Sandboxing

El sandboxing es una técnica en la que se crea un entorno de prueba aislado, un "sandbox", en el que se ejecuta o "detona" un archivo o URL sospechoso que se adjunta a un correo electrónico o que llega a su red de otro modo, y luego se observa lo que ocurre.

Si el archivo o la URL muestran un comportamiento malicioso, entonces ha descubierto una nueva amenaza. El sandbox debe ser un entorno virtual seguro que emule con precisión la CPU de sus servidores de producción.

El sandboxing es especialmente eficaz para defenderse de las amenazas de día cero. Los filtros de correo electrónico entrante tradicionales escanean los correos electrónicos para detectar remitentes, URL y tipos de archivos maliciosos conocidos. Por desgracia, hay docenas de amenazas nuevas (o de "día cero") que aparecen todos los días y que los filtros de correo electrónico aún no han descubierto. El sandboxing, que es un componente clave de la protección avanzada contra amenazas, proporciona una capa adicional de protección en la que cualquier correo electrónico que pase el filtro de correo electrónico y aún contenga enlaces URL desconocidos, tipos de archivos o remitentes sospechosos puede ser probado antes de que llegue a su red o servidor de correo.

Aunque el sandboxing es una técnica de defensa eficaz e importante, presenta dos inconvenientes significativos.

1. El sandboxing es bastante intensivo en tiempo y recursos. Canalizar todo su tráfico digital a través de un sistema de sandboxing es poco práctico y tiene un coste prohibitivo.
2. El sandboxing puede ser evadido. A medida que el sandboxing se hizo más común, los ciberdelincuentes empezaron a crear amenazas con características que les permitieran eludir la detección. Por ejemplo, una amenaza podría programarse para permanecer inactiva hasta una fecha futura, de modo que durante el sandboxing parezca inofensiva. Otra técnica evasiva eficaz consiste en hacer que el malware pueda detectar si está en un entorno virtual y permanecer inactivo hasta que se encuentre en un escritorio u otro dispositivo real.

La cantidad y efectividad de las amenazas de día cero están en constante aumento, por lo que debe contar con una estrategia para proteger sus datos y programas de las amenazas que evaden los filtros tradicionales de correo electrónico, malware y virus. El sandboxing es una de las herramientas más infalibles para mantenerse un paso por delante de los hackers. Existen soluciones de sandboxing basadas en la nube que ofrecen una protección eficaz sin los inconvenientes comunes de degradar el rendimiento de la red o ser fácilmente evadidas por hackers astutos.

Barracuda Advanced Threat Protection es un sofisticado servicio basado en la nube que ofrece las ventajas del sandboxing mientras elimina los inconvenientes de las soluciones de sandboxing más tradicionales e independientes. Barracuda Advanced Threat Protection aplica una estrategia multicapa que emplea la coincidencia de firmas, el análisis heurístico y conductual, y el análisis de código estático para prefiltrar el tráfico e identificar la gran mayoría de las amenazas. Finalmente, solo envía la pequeña cantidad de archivos sospechosos restantes a un entorno aislado para identificar de manera definitiva las amenazas de día cero e impedir que lleguen a su red.

El servicio se escala de manera elástica según su nivel de tráfico de correo electrónico y de red para asegurar que no incida negativamente el rendimiento de la red o del correo electrónico. Esto lo hace mucho más eficiente y rentable que una solución de sandboxing independiente.

También utiliza una variedad de técnicas para contrarrestar las estrategias de evasión. Por ejemplo, detecta cualquier intento del archivo que se está analizando de consultar el registro o la memoria de la máquina. Neutraliza las técnicas de detonación retardada adelantando su reloj/calendario interno. En resumen, expone el malware sospechoso a todos los entornos posibles en los que podría activar su comportamiento malicioso; si tiene una carga útil maliciosa, esta se detonará.

Y, a diferencia del sandboxing de máquinas virtuales más tradicional, Barracuda Advanced Threat Protection utiliza un CPU-Emulation Sandboxing. Esto lo hace indistinguible de una máquina de escritorio real desde la perspectiva del malware.

La protección frente a amenazas avanzadas está disponible para los siguientes productos de Barracuda:

• Barracuda CloudGen Firewall: protege las redes con un sandboxing automático de todos los archivos sospechosos transferidos hacia o desde su red.
• Barracuda Web Application Firewall: protege su sitio web y sus aplicaciones web contra la carga de archivos maliciosos.
• Barracuda Email Protection: este servicio basado en la nube protege su sistema de correo electrónico mediante el aislamiento de todos los enlaces y archivos adjuntos sospechosos en cada correo electrónico enviado y recibido.
• Barracuda Email Security Gateway: proporciona una seguridad de correo similar mediante un dispositivo físico o virtual.
• Barracuda Web Security Gateway: hace que la navegación web sea segura al proteger y aislar automáticamente los archivos descargados de los sitios web.