Tecnología Sandboxing - Qué es y Cómo funciona?

Tecnología Sandboxing - Qué es y Cómo funciona?

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

El cibercrimen es robusto: todos los días aparecen nuevas rutas para robar datos o instalar malware. Una de las herramientas más peligrosas, en la que todos pasamos mucho tiempo, es la red mundial.

Los ciberdelincuentes pueden tratar de obtener acceso a la red de una empresa o individuo mediante la incorporación de URL, archivos adjuntos y archivos falsos en correos electrónicos de phishing o mediante la instalación de enlaces engañosos. No faltan formas de tratar de robar datos.

La seguridad web, específicamente la puerta de enlace web segura, existe para bloquear esas solicitudes y utiliza el software sandbox en la nube para probarlas con intención maliciosa.

¿Qué es la tecnología Sandboxing?

Un sandbox es una réplica del área operativa de un ordenador, solo que sin acceso al resto de la red. Si estás utilizando un solo programa, el sandboxing establece el programa a un lado en un entorno separado. El sandbox en sí funciona de forma aislada, imitando tu sistema. Esto protege tu ordenador y red en el caso de un problema de seguridad.

Sandboxing es la imitación de todo el sistema de tu ordenador. Aceptará un programa y lo ejecutará para comprender su propósito. Si es sospechoso, aún podrá trabajar en el programa en el sandbox. Pero con la separación, no tendrá la posibilidad de dañar tu sistema o cualquier otra parte del ordenador.

Esta tecnología ahorra dinero y tiempo a las empresas y las protege del malware y las estafas. También se utilizan para corregir errores, crear directorios de trabajo y mejorar el desarrollo. Dado que son fácilmente accesibles y flexibles, son una solución de ciberseguridad popular.

¿Qué es un entorno de sandboxing?

La tecnología Sandboxing prueba el software utilizando servidores virtuales para crear un «entorno» aislado. El entorno es solo un término de seguridad para el espacio operativo que utiliza el sandbox. Es esencialmente un espacio en tu ordenador que puedes manipular. Puede parecerse a toda tu red, o puede ser muy básico.

¿Qué es el sandboxing en un firewall?

Un entorno de sandbox no es solo un área donde puedes probar programas y software sospechosos, es un sistema de detección de amenazas desconocidas.

Hay muchas aplicaciones antivirus que son excelentes para detectar amenazas bien conocidas, pero la seguridad de la red sandbox examina y analiza archivos, aplicaciones y software únicos, y luego los pasa a través de un firewall. El sandbox detecta amenazas que están específicamente diseñadas para sortear la seguridad de la red.

¿Por qué deberías usar Sandbox?

Los hackers se hacen con miles de millones cada año. No importa si eres un individuo, una pequeña empresa o una corporación, sigues siendo un objetivo. El problema es que estas amenazas están aumentando.

Las escuelas son un objetivo debido a sus grandes bases de datos de información personal y a menudo carecen de la protección que necesitan para mantener a raya estas amenazas. Para empeorar las cosas, los estudiantes pueden invitar accidentalmente estos riesgos a la red a través de su actividad en línea. Es más probable que visiten sitios sospechosos, como los sitios de juegos, y pueden intentar evitar los filtros de contenido creados para su protección.

Las corporaciones están en riesgo debido a su gran cantidad de información financiera. Muchas organizaciones tienen información sobre otras compañías y millones de consumidores. Si la seguridad no es una prioridad continua, corre un gran riesgo.

Las empresas más pequeñas pueden ser más fáciles de identificar porque no siempre tienen los recursos de seguridad que otros tienen, pero incluso las empresas con grandes presupuestos enfrentan una inmensa presión de los ciberataques.

En 2017, Yahoo anunció el compromiso de 3 mil millones de cuentas de usuario por parte de un grupo de hackers. No mucho antes de ese ataque, un «actor patrocinado por el estado» pirateó 500 millones de cuentas de usuario. En 2017, Equifax anunció que una violación de datos afectó a casi 148 consumidores. Target, JP Morgan Chase, Uber, Home Depot y Marriott International han sido pirateados, afectando a miles de millones de consumidores.

