AMTSO, zajednica za standarde testiranja u industriji sajber bezbjednosti, u srijedu je predstavila okvir za evaluaciju sandbox sistema s ciljem standardizacije testiranja rješenja zasnovanih na ovoj tehnologiji za analizu malvera.
Sandbox sistemi postaju sve značajniji u analizi malvera i drugih potencijalnih prijetnji, ali može biti izazovno utvrditi koje rješenje je najbolje za specifične potrebe korisnika.
Okvir za Evaluaciju Sandbox Sistema koji je razvio AMTSO ima za cilj da riješi ovaj problem pružanjem liste kriterijuma i sistema ocjenjivanja koji pomažu istraživačima, proizvođačima i drugim akterima u industriji sajber bezbjednosti da evaluiraju i uporede sandbox sisteme.
Na primjer, sandbox sistemi za inline zaštitu imaju veoma nisku latenciju i dobri su za zaštitu u realnom vremenu, što ih čini idealnim za proizvode poput email prolaza i web-aplikacionih firewall-a. Međutim, njihova analiza nije dubinska i ima svoja ograničenja.
S druge strane, sandbox sistemi za analizu cijelog lanca napada su sporiji, ali omogućavaju veoma detaljnu analizu, što ih čini pogodnim za otkrivanje sofisticiranih prijetnji.
AMTSO-ov okvir za evaluaciju sandbox sistema uzima u obzir nekoliko ključnih faktora: sposobnost detekcije, tehnologije protiv izbjegavanja, dubinu analize, brzinu i obim rada, način implementacije, izvještavanje i obavještajnu analizu prijetnji, kao i automatizaciju i integraciju.
„Svaki od ovih indikatora pokriva ključni aspekt efikasnosti sandbox sistema, omogućavajući organizacijama da donesu informisane odluke o tome koje rješenje najbolje odgovara njihovim bezbjednosnim potrebama“, naveli su autori okvira.
„Na primjer, organizacija fokusirana na prevenciju može preferirati rješenja sa visokom sposobnošću detekcije, brzinom i skalabilnošću. Proizvođač email bezbjednosnih prolaza, koji mora obraditi veliki broj fajlova, može dati prednost mogućnostima detekcije, troškovima računarstva i jednostavnosti implementacije i održavanja, dok bi istraživački laboratorij mogao biti više zainteresovan za dubinsku analizu memorijskih snimaka i forenzičku obradu fajlova u kontekstu odgovora na incidente“, objasnili su.
Dokumentacija koju je AMTSO objavio objašnjava kako se dodjeljuju ocjene — na primjer, 0 se dodjeljuje ako funkcija nije dostupna, 3 za ograničenu podršku, a 10 za izuzetne sposobnosti. Takođe se opisuje proces dodjeljivanja težinskih vrijednosti u zavisnosti od značaja svakog indikatora performansi.
Nakon što se ocjene i težine dodijele, korisnik može izračunati ukupni i ponderisani skor, koji ukazuje na to koje sandbox rješenje najbolje odgovara njegovim potrebama.
Izvor: SecurityWeek
