Technical Marketing Architect s talentom na písanie pútavého obsahu a oznamovanie zložitých tém jednoduchými slovami. Rovnakou mierou si užíva krátke výlety a dlhé herné seansy, a každý týždeň sa nadchne pre iný open-source projekt.










10 views0 comments

Comentários


bottom of page