Digitalna transformacija - specijalno godišnje izdanje - Page 30

i po­kre­ću da bi se tač­no vi­de­lo ka­ko se iz­vrš­ni soft­ver po­na­ša, bez pri­stu­pa­nja pro­duk­cij­skim si­ste­mi­ma ili mre­ži. Ako se do­ka­že da su iz­vrš­ni faj­lo­vi i/ili soft­ ver ma­li­ci­o­zni, sa nji­ma se po­na­ša na od­go­va­ta­ju­ći na­čin. Ova va­žna si­gur­ no­sna teh­ni­ka spre­ča­va ma­li­ci­o­zne faj­ lo­ve ili pro­gra­me da oš­te­te mre­žu ili odu­zmu va­še in­for­ma­ci­je. Sand­bo­xing je vr­lo efi­ka­san i ap­so­lut­ no neo­p­ho­dan u ot­kri­va­nju ne­po­zna­ tih pret­nji. Ka­ko pej­saž mo­der­nih pret­ nji na­sta­vlja da se raz­vi­ja, sand­bo­xing će po­sta­ti in­te­gral­ni deo ukup­nog si­ gur­no­snog ar­se­na­la sva­ke or­ga­ni­za­ci­je. Tra­di­ci­o­nal­ni sand­bo­xing Ne­ko­li­ko saj­ber se­kju­ri­ti kom­pa­ni­ja nu­di sand­bo­xing teh­no­lo­gi­ju za ana­ li­zi­ra­nje po­ten­ci­jal­nog mal­ve­ra. Me­đu­ tim, ni­su svi sand­bo­xo­vi jed­na­ki. Ne­ ki sand­bo­xo­vi ot­kri­va­ju ali ne blo­ki­ra­ ju mal­ver. Na­pred­ni­ji sand­bo­xo­vi de­le in­for­ma­ci­je o no­vo­ot­kri­ve­nom mal­ve­ ru sa cloud oba­veš­ta­jim mre­ža­ma. Ovo ubr­za­va cir­ku­la­ci­ju po­da­ta­ka no­vog na­pa­da, omo­gu­ća­va­ju­ći po­ve­za­nim or­ga­ni­za­ci­ja­ma da se br­zo zaš­ti­te. Sa mnoš­tvom no­vih me­to­da na­pa­da, va­ žno je raz­u­me­va­nje raz­li­ke iz­me­đu tra­ di­ci­o­nal­nog i na­pred­nog sand­bo­xin­ga. Tra­di­ci­o­nal­ni pri­stup po­bolj­ša­nju sto­pe hva­ta­nja ne­po­zna­tog i ze­roda­y mal­ve­ra po­kre­će sum­nji­ve faj­lo­ve u sand­bo­xu iz­van mre­že, “imi­ti­ra­ju­ći” stan­dard­ni ope­ra­tiv­ni si­stem (OS) za bez­bed­nu op­ser­va­ci­ju. Ko­ri­ste­ći sand­ box ala­te, vi ak­ti­vi­ra­te faj­lo­ve na raz­li­či­ te na­či­ne ka­ko bi­ste si­mu­li­ra­li stvar­nog ko­ri­sni­ka ko­ji otva­ra fajl. On­da mo­tri­te da bi­ste ugle­da­li ako to po­kre­će neš­to iz­van ono­ga što je nor­mal­no oče­ki­va­ti. Saj­ber kri­mi­nal­ci su pa­met­ni. Oni pre­po­zna­ju da zaš­tit­ne me­re po­sto­ je na ne­kim mre­ža­ma i im­ple­men­ti­ra­ ju teh­ni­ke za iz­b e­ga­va­nje. Oni za­pra­vo mo­gu da na­pi­šu mal­ver ko­ji zna ka­da je unu­tar sand­bo­xa i in­stru­i­šu mal­ver da se ne in­sta­li­ra dok ne bu­de znao da je iz­van sand­bo­xa i na stvar­nom end po­int ure­đa­ju. Dru­gi uo­bi­ča­je­ni pri­stup ko­ji ha­ke­ri ko­ri­ste je ugrad­nja taj­me­ra mi­ro­va­nja u mal­ver, ko­ji mu omo­gu­ća­ va da se otvo­ri mi­nu­te ili čak da­ne na­ kon in­fek­ci­je – du­go na­kon što je fajl ozna­čen kao bez­be­dan. Dru­ge uo­bi­ča­ je­ne teh­ni­ke uklju­ču­ju mal­ver ko­ji be­ le­ži po­kre­te mi­ša ili one ko­je en­krip­tu­ ju pret­nje u pri­lo­zi­ma elek­tron­ske poš­ te. Ova raz­vi­je­na iz­be­ga­va­nja nam po­ ka­zu­ju da sa­daš­nja teh­no­lo­gi­ja ko­ja se pri­me­nju­je ni­je do­volj­na. Si­gur­no­sna re­še­nja mo­ra­ju da se raz­vi­ja­ju br­že ka­ ko bi osta­la is­pred ha­ke­ra. Na­pred­ni sand­box Tra­di­ci­on ­ al­na (ope­ra­tiv­na na ni­vou si­ste­ma, ili OS-ni­voa) sand­bo­xing re­ še­nja su suš­tin­ska kom­po­nen­ta za pre­ ven­ci­ju ze­ro-da­y na­pa­da i mo­gu da ot­kri­ju mal­ver ka­da se on po­kre­ne. Me­đu­tim, ko­ri­ste­ći ne­ke od teh­ni­ka iz­ nad, mal­ver i da­lje mo­že da iz­beg­ne ot­kri­va­nje. Iz tog raz­lo­ga po­treb­na je na­pred­na zaš­ti­ta: tra­di­ci­o­nal­ni sand­ bo­xo­vi ot­kri­va­ju na­pa­de i u iz­vrš­nim i u da­ta faj­lo­vi­ma pod­jed­na­ko. Na­pred­ni sand­bo­xo­vi pre­u­zi­ma­ju ove mo­guć­ no­sti, ali ta­ko­đe do­da­ju spo­sob­nost za de­tek­to­va­nje mal­ve­ra u da­ta faj­lo­vi­ ma pre ne­go što se on pot­pu­no im­ple­ men­ti­ra, nad­gle­da­njem ak­tiv­no­sti na ni­vou pro­ce­sor in­struk­ci­ja to­kom fa­ ze ko­riš­će­nja, dok na­pad po­ku­ša­va da pri­ba­vi pro­tiv­prav­ne pri­vi­le­gi­je iz ope­ ra­ti­vog si­ste­ma. Tra­di­ci­o­nal­ni sand­bo­ xing kom­bi­no­van sa sna­gom sand­ bo­xin­ga fo­ku­si­ra­nog na ex­plo­it da­je na­pre­dan sand­box sa moć­nom, ot­ por­nom na iz­be­ga­va­nje zaš­ti­tom ko­ja ot­kri­va i blo­ki­ra ne­po­zna­ti mal­ver. Cilj je ja­san: pro­ak­tiv­no pro­na­ći pret­ nje i adre­si­ra­ti teh­ni­ke iz­be­ga­va­nja. Dok još uvek po­sto­je broj­ne ra­nji­vo­sti, po­ sto­ji sa­mo ne­ko­li­ko me­to­da is­ko­riš­ća­ va­nja ko­je se mo­gu ko­ri­sti­ti za iz­vr­ša­ va­nje ma­li­ci­o­znog te­re­ta, pre­u­zi­ma­nje mal­ve­ra i nje­go­vo ak­ti­vi­ra­nje. Na­pred­ ni sand­bo­xing ot­kri­va ko­riš­će­nje teh­ ni­ka za eks­plo­a­ta­ci­ju pa­žlji­vim is­pi­ti­va­ njem ak­tiv­no­sti u CPU sand­box ho­sta, i nje­nog to­ka iz­vr­še­nja na ni­vou asem­ bler­skog ko­da pre ne­go što ma­li­ci­o­zni te­ret ima šan­su za po­kre­ta­nje. Kao re­ zul­tat, to pred­u­pre­đu­je ve­ći­nu, ako ne i sve, mo­guć­no­sti ha­ke­ra da iz­beg­nu ot­ kri­va­nje. Br­zi­na i pre­ci­znost de­tek­ci­je i či­nje­ni­ca da je na­pad ot­kri­ven pre ne­ go što je mal­ver čak i pre­u­zet na end po­int ure­đaj či­ne na­pred­ni sand­bo­xing naj­bo­ljom teh­no­lo­gi­jom u de­tek­to­va­ nju ne­po­zna­tih pret­nji. Ka­da kom­bi­nu­ je­te sand­box mo­guć­no­sti du­bo­kog OSni­voa i CPU-ni­voa, do­bi­ja­te moć­nu sle­ de­ću ge­ne­ra­ci­ju sandbox eli­mi­na­cije pret­nji. Sa no­vom na­pred­nom tehnolo-