® 
Sandboxing (Entorno Aislado)
Definicion
El sandboxing es una tecnica de seguridad donde el codigo o archivos sospechosos se ejecutan en un entorno aislado para analizar si son daninos.
El sandboxing es una tecnica de seguridad donde el codigo, archivos o aplicaciones sospechosos se ejecutan en un entorno virtual aislado para analizar si son daninos, sin riesgo para el sistema de produccion. El sandboxing es un componente esencial del analisis moderno de malware y la seguridad del correo electronico.
Como funciona el sandboxing?
Un sandbox simula un sistema operativo completo con aplicaciones, conexiones de red y actividad de usuario esperadas. Cuando un archivo sospechoso se abre en el sandbox, el sistema observa su comportamiento: intenta cifrar archivos, conectarse a servidores externos, modificar claves de registro o escalar privilegios? Este comportamiento se analiza y compara con patrones de malware conocidos.
Aplicaciones del sandboxing
La seguridad del correo electronico analiza adjuntos en un sandbox antes de entregarlos. El sandboxing del navegador aisla las pestanas web. El analisis de malware usa sandboxes para examinar nuevas variantes y extraer IOC. El sandboxing de aplicaciones limita los privilegios al minimo necesario. Herramientas conocidas incluyen Cuckoo Sandbox, Any.run y Joe Sandbox.
Evasion del sandbox
El malware avanzado intenta detectar y evadir entornos sandbox. Las tecnicas incluyen: deteccion de artefactos de maquina virtual, ejecucion retardada, comprobacion de interaccion del usuario y bombas de tiempo.
Impacto para las organizaciones
El sandboxing es una capa crucial en la estrategia de defensa en profundidad. Detecta amenazas que la deteccion basada en firmas no detecta, como malware de dia cero.
Proteccion
Implemente sandboxing de correo electronico para todos los adjuntos entrantes. Combine sandboxing con EDR e inteligencia de amenazas para una deteccion completa.
Como ayuda DEFION
DEFION integra tecnologia de sandboxing en el servicio de Managed Threat Detection.