ICSA Labs Advanced avalia o serviço de sandbox da SonicWall, o Capture Advanced Threat Protection (ATP), como perfeito no teste de defesa contra ameaças, destacando sua capacidade em identificar variações de ameaças.
O teste analisa o contexto global de malwares no primeiro trimestre de 2021. Segundo o relatório, O SonicWall Capture ATP detectou 100% das ameaças anteriormente desconhecidas, sem gerar nenhum falso positivo.
Conforme detalhado no último Relatório de Ameaças Cibernéticas da SonicWall 2021, a tecnologia RTDMI do sandbox descobriu 268.362 variantes de malware nunca vistos antes em 2020.
Confira porque o Sandbox é essencial para detectar ameaças e quais as melhores práticas para utilizá-lo:
O que é o Sandbox
Em segurança da informação, o sandbox é uma solução usada para testar, executar e bloquear códigos potencialmente maliciosos antes que afetem uma aplicação, sistema ou rede, analisando o comportamento de arquivos suspeitos e vírus ocultos.
Aplicação do Sandbox
O Sandbox funciona como um ambiente virtual independente do seu computador e da sua rede. É, basicamente, um ambiente isolado para testes.
Para quem desenvolve software, por exemplo, é usado para testar novos códigos, evitando erros de programação.
Em segurança da informação, é usado para testar programas maliciosos, prevenindo ataques de phishing, ransomware, trojan, spyware, entre outros. Ele verifica anexos, arquivos, URLs e programas antes que eles sejam entregues para o usuário final.
A principal vantagem do sandbox é que o que acontece nele fica nele.
Geralmente é usado como complemento de outras soluções de segurança, como o antivírus e o secure e-mail.
Vantagens do Sandbox
- Bloqueia links maliciosos
- Verifica anexos maliciosos
- Evita ameaças de dia zero
- Mantem informações e dados seguros
- Previne vazamentos de dados
- Examina o tráfego
- Analisa ataques de forma dinâmica
- Acelera a correção das ameaças identificadas
Melhores práticas para utilizar o Sandbox
1. Faz análises em camadas dinâmicas
Agora que você sabe o que é um sandbox, saiba que é possível utilizar um modelo multimotor, que faça a análise múltipla em várias camadas, incluindo ambientes virtuais, sistemas operacionais e memórias.
Com esse tipo de análise, uma ameaça pode ser executada de um sistema de sandbox multimotor, que inclui um sandbox virtualizado, com emulação completa de sistema e tecnologia de análise.
2. Examina o tráfego criptografado
Os ataques virtuais de hoje em dia são feitos com métodos complexos e cada vez mais sofisticados para que não sejam detectados, como a ocultação no tráfego SSL criptografado.
Para ser eficiente, uma solução avançada em detecção de ameadas em redes deve fazer a avaliação de todo o tráfego de arquivo suspeito – independentemente se for criptografado ou não.
Os sandboxes que trabalham em conjunto com um firewall de próxima geração utilizam a tecnologia de encerramento de SSL para realizar a análise de arquivos criptografados.
3. Examina todo o banco de arquivos
Já é de costume que os desenvolvedores de malware ocultem todo o tráfego criptografado e códigos mal-intencionados nos arquivos e aplicativos; por esta razão, é importante que os sandboxes analisem os malwares ocultos nos arquivos e ambientes operacionais.
A verificação para cada tipo de arquivo deve ser personalizada e levar em conta: tamanho de documento, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
4. Bloqueia documentos até que eles sejam analisados
Para ser capaz de conter ameaças zero day, o sandbox deve ser capaz de bloquear a entrada de códigos suspeitos na rede até que sejam analisados.
5. Agiliza a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações ágeis e automáticas de assinatura são imprescindíveis.
Para evitar futuras ameaças, as assinaturas para malwares recém-descobertos devem ser produzidas com agilidade e distribuídas de forma automática nos dispositivos de segurança de rede. Isso evita futuras infiltrações da ameaça de malware identificada.
Assim, quando um documento é visto como uma ameaça, uma nova assinatura deve ser implantada com urgência nos firewalls de uma empresa.
É preciso fazer a inclusão em bancos de dados de assinaturas de IPS e nos antivírus, bem como em bancos de dados de reputação de domínio e IP de URL.
O ideal é sempre que fazer essas análises ter relatórios detalhados de todo o ocorrido.
Para finalizar
Os ambientes virtuais que são protegidos por sandboxes são mais abrangentes, possibilitando a detecção de ameaças em redes com maior eficácia.
Ao seguir essas práticas, as empresas serão beneficiadas com sistemas mais seguros, proteção avançada e ter rápidas respostas quando um problema for detectado.
Soluções de próxima geração podem garantir mais segurança ao seu negócio
O Serviço de Gerenciamento de Segurança da Assisnet (SMSA) protege a rede e endpoints, realiza toda gestão de vulnerabilidades e análise de incidentes por uma equipe especializada, usando a tecnologia de ponta da SonicWall. Clique e saiba mais.
