Anche le soluzioni di sicurezza più sofisticate possono essere violate e un software sandbox non fa eccezione. I malware più recenti, infatti, hanno portato alla luce un difetto intrinseco nel concetto di sandbox. È ora di ripensare a come disinfettare i file in arrivo?
Le sandbox esistono dal secolo scorso e sono giustamente considerate un pilastro della moderna sicurezza informatica.
Fedele al suo omonimo nel mondo reale, una sandbox è un’emulazione realistica di un ambiente reale. Nella sandbox dei bambini, questi possono giocare a costruire in un ambiente controllato e sicuro. Il compito di un software sandbox è infatti mantenere separati i programmi in esecuzione, riducendo così il rischio che codice dannoso si infiltri nei sistemi reali.
Le sandbox sono state progettate per consentire agli sviluppatori o ai professionisti della sicurezza di eseguire codice non attendibile o non testato, e hanno svolto bene il loro lavoro nel corso degli anni. Ma i recenti progressi nel malware hanno messo in luce una vulnerabilità strutturale nel modello sandbox che i fornitori potrebbero avere difficoltà a risolvere.
Recentemente è stata scoperta una nuova variante del famigerato ransomware Locky (che ha devastato decine di migliaia di aziende e privati dal 2016). Questa variante mette in discussione l’efficacia delle difese basate su sandbox contro le infiltrazioni di file dannosi. Successivamente è emerso che anche una versione scoperta prima di Locky, avrebbe fatto lo stesso.
Nella variante precedente, scoperta nell’aprile 2017, Locky era subdolamente nascosto in una macro all’interno di un documento Word, che a sua volta era annidato all’interno di un file PDF. Il ransomware si attivava quando il PDF veniva scaricato e l’utente cercava di aprire il documento di Word tramite Acrobat Reader. Il documento Word conteneva ingegneria sociale che tentava di convincere l’utente ad abilitare la modifica. Una volta abilitata la modifica, veniva eseguita una macro VBA e, quindi, attivato il ransomware.
La variante attuale porta il modello appena descritto a un livello superiore. Utilizza un meccanismo di nidificazione simile, ma il malware viene attivato solo quando l’utente chiude il documento di Word, non quando abilita le macro.
Stare al passo con i malware
È chiaro che Locky, e probabilmente altri malware, rappresentano un passo avanti rispetto ai modelli legacy come il sandboxing. Le sandbox utilizzano ancora il rilevamento del malware basato sul comportamento, il che significa che un’operazione dannosa deve essere osservata durante l’analisi di un file affinché il sistema possa dichiararla una minaccia.
Il problema è che il paradigma sandbox semplicemente non è in grado di gestire il livello di sofisticazione che stiamo vedendo nei recenti attacchi di malware come Locky. Questi strumenti tradizionali basati sulla firma e sulla reputazione utilizzano tecniche progettate per combattere minacce ormai obsolete. Ora la sfida è contrastare gli attacchi di malware distribuito (DMA) in cui il codice malevolo è suddiviso in più file o gli attacchi malware vengono crittografati (EMA).
Per proteggere i file in arrivo da qualsiasi minaccia, nota o sconosciuta, è necessario un paradigma diverso. Content Disarm and Reconstruction (CDR) è il paradigma giusto per affrontare questa sfida.
Content Disarm and Reconstruction
La tecnologia Content Disarm and Reconstruction è la soluzione ideale per proteggere da tutti i tipi di attacchi di malware provenienti dai file in arrivo. Le soluzioni CDR avanzate come quelle di ODI-X eliminano il codice dannoso e restituiscono file puliti e perfettamente funzionanti.
Il CDR ricostruisce effettivamente i file che entrano nell’organizzazione per evitare infiltrazioni di codice dannoso, creando una replica nuova e pulita di qualsiasi file. Le repliche CDR contengono tutte le funzionalità del file originale, senza codici nascosti o incorporati che potrebbero mettere a rischio gli utenti. Le soluzioni CDR, invece di bloccare i file sospetti, che paralizzano sia l’esperienza dell’utente che la produttività, consentono agli utenti di continuare a lavorare in sicurezza e senza interruzioni.
Può CDR sostituire completamente le soluzioni sandbox? Per i file di contenuto, che costituiscono la stragrande maggioranza dei file condivisi all’interno e tra le organizzazioni, sì. I fornitori di CDR come ODI-X supportano l’intera gamma di documenti Office, PDF, immagini, file di archivio e file multimediali.
Detto questo, le organizzazioni che ricevono regolarmente file non di contenuto, come gli eseguibili, ad esempio, e non possono bloccare questi file come parte della tua politica di sicurezza, potrebbero comunque trovare una sandbox efficace.
La linea di fondo
La tecnologia e le soluzioni sandbox sono fortemente limitate nella loro capacità di proteggere dal malware nei file di contenuto in arrivo. Data la crescente sofisticazione di malware come Locky, è tempo di ripensare a come CDR può disinfettare meglio i file in arrivo.
Lascia un commento