O que é o Sandboxing?

Q: Can sandboxing replace traditional antivirus software?

O Sandboxing não é um substituto para o software antivírus tradicional. É mais eficaz quando combinado com outras ferramentas e práticas de segurança, como firewalls, sistemas de deteção de intrusão e software antivírus, para criar uma estratégia abrangente de defesa em profundidade.

Q: Can sandboxing protect against all types of malware?

Embora a caixa de areia seja uma ferramenta eficaz para detetar e isolar muitos tipos de malware, pode não apanhar todas as ameaças. Algum malware pode evitar a deteção da caixa de areia alterando o seu comportamento ou atrasando a execução. A utilização de uma abordagem de segurança a vários níveis pode ajudar a resolver estes desafios.

Q: What is the Windows sandbox environment?

Sandbox do Windows fornece um ambiente de trabalho leve para executar aplicações isoladas em segurança. Software instalado no ambiente da caixa de areia permanece "em caixa de areia" e é executado separadamente da máquina anfitriã. Uma caixa de areia é temporária. Quando é fechada, todo o software e ficheiros e o estado são eliminados.

Jun 13, 2023 por OPSWAT

Partilhar esta publicação

À medida que os computadores programáveis se tornavam populares, os programadores de software tinham um problema: "Como criar um ambiente isolado para testar o código sem o risco de danificar o sistema?". A resposta foi criar um espaço seguro chamado sandbox - um ambiente muito restrito para executar código não confiável - onde era possível detonar executáveis sem se preocupar em quebrar o ambiente de produção.

Acontece que este "recreio" virtual funcionou bem e foi alargado à investigação em segurança, onde o software potencialmente nocivo ou não fiável podia ser executado em segurança sem afetar o hardware físico da máquina anfitriã ou comprometer dados sensíveis. Ao confinar o código potencialmente não fidedigno a um ambiente virtual controlado, a área restrita permite aos investigadores efetuar análises dinâmicas e detetar padrões de comportamento de software potencialmente malicioso. No contexto da investigação em matéria de segurança, os sistemas de caixas de areia são utilizados principalmente para a "detonação automática" de malware e para detetar malware desconhecido através de uma análise completa da cadeia de ataque e da deteção de padrões de comportamento.

Iremos analisar a história dos ambientes sandbox e a forma como são utilizados pelos analistas de segurança para combater ameaças altamente evasivas e adaptáveis.

O que é o Sandboxing?
História dos ambientes de "sandboxing
Porque é que o Sandboxing existe na cibersegurança
Importância da segurança da área restrita
Tipos de técnicas de Sandboxing
Benefícios do Sandboxing
Desafios e limitações
Práticas recomendadas para um Sandboxing eficaz
Sandbox FAQs

O que é o Sandboxing?

O sandboxing é uma prática de cibersegurança que utiliza um ambiente de detonação isolado, ou uma "caixa de areia", onde as equipas de segurança detonam, observam, analisam, detectam e bloqueiam artefactos suspeitos como parte do ciclo de resposta a incidentes num centro de operações de segurança (SOC). Este método fornece uma camada adicional de defesa contra vectores de ataque desconhecidos.

diagrama do processo avançado de análise de malware em ambiente de área restrita

Ao utilizar uma caixa de areia, as equipas de segurança podem realizar análises avançadas de malware executando ficheiros suspeitos num ambiente segregado que emula o sistema operativo do utilizador final. A principal vantagem da caixa de areia é observar o comportamento de ficheiros executáveis, scripts ou documentos maliciosos e, assim, permitir a deteção de malware completamente novo e desconhecido - ou mesmo de malware criado para ser executado num ambiente específico. É o passo evolutivo seguinte à deteção baseada em assinaturas implementada pelos motores antivírus (AV).

História dos ambientes Sandbox

Sandboxing é um termo algo ambíguo em informática que se refere a uma grande variedade de técnicas. Do ponto de vista da segurança do software, foi desenvolvido como uma técnica para conseguir o isolamento de falhas em 1993. Em termos mais gerais, o conceito de experimentação num ambiente seguro tem raízes em várias disciplinas, incluindo a militar, a engenharia de software, a estatística e as ciências sociais.

