Cos’è una sandbox? Perché ne abbiamo bisogno per proteggerci dalle minacce più avanzate?

I responsabili dei sistemi informatici delle aziende, di qualsiasi dimensione esse siano, sanno che gli attacchi informatici più sofisticati possono usare malware sconosciuto per eludere sia i gateway tradizionali, sia la protezione degli endpoint.

Queste Advanced Persistent Threats, o APT, utilizzano attacchi personalizzati e mirati, sviluppati appositamente per accedere a una rete, e non vengono individuati per grandi periodi di tempo. Il successo delle APT dipende dal fatto che esse rimangono fuori dai radar il più a lungo possibile, utilizzando tecniche di codifica evasive al fine di sfuggire alle barriere di sicurezza tradizionali e rubare dati sensibili.

Questo è il motivo per cui molte aziende stanno prendendo in considerazione ulteriori soluzioni “di nuova generazione” per affrontare queste minacce sconosciute. Una tecnologia che ha avuto un notevole successo è la sandbox. Si tratta di un ambiente isolato e sicuro, che imita un intero sistema di computer. Nella sandbox, i programmi sospetti possono essere eseguiti per monitorare il loro comportamento e capire il loro scopo, senza mettere in pericolo la rete di un’organizzazione.

Forse vi state chiedendo cos’è una sandbox e come può fermare le APT. Cerchiamo di rispondere a queste domande per capire il motivo per cui le aziende, piccole e grandi, dovrebbero prendere in considerazione una soluzione sandbox.

1. Ho davvero bisogno di una sandbox?

Le aziende hanno bisogno di una serie di tecnologie di sicurezza per proteggersi dalle minacce, siano esse note o sconosciute. Ciò che una sandbox fornisce è il proprio ambiente dedicato per analizzare, comprendere e agire sulle minacce che non sono state rilevate attraverso misure di sicurezza convenzionali. Un malware sofisticato, mirato e studiato appositamente per eludere il rilevamento, verrà rilevato e bloccato nella vostra sandbox.

2. Perché le mie difese convenzionali non mi proteggono da queste APT?

Un antivirus signature-based risulta sempre più facile da superare per i moderni aggressori. La maggior parte dei principali fornitori di sicurezza utilizzano una serie di approcci, come la funzionalità di rilevamento di traffico sospetto e di emulazione per completare il rilevamento signature-based. Tuttavia se i dati o le credenziali sono abbastanza preziosi per l’attaccante, egli avrà speso tempo alla scoperta del tipo di sicurezza che si sta utilizzando e testato il suo unico malware per assicurarsi di poter eludere il rilevamento da parte delle difese aziendali.

3. Questo tipo di tecnologia è davvero solo per le grandi aziende?

L’attacco a Target Stores ha provocato il furto di 40 milioni di numeri di carte di credito. L’obiettivo era certamente la grande organizzazione, ma non bisogna ignorare che gli aggressori hanno rubato le credenziali attraverso il fornitore di aria condizionata di Target. Questa piccola azienda è stata vista come un bersaglio semplice e come il percorso più facile per raggiungere un’organizzazione molto più grande. Ecco perché le imprese di tutte le dimensioni devono prendere in considerazione la tecnologia sandbox; un attacco mirato potrebbe far perdere i clienti chiave. Inoltre, secondo le statistiche, il 60% delle piccole imprese escono dal mercato entro sei mesi dopo una violazione dei dati.

4. Un’altra soluzione? Altri costi?

In precedenza, una soluzione sandbox doveva girare su hardware dedicato e avere un team di analisti, di fatto limitando tale scelta alle grandi imprese e ai laboratori di ricerca di malware. Spostando il sandboxing nel cloud, la riduzione dei costi comporta per i fornitori di sicurezza la possibilità di applicare più potenza di elaborazione e condividere le risorse con più clienti. Significa anche che non è più necessario fare affidamento su competenze interne, visto che fornitori o partner sono in grado di fornire gli analisti da una sede centrale. Questo riduce i costi ad un livello tale che tutte le organizzazioni possono permettersi il sandboxing.

5. Sembra complicato – Avrò le risorse per implementarlo?

Quando si inizia la valutazione di soluzioni è necessario prendere in considerazione quelle che sono facili da testare e implementare. Le soluzioni basate su cloud possono essere rapidamente applicate dando risultati immediati, senza la necessità di implementare hardware o aggiornare dispositivi.

Tutte queste domande vengono affrontate nella nostra nuova guida “Defeating the Targeted Threat: Bolstering Defenses With a Sandbox Solution”. Il documento spiega il motivo per cui si dovrebbe prendere in considerazione una sandbox e che cosa cercare in questo genere di soluzione.

Per scoprire se Sophos Sandstorm è la soluzione sandbox giusta per la vostra azienda, visitate sophos.com/sandstorm.