Sandbox چیست؟ و این ابزار تحلیل پیشرفته بدافزار چگونه کار می کند
استفاده از آنتی ویروس برای محافظت در برابر تهدیدات پیشرفته امروز به تنهایی کافی نیست. برای پرکردن این خلا و کمک به تجزیه و تحلیل، شناسایی و آزمایش بدافزار، از sandboxing به طور گسترده ای استفاده می شود تا به سازمان ها ابزارهای تنظیم، ایزوله کردن و امنیت مورد نیاز برای حفظ یکپارچگی شبکه میزبان را بدهد.(معادل فارسی و معنا داری برای Sandbox پیدا نکردم پس از همین کلمه استفاده میکنیم.) در این مقاله از ساینت به این می پردازیم که Sandbox چیست؟ و چگونه کار میکند. با ما همراه باشید.
در سال ۲۰۲۱ ، sandbox اکنون بخشی اساسی از ساختار امنیت سایبری یک سازمان هستند. در این مقاله از ساینت ما بررسی می کنیم sandbox چیست، چرا sandboxing مهم است و چه مواردی را برای پیاده سازی یا خرید نرم افزار sandbox در نظر بگیرید.
Sandbox چیست؟
Sandbox یک محیط کاملا ایزوله است که در آن کاربران می توانند بدون خطر برای سایر سیستم ها یا شبکه، کدهای مشکوک را آزمایش کنند. اصطلاح دیگری که برای توصیف sandbox استفاده می شود، یک راه حل خودکار برای تجزیه و تحلیل بدافزار است و روشی است که به طور گسترده در شناسایی تهدید و نقض های امنیتی استفاده می شود.
Sandbox ها اغلب به صورت یک برنامه نرم افزاری هستند اگرچه که گزینه های سخت افزاری نیز وجود دارد. روش های پیاده سازی شامل نرم افزارهای شخص ثالث، ماشین های مجازی، نرم افزارهای جاسازی شده یا پلاگین های مرورگر است. تعدادی از تولیدکنندگان نرم افزار و ارائه دهندگان خدمات ابری سند باکسها را برای استفاده منظم توسط مشتریان ایجاد کرده اند.
از آنجا که کمپانی های امنیت سایبری ارائه دهنده ابزارها و راهکارهای امنیتی، بازار Sandbox را از دست نمی دهد. طبیعتاً برخی از معتبرترین جعبه های شنی امروزه در سیستم عامل های نقطه پایانی و پاسخ تشخیص (EDR) وجود دارند.
ویژگی های Sandbox ها
راه حل های Sandbox امروز با مجموعه ای از ویژگی های مقایسه شده برای کمک به تجزیه و تحلیل پیشرفته بدافزار تکمیل شده. اکثر آنها شامل ابزارهای امنیتی رایج مانند:
- تجزیه و تحلیل تهدید
- قبل از فیلتر کردن
- زمان کشف
- گزارش نویسی
- اتوماسیون
- نقشه راه
را درون خود دارند.
مقایسه ماشین های مجازی با Sandbox ها
ماشین های مجازی (VM) یک توسعه مهم برای محاسبات پیشرفته بوده و اغلب از آنها به عنوان محیط های مشابه برای تجزیه و تحلیل و آزمایش ضد بدافزار یاد می شود. حقیقت این است که هردو شبیه هستند اما یک تفاوت اساسی وجود دارد.
VM ها: آسیب پذیری برای میزبانی
ماشین های مجازی رایانه هایی هستند که می توانند مانند هر برنامه دیگری در سیستم رایانه میزبان نصب شوند. این تفاوت فاحش بین ماشین های مجازی و Sandbox را نشان می دهد زیرا ماشین های مجازی ذاتاً برای تجزیه و تحلیل بدافزار طراحی نشده اند. بسته به ویژگی های امنیتی VM و hypervisor ، یک برنامه مخرب اجرا شده روی یک VM می تواند در سیستم عامل VM و فراتر از آن با دیسک سخت میزبان ارتباط برقرار کند.
Sandbox: برای جدا شدن طراحی شده است
برای مقایسه Sandbox به گونه ای طراحی شده اند که کاملاً از میزبان جدا شوند. یک Sandbox باید شبیه سیستم عامل و برنامه های کاربر باشد، اما فقط برای دور زدن توانایی های بالقوه ضد تجزیه و تحلیل بدافزار.
چرا Sandbox ؟
Sandbox می تواند جدیدترین و مهمترین تهدیدها را شناسایی کند، تجزیه و تحلیل را تقویت کند، خطرات را به حداقل برساند و مدیریت امنیت IT را آسان کند.
بدافزار از بین نمی رود و حتی نرم افزارهای ضد ویروس و نظارت پیشرفته همیشه نمی توانند متوجه شوند که یک برنامه مخرب هنگام اجرا چه کاری انجام می دهد. نرم افزار آنتی ویروس به دلیل توانایی اسکن برنامه های منتقل شده ، بارگیری و ذخیره شده قابل توجه است. با این حال ، یک اسکن کلی از باینری یک برنامه فقط چیزهای زیادی را بیان می کند. با پردازش برنامه ها در یک محوطه Sandbox ، خلا امنیتی را که راه حلهای موجود از دست می دهند پر می کنیم.