Mais recentemente, o sandboxing levou ao desenvolvimento de domínios de sistema dinâmicos ou "contentores de confiança" nos sistemas operativos da Sun e "jails" nos sistemas operativos FreeBSD. Estes mecanismos de segurança permitem que os programas sejam detonados em áreas isoladas dentro de um sistema operativo sem afetar o sistema.

Atualmente, as técnicas de "sandboxing" são normalmente utilizadas para investigação de segurança por muitos programadores de software e profissionais de segurança. A virtualização também tornou as caixas de areia mais amplamente disponíveis para os utilizadores finais.

Porque é que o Sandboxing existe na cibersegurança

No domínio da cibersegurança, a colocação em areeiro ganhou popularidade devido à presença cada vez mais elevada de malware evasivo e de ameaças avançadas. A colocação em areeiro é geralmente utilizada para:

Detonar Software suspeito	Os investigadores de segurança utilizam o "sandboxing" para analisar e estudar com segurança o comportamento do malware. Ao detonar código malicioso num ambiente controlado, podem identificar potenciais ameaças e desenvolver contramedidas sem comprometer o sistema anfitrião.
Isolamento do processo	Para a atenuação da exploração de vulnerabilidades. Pense no PDF (adobe) ou no Chrome, que utilizam ambos a tecnologia de "sandboxing". Especificamente, o PDF foi - durante anos - explorado vezes sem conta, o que impulsionou a arquitetura de isolamento do processo.
Caça às ameaças	O Sandboxing permite que os caçadores de ameaças aprendam os comportamentos e as caraterísticas do malware emergente, ajudando-os a procurar ameaças semelhantes.

A importância da segurança de Sandboxing

O Sandboxing deixou uma marca substancial no sector da cibersegurança, com a dimensão do mercado a atingir uns impressionantes 8,1 mil milhões de dólares em 2022, de acordo com uma investigação da Future Market Insights.

Cenário crescente de ameaças cibernéticas

Aumento da sofisticação dos ciberataques

À medida que os cibercriminosos desenvolvem ataques mais avançados e direccionados com uma intenção maliciosa, o "sandboxing" tornou-se cada vez mais crítico na deteção e prevenção destas ameaças antes de poderem causar danos.

Aumento das explorações de dia zero

As explorações de dia zero, que tiram partido de vulnerabilidades anteriormente desconhecidas, representam um risco significativo para as organizações. O sandboxing ajuda a identificar e analisar essas ameaças, fornecendo informações valiosas para o desenvolvimento de contramedidas.

A proliferação de dispositivos da Internet das Coisas (IoT)

O rápido crescimento dos dispositivos IoT alargou a superfície de ataque dos cibercriminosos. O Sandboxing pode ajudar a proteger estes dispositivos, isolando aplicações e restringindo o acesso a dados sensíveis.

Tipos de técnicas de Sandboxing

Existem dois tipos principais de técnicas de "sandboxing": ao nível do sistema operativo e ao nível da aplicação.

Nível do sistema operativo

Máquinas virtuais
Uma máquina virtual (VM) é uma forma de sandboxing que emula hardware para executar várias instâncias de um sistema operativo. As VMs fornecem um elevado nível de isolamento entre os sistemas anfitrião e convidado, permitindo aos utilizadores executar com segurança software não fiável ou criar ambientes separados para diferentes tarefas.

Container
Os contentores são uma forma leve de virtualização que partilha o kernel do sistema operativo do anfitrião, mas também isola a aplicação e as suas dependências. Esta abordagem fornece uma utilização de recursos mais eficiente em comparação com as VMs, mantendo um elevado nível de isolamento.

Emulação
Uma caixa de areia de emulação é um ambiente virtual onde o software ou os sistemas podem ser emulados ou simulados para efeitos de teste, detonação ou análise de segurança. As caixas de areia de emulação criam um ambiente isolado para software ou sistemas, protegendo-os do sistema operativo anfitrião e de outras aplicações para minimizar o risco de danos ou interferências. Estas caixas de areia incorporam medidas de segurança para evitar que malware ou software malicioso escapem e afectem o sistema anfitrião. Têm uma aplicação extensiva na cibersegurança para detonar e analisar malware e ameaças em segurança. MetaDefender Sandbox O software de teste de segurança "emulação" é um exemplo de uma caixa de areia baseada em emulação. Além disso, revelam-se valiosas para testar a compatibilidade do software em vários sistemas operativos e configurações de hardware.

