Por que minha sandbox não tem sido efetiva?

Diante do cenário imprevisível de ciberameaças e ataques direcionados, as empresas – de todos os tamanhos - buscam novas formas de se proteger contra vulnerabilidades zero day e brechas decorrentes da ausência de patches virtuais.

Usuários e gestores de TI muitas vezes apostam em antivírus e antispywares e se esquecem de uma ferramenta que pode ser bastante eficiente para mitigar o risco de ameaças iminentes: a tecnologia sandbox.

Geralmente desenvolvida para simular o ambiente real de uma empresa, a sandbox cria armadilhas que permitem que o malware execute as ações maliciosas em um ambiente totalmente apartado da rede da empresa e seja bloqueado antes de atingir a máquina do indivíduo.

No entanto, à medida que as configurações desta tecnologia se tornam mais modernas, os hackers também vêm inovando em ameaças cada vez mais direcionadas.

As vantagens da Sandbox customizada —A importância da customização da sandbox se mostra, então, cada vez mais necessária. A maioria das empresas não contam com ferramentas de visibilidade de rede e, por isso, não têm a percepção desde a primeira fase de um ataque. Com isso, aspectos importantes como a correlação com a movimentação lateral do atacante após execução da ameaça e comunicação com servidor de C&C (comando e controle) ficam perdidos.

Com uma sandbox genérica muitas vezes os usuários são também prejudicados pelo chamado falso negativo: um arquivo de origem maliciosa pode transpor barreiras de proteção por meio de técnicas anti-sandbox desenvolvidas pelos hackers e ser avaliado como arquivo limpo.

Aguardar por cliques aleatórios do mouse ou por um acesso a determinado banco, são algumas das artimanhas usadas pelos atacantes para enganar o sistema e implantar o malware.

As smart sandboxes – ou sandboxes totalmente customizadas – têm a capacidade de identificar rotinas e técnicas de evasão emulando a utilização mais próxima possível de um usuário em uma máquina, fazendo com que o malware seja completamente executado e mais facilmente detectado.

Em um caso recente, a Trend Micro detectou um ataque que envolvia uma instituição financeira: o malware era executado somente se o Windows fosse em português e se o domínio fosse o mesmo da empresa. Com a adoção da smart sandbox, foi possível a customização total das checagens de domínio, licença do sistema operacional, idioma, aplicativos internos instalados, arquivos e pastas para que enganassem completamente a ameaça usada no ataque. Caso a empresa estivesse usando uma sandbox genérica, a ameaça não seria detectada e bloqueada, e consequentemente, chegaria ao usuário.

A visibilidade total da ameaça colabora não só com a redução de custos operacionais, como também a eficiência geral da equipe. Empresas que se atualizam e estão à frente das ameaças têm um investimento a longo prazo. A sua empresa ainda não implementou a smart sandbox? A hora é agora.

. Por: Joelson Soares, analista de segurança e ameaças da Trend Micro.