Questo blog post è il quinto di una serie di corsi di formazione sulla cybersecurity sponsorizzati da OPSWAT Academy, che esaminano le tecnologie e i processi necessari per progettare, implementare e gestire un programma di protezione delle infrastrutture critiche.
Il malware è pericoloso, ma non è evidente. Se il malware fosse facile da rilevare, ogni e-mail, rete o sistema di condivisione sarebbe completamente protetto. Con l'evoluzione degli strumenti di cybersecurity, dovrebbe essere altrettanto facile bloccare ogni tipo di contenuto dannoso. Eppure, nel 2020, il Center for Strategic and International Studies di McAfee ha riportato una perdita globale record di poco meno di 1.000 miliardi di dollari. Perché le minacce informatiche sono ancora così efficaci nell'era moderna della sicurezza informatica?
Progettati per assimilarsi alle nostre aspettative naturali, alcuni malware eludono abilmente i controlli e gli strumenti di analisi. Un'e-mail, un sito web o uno strumento online gratuito apparentemente normali sono tutte porte d'accesso per i malintenzionati che possono iniettare codice, programmi o processi dannosi per facilitare i loro obiettivi.
L'intento malevolo mascherato per sfruttare la natura migliore di un individuo è sempre stata una strategia efficace. Per fare un'analogia, nelle zone di conflitto armato si usano le mine antiuomo per camuffare una strada innocente in una trappola pericolosa. Possiamo pensare al malware evasivo nello stesso modo.
Se osserviamo la strada e vediamo una chiazza di terra disturbata o un metal detector che emette un segnale acustico, possiamo stabilire cosa abbiamo trovato, rendendo il sentiero sicuro per il viaggio. Ma a volte non lo sappiamo. Le mine antiuomo possono essere sepolte con cura o costituite da componenti non metallici, ostacolando di fatto i nostri tentativi di scoperta.
La via più sicura è quella di far esplodere il nostro percorso in anticipo.
Già durante la Seconda Guerra Mondiale, massicci flagelli rotanti erano attaccati a grandi veicoli schermati per colpire il terreno e far esplodere le mine per creare un percorso sicuro attraverso i campi minati. Veicoli di concezione simile sono utilizzati ancora oggi. Questo metodo è violento e costoso, ma controllato, calcolato ed estremamente efficace.
I moderni strumenti di cybersecurity, come l'analisi di Sandbox , ci permettono di far esplodere le minacce informatiche in modo analogo. I programmi e i file campione vengono caricati in ambienti virtuali isolati e protetti, dove il malware può essere eseguito, ma non danneggiare alcun sistema esterno. Il campione di malware è la nostra mina, e Sandbox il nostro flagello pesantemente corazzato.
Con la detonazione del codice, possiamo analizzare ogni aspetto del contenuto e verificarne l'intento. Il file potrebbe essere sicuro, oppure potrebbe tentare di contattare fonti esterne non verificate, modificare chiavi di registro o scansionare il file system locale. L'esecuzione di un malware in un ambiente isolato per analizzarne il comportamento è nota come Analisi dinamica.
A differenza della nostra strada, che prevede la condizione binaria di sicuro o non sicuro, dobbiamo considerare la complessità dell'intento di un file. Molti programmi legittimi eseguono azioni che rientrano in attività potenzialmente dannose. Non tutti i Sandbox sono uguali e ciò che rende un buon prodotto sono i metodi e i calcoli utilizzati per fornire la massima certezza possibile nell'analisi dell'attività di un file.
OPSWAT MetaDefender Cloud, uno strumento che chiunque può provare gratuitamente, offre una potente opzione Sandbox che può essere utilizzata per valutare i file caricati in base a un robusto sistema di ponderazione. La possibilità di far esplodere un file in modo sicuro fornisce informazioni che altrimenti potrebbero eludere le tradizionali tecniche di analisi statica. Le Sandbox offrono un'eccellente difesa contro gli attacchi zero-day, in cui le definizioni dei file non sono ancora state aggiunte ai database delle aziende AV. In effetti, molte aziende AV utilizzano le Sandbox come base per sapere quali file aggiungere alle loro firme malware.
Il sandboxing non è tuttavia una soluzione definitiva per il malware. Per non contaminare i risultati, ogni file deve essere analizzato singolarmente. L'elaborazione di un singolo file pdf, di un programma di installazione, di un eseguibile e così via richiede una notevole quantità di tempo e di risorse hardware, il che può causare il blocco dei sistemi di sicurezza quando si tratta di grandi quantità di file. Sapere quando e in quali circostanze utilizzare Sandbox è fondamentale per rendere questa tecnologia veramente efficace.
Volete saperne di più? OPSWAT L'Academy offre diversi corsi di formazione sulla cybersicurezza che approfondiscono il Sandboxing e le altre tecnologie di sicurezza offerte da OPSWAT . Visitateopswatacademy.com e iscrivetevi gratuitamente oggi stesso!
