Segons Sonicwall, especialitzada en productes i solucions de seguretat cibernètica, avui dia són moltes les empreses, grans i petites, que poden ser atacades per experts cibercriminals que es dediquen a buscar constantment vulnerabilitats de programari per accedir a les xarxes, als sistemes i a les dades d’aquestes empreses. En aquest sentit, les anomenades amenaces avançades, com els exploits de dia zero o el malware, lluny de retrocedir i estar més controlats, van en augment.
Si bé és cert que els professionals experts en seguretat estan implementant noves tecnologies com el sandbox que permeten detectar les amenaces avançades, aquestes són capaces de detectar-los i evadir-los. És per això que ja fa algun temps que s’està treballant en desenvolupar una nova tecnologia capaç de lluitar contra les amenaces que el codi maliciós no sigui capaç de detectar ni evadir. Una solució contra amenaces avançades (ATP) que ha de ser capaç de:
- Afegir capes d’anàlisi de sanbox de forma dinàmica. Combinant múltiples capes de motors d’anàlisi de malware. Incloent també, a part d’entorns de sanbox virtuals, sanboxing d’emulació de maquinari i de sistema operatiu, juntament amb anàlisi de memòria. Alhora, també és important afegir capes de anàlisi d’amenaces de forma dinàmica, ja que les amenaces inventen noves formes d’ocultar-constantment, de manera que es requereix una plataforma capaç de canviar i adaptar-se als nous motors de detecció d’amenaces.
- Examinar el tràfic xifrat. És imprescindible que una solució per a la detecció d’amenaces avançada sigui capaç d’inspeccionar tot el trànsit, xifrat i no xifrat, a la recerca d’arxius sospitosos, ja que aquestes, avui en dia, recorren a tàctiques completament noves com ocultar-se en el tràfic xifrat mitjançant SSL. En aquest sentit els sandbox que treballen en combinació amb un tallafocs de pròxima generació poden utilitzar tecnologia de terminació de SSL per examinar els arxius xifrats.
- Analitzar tots els arxius. És clar que els autors de malware busquen totes les bretxes possibles per amagar el codi maliciós, i no solament ho amaguen en el tràfic xifrat, sinó que també intenten ocultar-ho en arxius, de diferent índole i mida, entorns operatius, aplicacions,….per el que els sandboxes han de ser capaços d’analitzar el malware en qualsevol tipus d’arxiu, entorn,… i fins i tot permetre una anàlisi personalitzada segons sigui necessari.
- Bloquejar els arxius fins a ser verificats. Més enllà d’inspeccionar i detectar el codi sospitós, alguns sandbox permeten bloquejar el codi sospitós per evitar que aquest accedeixi a la res fins que hagi estat analitzat.
- La resolució ràpida les amenaces identificades. Per tal de prevenir possibles atacs derivats, tan aviat com siguin descobertes les definicions de les amenaces de malware haurien generar ràpidament i distribuir-se de forma automàtica a tots els dispositius de seguretat de la xarxa, per aturar la infiltració de l’amenaça que suposa el malware.
Sembla evident que els entorns de sandbox d’avui dia han de molt dinàmics i canviants per fer front a rapidesa amb què es creen les amenaces avançades . És important per a les empreses, aplicar les millors pràctiques a l’hora de seleccionar una solució de sandbox, per tal de garantir una detecció segura i protecció eficaç, alhora que una seguretat efectiva i temps de resposta ràpids en cas d’atac de malware. Consulta’ns per més informació.
