Sandboxing mangrupikeun salah sahiji alat anu paling efektif pikeun nganalisa objék anu curiga sareng ngadeteksi paripolah anu jahat. Palaksanaan anu béda tina téknologi ieu dianggo dina sababaraha solusi kaamanan. Tapi katepatan deteksi anceman langsung gumantung kana kumaha sandbox emulates lingkungan dimana objék curiga ngajalankeun.
Naon sandbox sareng kumaha jalanna
Sandbox mangrupikeun alat anu nyiptakeun lingkungan terasing dimana paripolah prosés anu curiga tiasa dianalisis. Ieu biasana lumangsung dina mesin virtual atawa wadahna, anu ngamungkinkeun analis pikeun nalungtik objék berpotensi jahat tanpa résiko infecting atawa ngancurkeun lingkungan gawé nyata atawa bocor data perusahaan-kritis.
Contona, sandbox dina Kaspersky Anti Targeted Attack (KATA) Platform jalanna kieu: lamun sababaraha komponén dina solusi kaamanan ngadeteksi objék jahat atawa curiga (contona, file atawa URL), eta dikirim ka sandbox pikeun scanning. , sareng detil lingkungan kerja (versi OS, daptar program anu dipasang, setélan sistem, jsb.). Sandbox ngajalankeun objék atawa napigasi ka URL, ngarékam sakabéh artefak:
- Log palaksanaan, kalebet telepon sistem API, operasi file, kagiatan jaringan, URL, sareng prosés anu diaksés ku objék
- Sistem sareng mémori snapshot (dumps)
- Dijieun (unloaded atawa diundeur) objék.
- Lalu lintas jaringan
Saatos skénario tés réngsé, artefak anu dikumpulkeun dianalisis sareng diseken pikeun ngalacak kagiatan jahat. Upami kapendak, obyék ditandaan bahaya, sareng téknik, taktik, sareng prosedur anu diidentifikasi dipetakeun kana matriks MITRE ATT&CK. Sadaya data anu dicandak disimpen pikeun dianalisis salajengna.
Sandbox tantangan
Masalah utama sareng kotak pasir nyaéta yén cybercriminals terang ngeunaan aranjeunna sareng terus-terusan nyampurnakeun metode ngajauhanna. Pikeun ngahindarkeun panyalindungan kotak pasir, panyerang museurkeun kana ngembangkeun téknologi pikeun ngadeteksi fitur khusus lingkungan virtual. Aranjeunna ngalakukeun ieu ku milarian artefak karakteristik atanapi kaayaan kotak pasir, atanapi kabiasaan anu teu biasa ti pangguna virtual. Saatos ngadeteksi (atanapi curiga) tanda-tanda ieu, program jahat ngarobih paripolahna atanapi ngancurkeun diri.
Dina kasus malware anu dianggo pikeun serangan anu dituju, penjahat cyber sacara saksama nganalisis konfigurasi sistem operasi sareng set program anu dianggo dina mesin target. Aktivitas jahat ngan dipicu nalika parangkat lunak sareng sistem sapinuhna nyumponan ekspektasi panyerang. Malware tiasa dianggo dina interval waktos anu didefinisikeun sacara ketat atanapi diaktipkeun saatos sababaraha lampah pangguna.
Kumaha carana sangkan lingkungan diwangun leuwih nyata
Pikeun nipu ancaman poténsial pikeun ngajalankeun dina lingkungan anu aman, kombinasi pendekatan anu béda dianggo:
- Lingkungan virtual anu variabel sareng acak: nyiptakeun sababaraha kotak pasir kalayan kombinasi anu béda tina setélan sareng parangkat lunak anu dipasang
- Simulasi realistis tina paripolah pangguna, kalebet kacepetan ngetik sandi, ningali téks, gerak kursor, ngaklik beurit
- Pamakéan mesin fisik (non-virtual) anu misah diisolasi tina lingkungan kerja pikeun nganalisis objék anu curiga anu aya hubunganana sareng serangan hardware sareng supir alat.
- Kombinasi analisis statik jeung dinamis; ngawaskeun kabiasaan sistem dina interval waktu nu tangtu; pamakéan téhnologi akselerasi waktos dina mesin virtual
- Pamakéan gambar workstation nyata lingkungan target, kaasup sistem operasi sarta konfigurasi program, plug-in, sarta setélan kaamanan
Sandbox kami nganggo sadaya téknik ieu: éta tiasa niru kabiasaan pangguna anu nyata, ngalaksanakeun lingkungan acak, sareng beroperasi dina modeu manual atanapi otomatis. Sareng kami nembe ngapdet solusi deteksi sareng réspon anu diperpanjang – Kaspersky Anti Targeted Attack Platform. Kotak pasir terpadu ayeuna ngamungkinkeun anjeun ngagunakeun gambar sistem khusus sareng pilihan OS (tina daptar anu cocog) sareng masang program pihak katilu. Inpormasi langkung seueur ngeunaan platformna sayogi dina halaman KAT khusus.
#Kumaha #ningkatkeun #efektivitas #sandbox