Każdemu, kto w jakiś sposób interesuje się bezpieczeństwem IT, z pewnością słyszał słowo „sandbox”. Pojawia się ono najczęściej w kontekście antywirusów, systemów EDR, systemów XDR oraz wszelkiej maści technologii służących do budowy środowisk analizy zagrożeń.
Ale czym tak właściwie jest sandbox oraz co dokładnie robi?
Sandbox, czyli co dokładnie?
W największym skrócie, sandbox (czyli tzw. „piaskownica”) to całkowicie odizolowane środowisko służące do uruchamiania, w którym można bezpiecznie uruchomić podejrzany plik, aplikację, skrypt itd., a następnie zobaczyć, co dokładnie zrobi, bez ryzyka, że cokolwiek zainfekowanego dostanie się do systemów produkcyjnych.
Po co w ogóle używać sandboxa?
Klasyczne rozwiązania antywirusowe opierają się głównie na sygnaturach. W praktyce oznacza to, że plik porównywany jest po prostu z bazą już znanych zagrożeń. Jaki w tym jest problem? Jeśli coś jest nowe albo dobrze zamaskowane, poszczególny antywirus może to przegapić.
Dzięki środowisku typu sandbox możemy po prostu sprawdzić, jak konkretny plik się zachowuje w kontrolowanym środowisku.
Przykład: Administrator nie jest pewny pliku, który pobrał jako załącznik, mimo że antywirus nie zgłasza żadnego zagrożenia. Otwiera więc plik w sandboxie, a tam pokazuje on już prawdziwe oblicze, czyli próbuje pobrać kolejne malware i grzebie w rejestrze systemowym.
Gdzie najczęściej stosuje się sandboxy?
W kontekście dzisiejszych systemów cyberbezpieczeństwa, sanbox najczęściej ukazuje się w postaci:
Sandbox może być wbudowany lokalnie lub działać w chmurze. Gdy AV nie jest pewny pliku, odsyła go do sandboxa na serwerze dostawcy, gdzie plik jest analizowany.
Tu sandboxy grają jeszcze większą rolę, potrafią korzystać z tzw. analizy dynamicznej, co samo w sobie może być częścią polityki zarządzania incydentami.
Jeśli plik trafił na stację roboczą, to zanim cokolwiek się stanie, sandbox go rozpracuje. Systemy te są doposażone często w mechanizmy automatyzacji, jeśli coś znajdzie, to odpowiednia reakcja może nastąpić automatycznie (np. całkowite odcięcie endpointa, powiadomienie zespołu SOC).
System XDR rozszerza funkcjonalność EDR o źródła trzecie. W jego kontekście sandbox to jeden z wielu elementów wspólnej całości. Nie ograniczy się tylko do zagrożeń na poziomie endpointu, ale również np. może integrować się z ruchem sieciowym, logami z chmury, systemem SIEM itp…
W takim środowisku sandbox zasila systemy korelacji zagrożeń parą dodatkowych oczu.
Jak funkcjonuje sandbox?
Jest to maszyna wirtualna, która imituje rzeczywiste środowisko użytkownika. Uruchamia podejrzane pliki, zapisuje działania i generuje raport.
Najczęściej monitorowane są:
Na co głównie zwracać uwagę wybierając rozwiązanie z sandboxem?
Dziękujemy, że dotarli Państwo do końca naszej lektury.
Polecamy usługi Grupy E, polegające na wdrażaniu systemów cyberbezpieczeństwa, a także zapraszamy do bezpłatnej konsultacji dotyczącej poprawy poziomu cyberodporności.
Wróć
