® 
Sandboxing
Definitie
Sandboxing is een beveiligingstechniek waarbij verdachte code of bestanden worden uitgevoerd in een geïsoleerde omgeving (sandbox) om te analyseren of ze schadelijk zijn, zonder risico voor het echte systeem.
Sandboxing is een beveiligingstechniek waarbij verdachte code, bestanden of applicaties worden uitgevoerd in een geisoleerde virtuele omgeving om te analyseren of ze schadelijk zijn, zonder risico voor het productiesysteem. Sandboxing is een essentieel onderdeel van moderne malware-analyse en e-mailbeveiliging.
Hoe werkt sandboxing?
Een sandbox simuleert een compleet besturingssysteem met alle verwachte applicaties, netwerkverbindingen en gebruikersactiviteit. Wanneer een verdacht bestand in de sandbox wordt geopend, observeert het systeem het gedrag: probeert het bestanden te versleutelen, maakt het verbinding met externe servers, wijzigt het registersleutels of probeert het privileges te escaleren? Dit gedrag wordt geanalyseerd en vergeleken met bekende malwarepatronen. De sandbox is volledig geisoleerd van het productiesysteem, zodat eventuele malware geen schade kan aanrichten.
Toepassingen van sandboxing
E-mailbeveiliging analyseert bijlagen in een sandbox voordat ze aan de ontvanger worden afgeleverd. Browser sandboxing isoleert webtabs zodat een gecompromitteerde website geen toegang krijgt tot het systeem. Malware-analyse gebruikt sandboxes om nieuwe malwarevarianten te onderzoeken en IOC's te extraheren. Applicatie-sandboxing beperkt de rechten van applicaties tot het minimum dat nodig is. Bekende sandboxtools zijn Cuckoo Sandbox (open source), Any.run, Joe Sandbox en VMRay.
Sandbox-evasie
Geavanceerde malware probeert sandbox-omgevingen te detecteren en te omzeilen. Technieken omvatten: detectie van virtuele machine-artefacten, vertraagde uitvoering zodat de analysetijd verloopt, controle op gebruikersinteractie (echte gebruikers bewegen de muis), omgevingscontroles op specifieke software of hardware, en time bombs die pas na een bepaalde periode actief worden.
Impact voor organisaties
Sandboxing is een cruciale laag in een defense-in-depth-strategie. Het vangt dreigingen op die signature-based detectie missen, zoals zero-day-malware en polymorfische malware. NIS2 vereist adequate detectiemaatregelen en sandboxing draagt bij aan het voldoen aan deze eis.
Bescherming
Implementeer e-mail sandboxing voor alle inkomende bijlagen. Combineer sandboxing met EDR en threat intelligence voor een compleet detectiebeeld. Gebruik meerdere sandbox-omgevingen om evasietechnieken te detecteren.
Hoe DEFION helpt
DEFION integreert sandboxing-technologie in de Managed Threat Detection-dienst. Het SOC-team analyseert sandbox-resultaten en correleert deze met bredere dreigingsdata.