Sandbox

Rozwiązania typu Sandbox służą do analizy znanego i nieznanego kodu, a w szczególności plików, linków URL i wiadomości e-mail. Są one podstawowymi rodzajami medium, przez które można rozdystrybuować wszelkie wirusy, trojany, exploity. Ich podstawowy cel to wyrządzenie określonej szkody, a coraz częściej inwigilacja użytkownika, co za tym idzie – całej infrastruktury teleinformatycznej.

Tego typu system stanowi skuteczną ochronę przed zaawansowanymi i ukierunkowanymi atakami oraz atakami typu „Zero-day”. Dedykowane i odseparowane środowisko testowe daje ogromne możliwości podczas analizy, ponieważ nie ma ono wpływu na rzeczywistą infrastrukturę oraz urządzenia w niej istniejące. Dzięki temu można dokonać dogłębnej analizy aktywności co, gdzie i w jakim czasie wydarzyło się po otworzeniu pliku, e-mail’a  lub konkretnego URL.

Sandbox bada, w jaki sposób wykonana akcja wpływa na działanie systemu i aplikacji, do jakich zasobów usiłuje uzyskać dostęp, czy niewłaściwie sięga do obszarów przestrzeni adresowej i rejestrów. Tego typu analiza zachowań daje znacznie większe możliwości niż stosowane do niedawna metody statyczne. W większości rozwiązań wyniki analizy zasilają funkcje ochronne systemów bezpieczeństwa współpracujących z systemem Sandbox.

Stosowane coraz częściej mechanizmy uczenia maszynowego zwiększają skuteczność rozpoznawania zagrożeń „Zero-day”. Jest to wynik podejmowania decyzji na podstawie danych statystycznych, pochodzących nie tylko z platformy lokalnej, ale wielu systemów współpracujących z bazami bezpieczeństwa producenta na całym świecie. Ten typ analizy dostarczany jest coraz częściej w formie usługi realizowanej w chmurze producenta rozwiązania.

Wybierając rozwiązanie, warto zwrócić uwagę na: wydajność (ilość plików/h) i czas skanowania, typy danych podlegających analizie oraz metody integracji z elementami infrastruktury – np. interface API.