Estas amenazas solo están creciendo y cada vez son más difíciles de detener. Los hackers están trabajando continuamente para circunnavegar las protecciones de seguridad y la tecnología no puede mantenerse al día.

Considera la botnet Mirai de 2016; comenzó como una estafa de Minecraft y proporcionó una forma de obtener una ventaja en el juego al expulsar a otros jugadores de Internet. Utilizó ataques DDoS (denegación de servicio distribuida) para hacer esto. Los creadores vendían el uso de su bot por alrededor de $ 5-50, creando un negocio de ataque por alquiler. Solo que no se dieron cuenta de la bestia que habían desatado. Este malware infectó 65,000 dispositivos conectados a Internet de las cosas (IoT) en sus primeras 20 horas. El bot violó a Dyn, uno de los mayores controladores de la infraestructura de DNS de Internet. El ataque derribó Twitter, Netflix, Reddit, CNN y The Guardian. También afectó a cientos de miles de cámaras de seguridad.

Era diferente a todo lo que alguien había visto, pero es seguro que esta no es la última vez que escucharemos sobre un incidente tan masivo. Vienen más ataques. Es por eso que debe conocer y utilizar todas las protecciones disponibles.

Sandboxing en la nube

Un entorno limitado de seguridad cibernética es un entorno utilizado para abrir archivos o ejecutar programas sin interferir o afectar el dispositivo en el que se encuentran. Sandboxing se usa para probar código o aplicaciones que podrían ser maliciosas antes de servirlo en dispositivos.

En ciberseguridad, se utiliza como un recurso para probar el software que podría terminar siendo categorizado como «seguro» o «inseguro». El malware y las amenazas cibernéticas son cada vez más sofisticadas. Las aplicaciones maliciosas, los enlaces y las descargas podrían obtener un acceso sin fin a los datos de una red si no se prueban primero con el software sandbox.

En última instancia, el sandboxing en la nube proporciona una capa adicional de seguridad para analizar las amenazas y separarlas de la red. La red y la seguridad web son capas importantes en la estrategia general de ciberseguridad de una empresa para garantizar que las amenazas en línea no comprometan las operaciones.

El sandboxing también se puede usar como una herramienta para detectar ataques de malware similares y bloquearlos antes de que entren en una red. El sistema permite que TI pruebe el código y entienda exactamente cómo funciona antes de que invada un dispositivo de punto final con malware o virus. Esto proporciona a los equipos de TI información y consejos sobre qué buscar en otros escenarios.

¿Cuáles son las diferencias entre las aplicaciones basadas en la nube y las basadas en dispositivos?

Las soluciones de software de la nube en general se están convirtiendo en la nueva normalidad para las empresas. Los dispositivos físicos se utilizan cada vez menos, ya que el software basado en la nube ofrece beneficios de trabajo remoto, beneficios de copia de seguridad y recuperación, y reduce los costes del hardware interno.

El sandboxing basado en la nube es el uso del software sandbox en un entorno virtual. Esto significa que cuando las URL, las descargas o el código se prueban en el entorno limitado, se separan por completo del ordenador o de cualquiera de los dispositivos de red.

Ejecutar archivos potencialmente maliciosos en una empresa o dispositivo personal puede ser peligroso, ya que el dispositivo está físicamente presente y conectado al dispositivo. El uso de sandboxing en la nube elimina la necesidad de un dispositivo costoso que necesitará mantenimiento, actualizaciones y, en última instancia, se depreciará y costará dinero extra.

Sandboxing en dispositivos o hardware de la empresa investiga esas aplicaciones, archivos o descargas sin que ningún dato salga de su red. Los usuarios fuera de la red, como los trabajadores remotos, quedan expuestos y la caja de arena del dispositivo queda ciega cuando viajan o simplemente están fuera de la oficina.