Como é que uma caixa de areia baseada em emulação se compara a um contentor ou a uma máquina virtual?

Uma sandbox baseada em emulação, como o Qiling ou o QEMU, é diferente de um contentor ou de uma máquina virtual de várias formas:

As caixas de areia baseadas em emulação emulam a arquitetura de hardware subjacente, enquanto as máquinas virtuais e os contentores partilham a arquitetura de hardware subjacente do anfitrião. Isto significa que as caixas de areia baseadas em emulação podem executar código de diferentes arquitecturas, como ARM numa máquina baseada em x86, enquanto as máquinas virtuais e os contentores não podem.
As sandboxes baseadas em emulação têm normalmente uma sobrecarga mais elevada do que as máquinas virtuais ou os contentores, uma vez que são executadas num ambiente totalmente emulado. Isso pode torná-las mais lentas e mais intensivas em recursos.
As sandboxes baseadas em emulação são geralmente mais isoladas e seguras do que as máquinas virtuais ou os contentores, uma vez que não partilham o kernel do sistema operativo anfitrião ou outros recursos. Isto torna-as uma boa escolha para analisar e testar malware ou outro código potencialmente prejudicial.
Os contentores e as máquinas virtuais são geralmente mais fáceis de configurar e utilizar do que as caixas de areia baseadas em emulação, uma vez que se baseiam em tecnologias bem estabelecidas e amplamente suportadas.

De um modo geral, as sandboxes baseadas em emulação são uma ferramenta poderosa para analisar e testar software e sistemas num ambiente controlado, mas têm custos gerais mais elevados e podem ser mais difíceis de configurar e utilizar do que as máquinas virtuais ou os contentores. A escolha da tecnologia a utilizar dependerá dos requisitos específicos do caso de utilização.

Nível de aplicação

Software Wrappers
Estes actuam como uma camada protetora em torno de uma aplicação, limitando os seus privilégios e controlando o seu acesso aos recursos do sistema. Este tipo de "sandboxing" é útil para restringir aplicações potencialmente nocivas, permitindo-lhes ainda assim funcionar.

Sandboxes do navegador Web
Os navegadores Web modernos utilizam técnicas de sandboxing para isolar o conteúdo Web do sistema do utilizador. Isto ajuda a proteger os dados do utilizador de sites ou scripts maliciosos que podem tentar explorar vulnerabilidades no navegador ou no sistema operativo.

Benefícios do Sandboxing

O Sandboxing oferece uma ampla gama de benefícios de segurança que melhoram a postura de uma organização contra riscos de segurança desconhecidos e conhecidos.

Segurança reforçada

O Sandboxing fornece uma camada adicional de segurança, detectando e isolando malware e software malicioso. Ao executar código suspeito em ambientes de teste de sandbox, os utilizadores podem minimizar o risco de violações de segurança e proteger os seus dados valiosos.

Proteção contra ameaças desconhecidas

A utilização de uma caixa de areia é um método fiável para evitar ameaças desconhecidas ou malware avançado que escapam a métodos de deteção simples. As ameaças de dia zero podem escapar aos mecanismos de deteção baseados em assinaturas, pelo que a sua ativação num ambiente seguro e isolado protege as organizações de ataques catastróficos.

Melhor inteligência acionável

Conhecimento é poder, e os testes de sandbox oferecem um tesouro de inteligência acionável que permite às organizações criar um perfil de ameaça claro, que será extremamente útil para evitar futuras ameaças semelhantes.

Limitações e desafios do Sandboxing

Sobrecarga de desempenho e escalabilidade

Uma das principais limitações do sandboxing é a sobrecarga de desempenho associada à virtualização. A execução de aplicativos em uma área restrita pode exigir recursos adicionais, resultando em tempos de execução mais lentos. Normalmente, não é prático colocar cada ficheiro numa caixa de areia num ambiente sem uma infraestrutura significativa. Por conseguinte, a colocação em sandbox é normalmente integrada como uma tecnologia adicional num funil de processamento mais amplo.

Técnicas de evasão

Os criadores de malware estão constantemente a desenvolver novas técnicas para evitar a deteção. Ao identificar que estão a ser executados num ambiente de sandbox, estes programas suspeitos podem alterar o seu comportamento ou atrasar a execução para contornar a análise e a deteção. Por este motivo, a segurança da caixa de areia é também um fator importante a ter em consideração.

