Blue Coat realizó una investigación en la que concluye que el malware ha avanzado de tal manera que puede determinar si se encuentra en el sandbox de una herramienta de Seguridad informática. Por lo que concluye que el próximo paso en Seguridad es el sandboxing dinámico, con la capacidad de replicar entornos reales.
La empresa de Seguridad Informática Blue Coat, especializada en entornos de negocio de alta complejidad, presentó la lista resumida de las principales características que debe tener una solución de Sandboxing Dinámico a la hora de tomar decisiones.
1. Varias metodologías de detección: tanto la emulación como la virtualización permitirán la detección de malware con reconocimiento de máquina virtual.
2. Entornos virtuales realistas y personalizables: pueden replicar perfectamente los entornos reales de producción, para combatir los ataques actuales más sofisticados.
3. Clasificación basada en el comportamiento y puntuación de riesgo personalizada que debe indicar por qué un archivo de muestra o una dirección URL fueron marcados como maliciosos, y no solo informar un resultado “bueno o malo”. Los patrones también deben proporcionar una clasificación del riesgo, deben abarcar todas las posibilidades, desde un comportamiento malicioso genérico hasta patrones de comportamiento específicos de cada familia (por ejemplo, los troyanos bancarios).
4. Acceso a recursos integrales de análisis y datos de eventos: para que su solución de análisis de malware se encuentre disponible para su equipo de seguridad.
5. Inteligencia accionable contra amenazas compartidas. Los datos sobre ataques se deben volver a incorporar “en forma ascendente” dentro de la red de inteligencia global, de manera que los futuros ataques se puedan bloquear en el origen, y así evitar ataques polimórficos.
La tecnología de Sandboxing dinámico sustenta la posibilidad técnica de proporcionar una defensa sólida e integral contra las amenazas sofisticadas que existen en el escenario actual. Si bien es un paso importante para desarrollar una estrategia general más sólida en cuanto a la Seguridad Informática, una defensa de múltiples capas debe tener la capacidad de bloquear amenazas conocidas avanzadas y persistentes, detectar de manera proactiva el malware desconocido y el que ya está presente, y automatizar la contención de incidentes posteriores a la intrusión y su resolución.
