Sandboxing, utile o no?

Sul mercato oggi ci sono diversi prodotti di sicurezza che utilizzano la tecnologia delle sandbox per offrire un nuovo livello di protezione nei confronti di target attack, vulnerabilità “0”days, advanced persistent threat e via dicendo.

La domanda che dovremmo porci è se le tecnologie di sandboxing sono, in questo senso, una soluzione efficace per proteggere le strutture aziendali odierne.

Innanzi tutto capiamo cosa significa utilizzare il sandboxing. L’idea di base è quella di creare un ambiente virtuale che simuli l’ambiente standard al fine di testare il comportamento di oggetti potenzialmente dannosi.

I potenziali vettori di infezione vengono dirottati verso questa macchina “virtuale” che viene monitorata al fine di vedere se durante l’esecuzione avvengano fenomeni anomali, quali comunicazioni di rete, modifica di configurazionifiles, escalation di diritti amministrativi e via dicendo.

Il pregio maggiore di questo tipo di tecnologia consiste nella capacità di identificare problematiche “sconosciute” riproducendo l’ambiente di esecuzione e registrando i comportamenti anomali. Questa caratteristica rende le tecnologie di sandboxing estremamente interessanti per coadiuvare eventuali processi di identificazione e monitoraggio di attività malevoli nella rete.

Vi sono però da valutare delle limitazioni che affliggono l’uso delle sandbox.

la prima osservazione è che una sandbox per essere il piu efficace possibile dovrebbe replicare con la massima attenzione lo status dei sistemi che si vuole proteggere. Le caratteristiche dellae sandbox deve replicare Sistemi operativi, livello di patching, applicazioni e configurazione.

Questo implica che il lavoro di costruzione dell’ambiente che deve fungere da test può essere estremamente complesso o, quantomeno, richiedere un certo numero di macchinvirtuali. Si pensi infatti agli ambienti reali dove la “standardizzazione” è solitamente una chimera.

Ciononostante anche se gli ambienti non sono perfettamente replicati le tecnologie di sandboxing possono ancora giocare un ruolo notevole nel coadiuvare la lotta alle intrusioni.

un’altra limitazione è legata al fatto che le sandbox hanno bisogno di sistemi di monitoraggio che, nei fatti, alterano il comportamento della macchina stessa. Dover mappare l’accesso alla memoria, la modifica di registri, file ed altro rende la macchina virtuale comunque “diversa” da una reale, e su queste differenze si giocano le tecnologie stealth e anti sandbox sviluppate dagli attaccanti.

In altre parole le tecnologie di sandboxing non sono nuove a chi sviluppa sistemi di attacco, alcuni “malware” sono capaci di riconoscere se l’ospite è una sandbox e adottare tecniche di evasione opportune. In alcuni casi si usano tecnologie capaci di nascondersi ai sensori installati, altre volte semplicemente il malware diventa quiescente interrompendo qualsiasi attività al fine di non essere scoperto.

va infine considerato il fatto il fatto che le stesse sandbox possono essere oggetto di attacco eo vulnerabilità più o meno note. Questo può essere un limite soprattutto in caso di APT ed attacchi mirati.

I prodotti che si appoggiano a tali tecnologie, quindi, vanno valutati con attenzione. Le tecnologie di sandboxing, come quelle che utilizzano sistemi di reputation, sono efficaci solo se introdotte in contesti in cui esistono altri componenti che coadiuvano l’analisi, va quindi valutato con attenzione in termini di cosa sia già presente e cosa offre la soluzione proposta oltre alle tecnologie di sandboxing.