¿Qué es un Sandbox y por qué es tan importante para la ciberseguridad?
Introducción
Hace mucho tiempo, cuando aparecían los primeros virus en nuestros equipos se trataba de sencillos malware que tenían dificultad para propagarse y que el daño que hacían era muy concreto y limitado.
Era tan difícil de distribuir que en la mayoría de los casos el beneficio difícilmente justificaba el esfuerzo, aunque claro, siempre ha habido excepciones. Es por ello por lo que se vivía una relativa tranquilidad hasta que el Internet que conocemos hoy día empezó a crecer de forma descontrolada y la ciberseguridad se convirtió en un elemento vital.
Con ese crecimiento, pasamos de las páginas web estáticas a las dinámicas, a compartir información (y lo que no es información como películas, música, etc.), a utilizar mensajería instantánea, correo electrónico y un tan largo etcétera que probablemente nos quedaríamos sin espacio para escribirlo. Y como era de esperar, todo esto no eran solo noticias buenas.
En apenas unos años, el mundo se encontraba hiperconectado, lo que suponía que cualquier software se podía transmitir de una punta a otra del mundo en cuestión de segundos. Algo totalmente imprescindible pero ¿qué pasó con el malware y los ciberdelincuentes?
La respuesta a la pregunta anterior la conoce prácticamente cualquier persona, crecieron como la espuma llegando a suponer un grave riesgo para organizaciones, empresas y también para las personas. No en vano, diariamente se descubren mas de 500.000 muestras nuevas de malware, lo que complica enormemente enfrentarnos a ello y hacen que la ciberseguridad sea clave para hacerles frente.
Malware desconocido
Este articulo habla de otras cosas (Sandbox), pero todas esas cosas dependen directamente de este malware de origen desconocido y que tiene pocos días de validez.
¿Qué supone esto? Que somos víctimas de un ataque totalmente aleatorio o completamente dirigido. Esto es, que un ataque dirigido ha sido diseñado especialmente para nosotros y, por lo tanto, supone una gran amenaza.
En el polo opuesto, tenemos el ataque aleatorio. Normalmente son ataques muy sencillos que se envían a un gran número de destinatarios, buscando obtener beneficio por estadística: si los usuarios que pican son uno de cada 10.000, si se envía un millón de emails puedo obtener un rédito muy elevado.
Estas muestras suelen ser fáciles de evitar por su sencillez, y la mayoría de los motores antivirus lo detienen de forma directa por su comportamiento o a los pocos días por su firma. Pero ¿qué pasa en el caso en el que no se pueda evitar de una de estas maneras? Lo que ocurre es que entra en juego nuestro Sandbox, un elemento cada vez más importante en el mundo de la ciberseguridad.
Protegerse con un Sandbox
Si traducimos literalmente este término, nos encontramos con una “Caja de Arena”, y la verdad es que se trata de algo muy acertado. Un Sandbox es, normalmente, una máquina virtual con una configuración tipo (sistema operativo, aplicaciones, drivers, etc) que se utiliza en los departamentos de ciberseguridad para realizar pruebas.
Algunos fabricantes, como Trend Micro o Fortinet, además ofrecen un Sandbox personalizado, en el cual se puede adaptar la versión del sistema operativo, la revisión de las aplicaciones instaladas o incluso las actualizaciones de Microsoft instaladas. De esta forma, tenemos una caja que es exactamente igual que nuestro entorno.
Estas máquinas por lo general son ofrecidas por los proveedores de EDR o Firewall, aunque también pueden ser propios.
¿Y para qué vamos a utilizar algo así? Muy sencillo, cuando nos encontremos una muestra desconocida la enviaremos a este entorno, se ejecutará de forma automática y veremos el resultado obtenido. Se ofrece un veredicto y el motor antivirus decide en consecuencia.
Estos Sandbox suelen ofrecer diferente información:
- Resultados de análisis de inteligencia artificial.
- Reputación de los ejecutables o las conexiones realizadas.
- Análisis de malware.
- Análisis de virusTotal.
- Otros.
Según el resultado obtenido es difícil que se ofrezca un resultado 100% seguro, sino más bien de una aproximación entre 0 y 100.
El Sandbox es, por lo tanto, una capa más de protección que nos permite hacer frente a muestras de malware desconocidas, ejecutándolas en un entorno seguro y observando su comportamiento y resultado desde el departamento de ciberseguridad.
Marcos Pilar
Cybersecurity Operations Manager
Asseco Spain Group.