Bài đăng trên blog này là bài đăng thứ năm trong chuỗi đào tạo an ninh mạng đang diễn ra được tài trợ bởi OPSWAT Academy trong đó xem xét các công nghệ và quy trình cần thiết để thiết kế, triển khai và quản lý cơ sở hạ tầng trọng yếu chương trình bảo vệ.
Phần mềm độc hại rất nguy hiểm, nhưng không rõ ràng như vậy. Nếu phần mềm độc hại dễ phát hiện, thì mọi email, mạng hoặc hệ thống chia sẻ sẽ được bảo vệ hoàn toàn. Khi các công cụ an ninh mạng phát triển, tất cả các loại nội dung độc hại cũng sẽ dễ dàng bị tạm dừng. Tuy nhiên, vào năm 2020, Trung tâm Nghiên cứu Chiến lược và Quốc tế của McAfee đã báo cáo khoản lỗ toàn cầu kỷ lục chỉ dưới 1 nghìn tỷ USD. Vậy tại sao phần mềm độc hại vẫn hiệu quả như vậy trong kỷ nguyên an ninh mạng hiện đại?
Được thiết kế để đồng hóa với kỳ vọng tự nhiên của chúng ta, một số Phần mềm độc hại khéo léo trốn tránh các công cụ kiểm toán và phân tích. Một email, trang web hoặc các công cụ trực tuyến miễn phí rõ ràng là bình thường đều cung cấp cánh cửa cho các tác nhân xấu tiêm mã, chương trình hoặc quy trình độc hại để tạo điều kiện cho mục tiêu của họ.
Ý định xấu được ngụy trang để lợi dụng bản chất tốt hơn của một cá nhân luôn là một chiến lược hiệu quả. Tương tự, các khu vực có xung đột vũ trang sẽ sử dụng mìn để ngụy trang một con đường vô tội thành một cái bẫy nguy hiểm. Chúng ta có thể nghĩ về Phần mềm độc hại trốn tránh theo cùng một cách.
Nếu chúng ta nhìn đường và thấy một mảng bụi bẩn bị xáo trộn hoặc máy dò kim loại phát ra tiếng bíp, chúng ta có thể xác định những gì chúng ta đã tìm thấy, làm cho con đường an toàn cho việc đi lại. Nhưng đôi khi chúng ta không biết. Mìn có thể được chôn cẩn thận, hoặc làm bằng các thành phần phi kim loại, cản trở hiệu quả nỗ lực khám phá của chúng ta.
Cách an toàn nhất là kích nổ đường đi của chúng ta trước.
Ngay từ Thế chiến II, các cánh quạt quay khổng lồ đã được gắn vào các phương tiện lớn, được che chắn để đập xuống đất và kích nổ mìn để tạo ra một con đường an toàn qua các bãi mìn. Các phương tiện được thiết kế tương tự vẫn được sử dụng cho đến ngày nay. Phương pháp này bạo lực và tốn kém, nhưng được kiểm soát, tính toán và cực kỳ hiệu quả.
Các công cụ an ninh mạng hiện đại, như Sandbox phân tích, cho phép chúng tôi kích nổ Phần mềm độc hại theo cách tương tự. Các chương trình và tệp mẫu được tải vào môi trường ảo bị cô lập và bảo mật, nơi Phần mềm độc hại có thể chạy, nhưng không gây hại cho bất kỳ hệ thống bên ngoài nào. Mẫu Phần mềm độc hại là mìn của chúng tôi và Sandbox Cánh quạt bọc thép hạng nặng của chúng tôi.
Với việc kích nổ mã, chúng ta có thể phân tích mọi khía cạnh của nội dung và xác minh ý định của nó. Tệp có thể an toàn hoặc có thể cố gắng liên hệ với các nguồn bên ngoài chưa được xác minh, thay đổi khóa đăng ký hoặc quét hệ thống tệp cục bộ. Chạy phần mềm độc hại trong một môi trường biệt lập để phân tích hành vi của nó được gọi là Phân tích động.
Không giống như con đường của chúng ta, có điều kiện nhị phân an toàn hoặc không an toàn, chúng ta cần xem xét sự phức tạp của ý định của tệp. Nhiều chương trình hợp pháp sẽ thực hiện các hành động rơi vào hoạt động độc hại tiềm tàng. Không phải mọi Sandbox được tạo ra bằng nhau và điều tạo nên một sản phẩm tốt là các phương pháp và tính toán được sử dụng để cung cấp độ chắc chắn cao nhất có thể khi phân tích hoạt động của tệp.
OPSWAT MetaDefender Cloud , một công cụ mà bất kỳ ai cũng có thể dùng thử miễn phí , cung cấp một công cụ mạnh mẽ Sandbox tùy chọn có thể được sử dụng để chấm điểm các tệp đã tải lên so với hệ thống trọng số mạnh mẽ. Khả năng kích nổ tệp một cách an toàn cung cấp thông tin có thể bỏ qua các kỹ thuật Phân tích tĩnh truyền thống. Sandbox cung cấp khả năng phòng thủ tuyệt vời chống lại các cuộc tấn công zero-day, trong đó các định nghĩa tệp vẫn chưa được thêm vào cơ sở dữ liệu của công ty AV. Trên thực tế, nhiều công ty AV sử dụng Sandbox làm cơ sở để biết những tệp nào cần thêm vào chữ ký Phần mềm độc hại của họ.
Tuy nhiên, hộp cát không phải là giải pháp cuối cùng cho Phần mềm độc hại. Để không làm ô nhiễm kết quả, mỗi tệp phải được quét trên cơ sở cá nhân. Phải mất một lượng thời gian và tài nguyên phần cứng đáng kể để xử lý ngay cả một tệp pdf, trình cài đặt, tệp thực thi, v.v., có thể làm tắc nghẽn hệ thống bảo mật khi xử lý số lượng lớn tệp. Biết khi nào và trong hoàn cảnh nào để sử dụng Sandbox, là điều tối quan trọng để biến đây thành một công nghệ thực sự hiệu quả.
Bạn muốn biết thêm? OPSWAT Academy cung cấp một số khóa đào tạo an ninh mạng sẽ đi sâu hơn vào Sandbox và các công nghệ bảo mật khác OPSWAT phải cung cấp. Đi qua opswatacademy.com và đăng ký miễn phí ngay hôm nay!
