Sandboxing

Sandboxing è una tecnica in cui si crea un ambiente di test isolato, una "sandbox", in cui eseguire o "detonare" un file o un URL sospetto che è allegato a un'e-mail o che altrimenti raggiunge la tua rete e poi osservare cosa accade.

Se il file o l'URL mostra un comportamento dannoso, allora hai scoperto una nuova minaccia. Il sandbox deve essere un ambiente virtuale sicuro che emula accuratamente la CPU dei tuoi server di produzione.

Il sandboxing è particolarmente efficace nella difesa contro le minacce zero-day. I tradizionali filtri e-mail in entrata scansionano le e-mail alla ricerca di mittenti, URL e tipi di file dannosi noti. Sfortunatamente, ci sono dozzine di nuove minacce (o "zero-day") che appaiono ogni singolo giorno e che non sono ancora state scoperte dai filtri e-mail. Il sandboxing, che è un componente chiave della protezione avanzata dalle minacce, fornisce un ulteriore livello di protezione in cui qualsiasi e-mail che supera il filtro e-mail e contiene ancora link URL sconosciuti, tipi di file o mittenti sospetti può essere testata prima che raggiunga la tua rete o il server di posta.

Sebbene il Sandboxing sia una tecnica di difesa efficace e importante, presenta due importanti svantaggi.

1. Il sandboxing è piuttosto dispendioso in termini di tempo e risorse. Far passare tutto il tuo traffico digitale attraverso un sistema di sandboxing è impraticabile e proibitivo in termini di costi.
2. Il sandboxing può essere eluso. Con il crescente utilizzo del sandboxing, i cybercriminali hanno iniziato a progettare minacce con caratteristiche che aiutano a eludere il rilevamento. Ad esempio, una minaccia potrebbe essere programmata per rimanere inattiva fino a una data futura, in modo che durante il sandboxing appaia innocua. Un'altra tecnica evasiva efficace è rendere il malware in grado di rilevare se si trova in un ambiente virtuale e rimanere inattivo fino a quando non si trova in un vero desktop o altro dispositivo.

La quantità e l'efficacia delle minacce zero-day è in costante crescita, quindi devi avere una strategia per proteggere i tuoi dati e programmi dalle minacce che sfuggono ai filtri tradizionali di e-mail, malware e virus. La sandboxing è tra gli strumenti più affidabili per rimanere un passo avanti rispetto agli hacker. Sono disponibili soluzioni di sandboxing basate su cloud che offrono una protezione efficace senza subire i comuni svantaggi di degradare le prestazioni della tua rete o essere facilmente eluse da hacker astuti.

Barracuda Advanced Threat Protection è un sofisticato servizio basato su cloud che offre i vantaggi del sandboxing eliminando gli svantaggi delle soluzioni di sandboxing più tradizionali e autonome. Barracuda Advanced Threat Protection applica una strategia a più livelli che utilizza il matching delle firme, l'analisi euristica e comportamentale e l'analisi del codice statico per pre-filtrare il traffico e identificare la stragrande maggioranza delle minacce. Infine, invia solo il piccolo numero di file sospetti rimanenti a un sandbox per identificare definitivamente le minacce zero-day e bloccarle in modo che non raggiungano la tua rete.

Il servizio si adatta in modo elastico in base al tuo livello di traffico e-mail e di rete per garantire che non influisca negativamente sulle prestazioni della rete o delle e-mail. Questo lo rende molto più efficiente ed economico rispetto a una soluzione di sandboxing autonoma.

Utilizza anche una varietà di tecniche per superare le strategie di evasione. Ad esempio, rileva qualsiasi tentativo da parte del file analizzato di interrogare il registro o la memoria della macchina. Sconfigge le tecniche di detonazione ritardata avanzando il proprio orologio/calendario interno. In breve, espone il malware sospetto a tutti i possibili ambienti in cui potrebbe attivare il suo comportamento dannoso — se ha un carico utile dannoso, quel carico utile verrà attivato.

E a differenza del sandboxing delle macchine virtuali più tradizionali, Barracuda Advanced Threat Protection utilizza un sandbox di emulazione CPU. Questo lo rende indistinguibile da un vero computer desktop dalla prospettiva del malware.

La Protezione Avanzata dalle Minacce è disponibile per i seguenti prodotti Barracuda:

• Barracuda CloudGen Firewall: Protegge le reti con il sandboxing automatico di tutti i file sospetti trasferiti da o verso la tua rete.
• Barracuda Web Application Firewall: Protegge il tuo sito web e le applicazioni web da upload di file dannosi.
• Protezione dell'e-mail Barracuda: Questo servizio basato su cloud protegge il tuo sistema di posta elettronica con il sandboxing di tutti i link e gli allegati sospetti all'interno di ogni email inviata e ricevuta.
• Barracuda Email Security Gateway: Fornisce una sicurezza e-mail simile utilizzando un appliance fisico o virtuale.
• Barracuda Web Security Gateway: Rende la navigazione web sicura proteggendo e sandboxando automaticamente i file scaricati dai siti web.