فقط ضد ویروس کافی نیست
بدافزار های امروز چنان پیشرفته است که اقدامات احتیاطی امنیتی که فقط چند سال پیش انجام شده کافی نیست. یکی از دلایل اینکه sandboxing یک ابزار مورد نیاز است این است که ثابت شده است راه حل های ضد ویروس در برابر فشارهای پیشرفته بدافزار موثر نیستند.
بسته به نرم افزار آنتی ویروس و احتمال تهدید روز صفر ، بدافزار می تواند از هر اسکن عبور کرده و مانند سایر پرونده ها ظاهر شود. حتی در مواردی که بدافزار توسط کاربر اجرا نمی شود ، وجود طولانی مدت می تواند به ضرر دستگاه یا شبکه باشد.
ویژگی های ضد تحلیل رشد می کنند
بدافزار پیشرفته اکنون می تواند تشخیص دهد که آیا در یک محیط Sandbox مورد تجزیه و تحلیل قرار گرفته است. خوشبختانه ، این ویژگی ضد تجزیه و تحلیل با اطمینان از شباهت محیط sandbox به یک سیستم رایانه ای قابل حل است. این به معنای پیکربندی Sandbox برای حاوی برنامه ها و پرونده های مصنوعی است که در صورت خراب شدن در روند کار ، از دست نخواهید رفت.
موارد استفاده از Sandbox چیست
Sandbox مخصوصاً برای امنیت سایبری و توسعه نرم افزار مهم هستند. Sandbox یک روش مهم برای تجزیه و تحلیل کد مشکوک جهان است. عدم آزمایش نرم افزار قبل از بارگیری ، اجرا و استقرار ، دستورالعمل فاجعه است. به طور کلی، آزمایش گاه به گاه نرم افزار موجود برای تجزیه و تحلیل تغییرات احتمالی نیز تصمیمی محتاطانه است.
سیاست کنترلی برای sandbox
وقتی پرسنل برای امنیت، همکاری و سایر موارد به فناوری sandbox اعتماد می کنند، لازم است سیاست های مناسبی در مورد استفاده وجود داشته باشد. AWS برای محیط های sandbox مخصوص خود، سازمان ها را تشویق می کند تا پنج حوزه استفاده را پوشش دهند:
- طبقه بندی داده ها: چه طبقه بندی های داده ای در محیط sandbox مجاز است؟
- اتصال شبکه: آیا sandbox می تواند با سایر شبکه ها ارتباط برقرار کند؟
- کنترل دسترسی: چه کسی به محیط sandbox دسترسی دارد؟
- خط مشی برچسب گذاری: آیا شما منابع را برای شناسایی و تخصیص خودکار برچسب گذاری می کنید؟
- سیاست چرخه عمر منابع: یک منبع چه مدت می تواند در یک محیط sandbox باقی بماند؟
sandbox وقتی برای امنیت سایبری به کار گرفته می شود، مدیریت sandbox بخش دیگری از سازمان است که نیاز به کنترل و تعادل دارد.
سازمانهای تولید کننده فناوری sandbox
- Crowdstrike
- FireEye
- Fortinet
- McAfee
- Palo Alto Networks
- Proofpoint
- Trend Micro
- Zscaler
راه کار های رایگان sandbox چیست؟
همچنین تعدادی از راه حل های رایگان sandbox وجود دارد که ممکن است همه ویژگی ها و ادغام راه حل های سازمانی را ارائه ندهد.
- Avast Internet Security
- Cameyo
- Comodo Internet Security
- Evalaze
- Malwarebytes
- Sandboxie
- Shade Sandbox
- Time Freeze
امنیت سایبری یک بازی دائمی موش و گربه است بین عوامل تهدیدی که قصد ورود به آن را دارند و متخصصان امنیت و راه حل هایی برای اطمینان از اینکه آنها از این کار ممانعت می کنند. در طول سالها ، بدافزارهای شناسایی شده و آسیب پذیری های سیستم به امنیت سایبری صنعت اعتماد مغز را در مورد چگونگی دفاع بهتر در برابر حملات آینده اطلاع داده اند، اما چگونه از تهدیدهای پیشرفته و ناشناخته محافظت کنیم؟
هیچ راه حل ساده ای وجود ندارد و یک رویکرد جامع برای امنیت سایبری همچنان قابل اعتمادترین راه برای محافظت از آن است – از جمله استفاده از sandbox. sandbox ابزارهای لازم و ایزوله را ارائه می دهند تا قبل از استقرار در محیط اصلی، به برنامه های مشکوک و رفتار آنها توجه کنند. با آزمایش بدافزار احتمالی در یک محیط شبه سازی شده، تحلیل گران شبکه در مورد چگونگی عملکرد یک برنامه دید بیشتری می یابند و با اطمینان از تأثیر آن بر شبکه و سایر برنامه ها مطمئن باشند.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
99 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
167 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.65k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.1k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.33k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.54k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.