Alta complexidade

A implementação e a manutenção de ambientes sandbox podem ser complexas e demoradas. As organizações precisam de garantir que têm a experiência e os recursos necessários para gerir eficazmente estes ambientes.

Práticas recomendadas para um Sandboxing eficaz

Criar um ambiente dourado

O principal desafio reside na análise de amostras em vários ambientes ou, idealmente, no ambiente alvo exato se todos os pontos finais forem padronizados. Por exemplo, considere uma exploração que só é activada no Adobe Reader v9. Sem testar amostras numa vasta gama de versões do Adobe, torna-se difícil ativar a exploração. Dadas as infinitas combinações de pilhas de aplicações e ambientes, a abordagem ideal é criar um ambiente virtual que sirva como um "ambiente dourado", imitando a configuração simplificada dos terminais. Idealmente, todos os pontos de extremidade no ambiente corporativo teriam "a mesma aparência" e utilizariam a mesma pilha e versão de aplicativos.

Empregar guardrails de segurança para uma máquina virtual

Para melhorar a segurança da caixa de areia, instale sempre protecções de segurança que detectem Informações Pessoais Identificáveis ou dados sensíveis quando utilizar uma caixa de areia. Algumas barreiras de proteção também podem impedir que o malware saia do ambiente da área restrita.

Verificar a existência de falsos positivos enviando ficheiros inofensivos

Os falsos positivos podem prejudicar o fluxo de trabalho da sua organização, uma vez que os especialistas em IT têm de efetuar análises adicionais para se certificarem de que os ficheiros são seguros. Para manter os falsos positivos a um nível mínimo, considere a possibilidade de adicionar ficheiros inofensivos à área restrita de vez em quando. Se for detectado um falso positivo, poderá haver um problema com as definições da área restrita.

Siga uma abordagem de segurança em vários níveis

O Sandboxing não deve ser considerado como a única medida de segurança. É mais eficaz quando combinado com outras ferramentas e práticas de segurança, como firewalls, sistemas de deteção de intrusão e verificação heurística. A implementação de uma estratégia de defesa em profundidade fornece várias camadas de proteção, tornando mais difícil para os atacantes comprometerem um sistema.

Monitorizar continuamente oSoftware Sandbox em busca de código malicioso

As caixas de areia que permitem a monitorização contínua são activos valiosos para os caçadores de ameaças e especialistas em segurança. Saber como o malware envia pedidos e interage com o ambiente da caixa de areia ajuda-os a obter informações accionáveis valiosas para futuras operações de segurança.

Conclusão

O Sandboxing é uma solução de segurança valiosa na cibersegurança moderna, proporcionando um meio poderoso de proteção dos espaços digitais. Permite a execução segura de código de software não fiável, a análise de malware e o teste controlado de novas aplicações, limitando simultaneamente o acesso das aplicações a dados e recursos sensíveis.

Sandbox FAQ

P: A área restrita pode substituir o software antivírus tradicional?

R: O Sandboxing não é um substituto do software antivírus tradicional. É mais eficaz quando combinado com outras ferramentas e práticas de segurança, tais como firewalls, sistemas de deteção de intrusão e software antivírus, para criar uma estratégia abrangente de defesa em profundidade.

P: A área restrita pode proteger contra todos os tipos de malware?

R: Embora a área restrita seja uma ferramenta eficaz para detetar e isolar muitos tipos de malware, pode não apanhar todas as ameaças. Algum malware pode evitar a deteção da caixa de areia alterando o seu comportamento ou atrasando a execução. A utilização de uma abordagem de segurança em várias camadas pode ajudar a resolver estes desafios.

P: O isolamento pode afetar o desempenho do meu sistema ou das minhas aplicações?

R: O isolamento pode introduzir uma sobrecarga de desempenho devido aos recursos adicionais necessários para a virtualização ou o isolamento. Este impacto pode variar consoante a técnica de colocação em sandbox e a aplicação específica que está a ser colocada em sandbox.

P: O que é o ambiente de área restrita do Windows?

R: Sandbox do Windows proporciona um ambiente de trabalho leve para executar aplicações isoladas em segurança. Software instalado no ambiente da caixa de areia permanece "em caixa de areia" e é executado separadamente da máquina anfitriã. Uma caixa de areia é temporária. Quando é fechada, todo o software e ficheiros e o estado são eliminados.

Etiquetas: