Această postare pe blog este a cincea dintr-o serie de cursuri de formare în domeniul securității cibernetice sponsorizată de OPSWAT Academy, care analizează tehnologiile și procesele necesare pentru a proiecta, implementa și gestiona un program de protecție a infrastructurilor critice.
Programele malware sunt periculoase, dar nu în mod evident. Dacă programele malware ar fi ușor de detectat, atunci fiecare e-mail, rețea sau sistem de partajare ar fi complet protejat. Pe măsură ce instrumentele de securitate cibernetică evoluează, la fel ar trebui să se întâmple și cu ușurința cu care sunt oprite toate tipurile de conținut malițios. Cu toate acestea, în 2020, Centrul pentru Studii Strategice și Internaționale al McAfee a raportat o pierdere globală record de puțin sub 1.000 de miliarde de dolari. Așadar, de ce este malware-ul încă atât de eficient în era modernă a securității cibernetice?
Concepute pentru a se asimila cu așteptările noastre naturale, unele programe malware evită cu abilitate auditurile și instrumentele de analiză. Un e-mail aparent normal, un site web sau instrumente online gratuite, toate acestea oferă actorilor rău intenționați posibilitatea de a injecta coduri, programe sau procese malițioase pentru a-și facilita obiectivele.
Intenția rău intenționată, deghizată pentru a profita de natura bună a unui individ, a fost întotdeauna o strategie eficientă. Ca o analogie, zonele cu conflicte armate vor folosi minele de teren pentru a deghiza un drum nevinovat într-o capcană periculoasă. Ne putem gândi la Malware evaziv cam în același mod.
Dacă privim drumul și vedem o bucată de pământ deranjată sau un detector de metale care bipăie, putem determina ce am găsit, făcând drumul sigur pentru călătorie. Dar, uneori, nu știm. Minele terestre pot fi îngropate cu grijă sau realizate din componente nemetalice, împiedicând efectiv încercările noastre de descoperire.
Cea mai sigură cale de trecere este să ne detonăm calea în avans.
Încă din Al Doilea Război Mondial, fulgii rotativi masivi au fost atașați la vehicule mari și blindate pentru a lovi solul și a detona minele și pentru a deschide o cale sigură prin câmpurile de mine. Vehicule de concepție similară sunt folosite și astăzi. Această metodă este violentă și costisitoare, dar controlată, calculată și extrem de eficientă.
Instrumentele moderne de securitate cibernetică, cum ar fi analiza Sandbox , ne permit să detonăm Malware în același mod. Programele și fișierele de probă sunt încărcate în medii virtuale izolate și securizate în care Malware poate rula, dar nu poate afecta niciun sistem exterior. Exemplarul de malware este mina noastră de teren, iar Sandbox , racheta noastră puternic blindată.
Odată cu detonarea codului, putem analiza fiecare aspect al conținutului și îi putem verifica intenția. Fișierul poate fi sigur sau poate încerca să contacteze surse externe neverificate, să modifice chei de registru sau să scaneze sistemul de fișiere local. Rularea malware-ului într-un mediu izolat pentru a-i analiza comportamentul este cunoscută sub numele de analiză dinamică.
Spre deosebire de drumul nostru, care are o condiție binară de siguranță sau de nesiguranță, trebuie să luăm în considerare complexitatea intenției unui fișier. Multe programe legitime vor efectua acțiuni care se încadrează în activități potențial malițioase. Nu orice Sandbox este creat în mod egal, iar ceea ce face un produs bun sunt metodele și calculele folosite pentru a oferi cea mai mare certitudine posibilă atunci când se analizează activitatea unui fișier.
OPSWAT MetaDefender Cloud, un instrument pe care oricine îl poate încerca gratuit, oferă o opțiune puternică Sandbox care poate fi utilizată pentru a evalua fișierele încărcate în funcție de un sistem robust de ponderare. Capacitatea de a detona un fișier în siguranță oferă informații care altfel ar putea ocoli tehnicile tradiționale de analiză statică. Sandbox-urile oferă o apărare excelentă împotriva atacurilor de tip zero-day, în care definițiile fișierelor nu au fost încă adăugate la bazele de date ale companiilor AV. De fapt, multe companii AV folosesc Sandbox-urile ca bază pentru a ști ce fișiere să adauge la semnăturile lor malware.
Cu toate acestea, sandboxing-ul nu este o soluție definitivă pentru Malware. Pentru a nu contamina rezultatele, fiecare fișier trebuie să fie scanat în mod individual. Este nevoie de o cantitate semnificativă de timp și de resurse hardware pentru a procesa chiar și un singur pdf, program de instalare, executabil etc., ceea ce poate bloca sistemele de securitate atunci când se confruntă cu cantități mari de fișiere. A ști când și în ce circumstanțe să folosești un Sandbox, este esențial pentru a face din această tehnologie o tehnologie cu adevărat eficientă.
Doriți să aflați mai multe? OPSWAT Academy oferă mai multe cursuri de formare în domeniul securității cibernetice care vor aprofunda Sandboxing și alte tehnologii de securitate pe care le oferă OPSWAT . Mergeți laopswatacademy.com și înscrieți-vă gratuit astăzi!
