Voor iedereen die niet bekend is met de term, klinkt ‘sandboxing’ wellicht als een spelletje van peuters op het speelplein, of een vechtsport op het strand. In een eerder blog sprak ik al over sandboxing. In dit blog ga ik hier graag wat verder op in.
Een sandbox is een afgeschermde ruimte waarin computerprogramma`s kunnen werken zonder andere processen te verstoren, aldus Wikipedia. De sandboxing-techniek bestaat uit het isoleren van potentieel gevaarlijke bestanden met malware, terwijl ze grondig worden gecontroleerd. Kortom, als een firewall of utm-apparaat (unified threat management) niet zeker is dat een bestand volledig in orde is, ook al bevat het geen enkele vorm van verborgen, kwaadaardige code, wordt het in de sandbox geplaatst (die zich eigenlijk in de cloud bevindt in plaats van het utm-apparaat).
Zelfs als een bestand eruitziet als legitiem en van een zogenaamd legitieme bron, wordt het geïsoleerd. Dit beschermt het systeem tegen elke mogelijke dreiging en zorgt ervoor dat er geen problemen kunnen ontstaan, of dat kwaadaardige software zich naar andere apparaten of netwerken kan verspreiden.
Sandboxing is een relatief nieuwe toevoeging aan een al veelzijdige beveiliging die nu op alle netwerken moet worden geïmplementeerd. De ontwikkeling en acceptatie is grotendeels versneld vanwege de groeiende dreiging van ransomware, die vaak wordt verspreid door het gebruik van schijnbaar onschadelijke bestanden waarin gevaarlijke, crypto-jacking-code diep is verstopt en vermomd.
Snelle reactie
Crypto-jacking-codes zijn moeilijk te detecteren met behulp van conventionele antivirus- en malwarescans, omdat die de neiging hebben alleen ‘bekende’ bedreigingen te identificeren en uit te sluiten, in plaats van degene die ‘onbekend’ zijn en die nog niet routinematig zijn uitgesloten. Dit is ook de reden waarom we de techniek voor het isoleren van dit soort bedreigingen ‘zero-day sandboxing’ noemen. De belangrijkste tijdspanne is immers in de eerste paar uur na lancering van een nieuwe bedreiging, en voor de ontmaskering ervan.
Sandboxing is een van de meest effectieve manieren om te voorkomen dat onbekende bedreigingen worden verspreid. Het identificeert alle bestanden die deze zwaar vermomde kwaadaardige programma’s kunnen bevatten en isoleert ze in de cloud – dus ze zijn zelfs niet in de buurt van de systemen. De bestanden worden vervolgens geanalyseerd en getest om te zien of ze inderdaad een bepaalde bedreiging bevatten. Die informatie wordt vervolgens toegevoegd aan een database met bedreigingen, zodat alle gebruikers hiervan profiteren en de artificiële intelligentie blijft groeien en nog betere bescherming biedt. Met machine learning en evoluerende cloudintelligentie kunnen de hoogste niveaus van bescherming bereikt worden.
Groeiende dreiging
Het aantal ‘zero-day onbekende bedreigingen’ groeit in een alarmerend tempo, dus het is belangrijk om ervoor te zorgen dat systemen sandboxing-bescherming hebben. Het is ook belangrijk om deze extra beschermlaag te bieden om ervoor te zorgen dat je organisatie voldoet aan GDPR-vereisten die sinds vorig jaar van toepassing zijn. Regelgevers zijn begonnen meer boetes op te leggen aan organisaties die nu de regels overtreden.
Als je al atp-apparaten hebt die je netwerk beschermen, raad ik je ten zeerste aan om ervoor te zorgen dat je software up-to-date is, zodat je kunt profiteren van de extra bescherming die zero-day sandboxing biedt. Het is volgens mij echt de beste manier om je netwerk te beschermen tegen onbekende bedreigingen.