La investigación es limitada en el sandboxing basado en dispositivos, ya que se sabe que el malware se esconde en el tráfico SSL. Si tu software no tiene la capacidad de inspeccionar todo el tráfico SSL , las amenazas podrían pasar y quedar expuestas a la red a través del hardware.

Tanto el software de sandboxing basado en la nube como en el dispositivo puede mejorar la protección contra las amenazas de día cero, aunque la seguridad en la nube es una mejor opción para redes grandes o empresas con trabajadores remotos y redes de invitados.

Containerización vs. Sandboxing

La contenedorización es un desarrollo bastante nuevo, mientras que el sandboxing es un estándar de la industria.

Sandboxing es un método de detección creado para proteger contra ataques de punto final. La contenedorización, o contenedores virtuales, son necesarios debido al avance del malware peligroso. En otras palabras, los sandboxes pueden no ser tan efectivos como solían ser porque se crea nuevo malware todo el tiempo y sus diseñadores intentan evitar protecciones como sandboxes.

Los contenedores virtuales se ubican en los puntos finales de las transacciones. Allí, aíslan aplicaciones como aplicaciones, navegadores web, correo electrónico y almacenamiento extraíble. Los contenedores permanecen allí, proporcionando protección continua. Son, esencialmente, un amortiguador entre lo inseguro y lo seguro.

Dado que el malware continúa mejorando, solo es beneficioso si la seguridad también lo hace. Sin embargo, los sandboxes siguen siendo una forma eficiente de protección contra amenazas. También siguen siendo una de las formas más rentables de proteger su red. Usa ambas medidas si puedes.

¿Cómo funciona un sandbox?

La seguridad informática de Sandbox funciona ejecutando código en un espacio aislado. Allí, puedes observar el comportamiento del código. Si bien la mayoría de las medidas de seguridad son reactivas, el sandbox es proactivo.

En lugar de buscar patrones de malware tradicionales, el sandbox prueba el código. Luego analiza cómo responde la red imitada y decide si es maligno. Si se aprueba, pasa el código a través de un firewall antes de permitirlo en la red, pero puede continuar trabajando en el programa en el entorno de espacio aislado. Si es sospechoso, puedes usar el programa sin que haga contacto con tu red.

¿Cómo configurarlo?

Configurar un sandbox es increíblemente fácil. De hecho, tus dispositivos conectados a Internet ejecutan sandboxes automáticamente.

La seguridad del entorno limitado del navegador ya está implementada para la mayoría de las plataformas. Cada página web que carga ejecuta código JavaScript para proteger las páginas. Cualquier contenido cargado en Adobe Flash Player también se ejecuta a través de un sandbox.

Las aplicaciones deben solicitar nuestro permiso para acceder a la información porque se ejecutan en un entorno limitado. Sin embargo, la seguridad del entorno limitado de Java es muy limitada. También es un objetivo frecuente debido a su amplio uso y vulnerabilidades abiertas.

Java puede ser fácil de manejar para algunos hackers, pero no todos los sandboxes lo son. Los programas de escritorio no necesariamente vienen con medidas de seguridad cibernética sandbox establecidas y el sandboxing predeterminado generalmente es mínimo.

Puedes configurar tu propio entorno limitado para proteger toda tu red con seguridad adicional. Haz esto con máquinas virtuales, que son programas como VirtualBox o VMware. Estos crean un dispositivo de hardware virtual para ejecutar programas en otra ventana, evitando que accedan al resto de tu sistema.

Otra forma de hacer sandboxing de punto final es con Sandboxie, que ejecuta programas de Windows en entornos virtuales. La mayoría de las plataformas de Windows vienen con medidas de seguridad de sandboxing, pero son muy limitadas. Sandboxie complementa estas medidas de seguridad y evita que el malware realice cambios en tu ordenador.

