Nella sicurezza informatica, una sandbox è un ambiente di rete isolato che imita gli ambienti operativi degli utenti finali. Le sandbox servono per eseguire in sicurezza dei codici sospetti senza il rischio di danneggiare il dispositivo host o la rete.

L’uso di una sandbox per il rilevamento avanzato dei malware fornisce un altro livello di sicurezza dei dati, proteggendoli dalle nuove minacce alla sicurezza e, in particolare, dai nuovi malware zero-day e dagli attacchi stealth. Ciò che succede nella sandbox, rimane nella sandbox; in questo modo si evitano guasti al sistema e si impedisce la diffusione delle vulnerabilità software.

Gli ambienti sandbox forniscono una sicurezza di rete proattiva che ti protegge dalle nuove minacce persistenti avanzate (APT). Le APT sono attacchi mirati e personalizzati, che spesso puntano a danneggiare le organizzazioni e rubarne i dati. Sono studiate per aggirare le difese e spesso riescono a eludere i metodi di rilevamento più diretti.

I test con sandbox rilevano in maniera proattiva i malware eseguendo (facendo detonare) il codice in un ambiente sicuro e isolato per osservarne il comportamento e l’attività di output. Le misure di sicurezza tradizionali sono reattive e si basano sul rilevamento delle firme, cercando pattern identificati in istanze malware note. Questo metodo rileva soltanto le minacce già identificate, mentre le sandbox aggiungono un nuovo e importante livello di sicurezza. Le difese di sicurezza iniziali, inoltre, anche se utilizzano l’intelligenza artificiale o l’apprendimento automatico (rilevamento degli attacchi senza firma) hanno un'efficacia pari a quella dei modelli su cui si basano e vanno completate con soluzioni di rilevamento avanzato dei malware.

Per implementare le sandbox sono disponibili svariate opzioni, la cui adeguatezza dipende dalle esigenze di ogni organizzazione. Di seguito sono descritte le tre varietà di implementazione di una sandbox.

• Emulazione dell’intero sistema: la sandbox simula l’hardware fisico della macchina host, comprese la CPU e la memoria, per una visibilità approfondita del comportamento e dell’impatto dei programmi.
• Emulazione dei sistemi operativi: la sandbox emula il sistema operativo dell’utente finale, ma non l’hardware della macchina.
• Virtualizzazione: questo approccio usa una sandbox basata su una macchina virtuale (VM) per contenere ed esaminare i programmi sospetti.

Gli autori dei malware lavorano costantemente per contrastare le soluzioni più recenti e sofisticate di individuazione delle minacce. Ecco illustrate di seguito alcune tecniche di evasione delle sandbox.

• Rilevamento della sandbox: gli ambienti sandbox hanno un aspetto leggermente diverso rispetto al sistema reale dell’utente finale. Se un malware rileva una sandbox, può sia terminare immediatamente sia interrompere l’esecuzione delle attività dannose.
• Sfruttamento delle lacune e dei punti deboli della sandbox: per quanto sofisticata possa essere una specifica sandbox, gli autori dei malware sono spesso in grado di identificarne e sfruttarne i punti deboli. Un esempio è l’uso di formati di file poco noti o file di grandi dimensioni che la sandbox non è in grado di elaborare. Altrimenti, se il metodo di monitoraggio della sandbox viene eluso, nella sandbox viene creato un “punto cieco” in cui il codice dannoso può essere distribuito.
• Integrazione di trigger sensibili al contesto: i malware sensibili al contesto sfruttano i punti deboli della tecnologia automatizzata della sandbox. Ad esempio, quelle che talvolta sono definite “bombe logiche” sono in grado di ritardare la detonazione del codice per un periodo di tempo specifico o fino all’attivazione di trigger che di solito si verificano solo nel sistema dell’utente finale (come riavvii del sistema o interazioni con tastiera o mouse).