También puedes contar con la ayuda de empresas tecnológicas como GoGuardian. El software de filtrado y monitorización web de GoGuardian es una solución web integral. Analiza el correo electrónico, los enlaces y los sitios en busca de amenazas y los bloquea de los usuarios. Los hackers a menudo usan certificados de cifrado falsos para engañar a los usuarios y los ordenadores, pero los filtros web de GoGuardian analizan y verifican estos certificados. Si fallan la autenticación, se mantienen fuera de la red.

¿Dónde se utiliza?

El Sandboxing es utilizado en:

  • Páginas web: tu navegador esencialmente protege las páginas web que carga. Las páginas web pueden ejecutar código JavaScript, pero este código no puede hacer lo que quiera: si el código JavaScript intenta acceder a un archivo local en tu ordenador, la solicitud fallará.
  • Navegador plug-in de contenido: El contenido cargado por los complementos del navegador – tales como Adobe Flash o Microsoft Silverlight – se ejecuta en un entorno limitado, también. Jugar un juego flash en una página web es más seguro que descargar un juego y ejecutarlo como un programa estándar porque Flash aísla el juego del resto de su sistema y restringe lo que puede hacer. Los complementos del navegador, particularmente Java, son un blanco frecuente de ataques que utilizan vulnerabilidades de seguridad para escapar de este entorno limitado y causar daños.
    PDF y otros documentos: Adobe Reader ahora ejecuta archivos PDF en un sandbox, evitando que escapen del visor de PDF y alteren el resto de tu ordenador. Microsoft Office también tiene un modo sandbox para evitar que macros inseguras dañen el sistema.
  • Navegadores y otras aplicaciones potencialmente vulnerables: los navegadores web se ejecutan en modo sandbox de bajo permiso para garantizar que no puedan hacer mucho daño si se ven comprometidos.
  • Aplicaciones móviles: las plataformas móviles ejecutan sus aplicaciones en un entorno limitado. Las aplicaciones para iOS, Android y Windows 8 no pueden hacer muchas de las cosas que pueden hacer las aplicaciones de escritorio estándar. Tienen que declarar permisos si quieren hacer algo como acceder a tu ubicación. A cambio, obtenemos algo de seguridad: el sandbox también aísla las aplicaciones entre sí, por lo que no pueden manipularse entre sí.
  • Programas de Windows: el Control de cuentas de usuario funciona como una especie de sandbox, esencialmente restringiendo que las aplicaciones de escritorio de Windows modifiquen los archivos del sistema sin primero pedirte permiso. Ten en cuenta que esta es una protección muy mínima: cualquier programa de escritorio de Windows podría elegir instalarse en segundo plano y registrar todas tus pulsaciones de teclas, por ejemplo. El Control de cuentas de usuario solo restringe el acceso a los archivos del sistema y la configuración de todo el sistema.

Debilidades de Sandboxing

Los sandboxes, especialmente los sandboxes tradicionales o heredados, pueden no tener la capacidad de eliminar realmente una amenaza de la red. Los más avanzados a menudo lo harán, pero esto es algo que debe examinarse al seleccionar una solución de seguridad de punto final. También es necesario emparejar el sandboxing con otras herramientas, especialmente aquellas que se especializan en la eliminación de amenazas.

Finalmente, algunas amenazas están diseñadas para evadir el sandboxing y su detección. Algunas amenazas se desarrollan lentamente, a lo largo de los días, sin indicar sus verdaderas intenciones hasta mucho más tarde. Esto puede engañar tanto a los sandboxes como a los expertos, que pueden permitir la entrada de un código malicioso sin darse cuenta.

Otras amenazas utilizan el cifrado para enmascarar sus códigos maliciosos; las herramientas de sandboxing heredadas generalmente no pueden leer códigos cifrados. Los expertos también pueden ser engañados. Después de todo, el cifrado puede ocultar códigos legítimos, especialmente aquellos relacionados con la privacidad.

Fuente: https://ciberseguridad.com/guias/tecnologia-sandboxing/

Tags:

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Search