Durante la lettura di come funzionano antivirus e sandbox, la mia comprensione è che un AV esegue la scansione di un file per vedere se corrisponde alle firme dei virus conosciuti. Sandbox può essere utilizzato per ottenere i comportamenti di un file quando viene eseguito. Tuttavia, non so come le sandbox possano essere utilizzate per rilevare malware sconosciuti o meno. Per favore, fammi sapere questo? Grazie!
Il software AntiVirus (AV) funziona basandosi sull'idea che è possibile decidere cosa è male, rilevare quali programmi fanno cose cattive e ucciderli / disinstallarli. I sistemi di sicurezza reattivi come i software AV richiedono un'ottima conoscenza delle minacce che stai affrontando o della differenza tra comportamento dannoso e comportamento normale. Ciò li rende costosi e imprecisi.
Le sandbox operano sull'idea che non è possibile decidere cosa è buono o cattivo, ma l'utente può decidere ciò di cui ha scelto di fidarsi. Ti forniscono la possibilità di limitare o isolare programmi specifici in modo che se fanno cose cattive, non danneggiano cose al di fuori della sandbox. Il rovescio della medaglia dei sistemi di confinamento è che deve esserci un modo logico e semplice per il sistema o per i suoi utenti di decidere quali programmi si restringono dove e quali sono anche per parlarsi.
Questi sono concetti completamente diversi e le due famiglie di strumenti possono essere usate insieme. È il caso di sistemi operativi come Windows, in cui tutte le applicazioni di archiviazione vengono eseguite all'interno di una sandbox e il software AV può essere utilizzato per rilevare modifiche al sistema o per rilevare l'installazione di un malware noto (che potrebbe essere o non essere in modalità sandbox). / p>
Da un punto di vista teorico, l'uso del confinamento trasforma il problema di classificare / dare un senso ai comportamenti applicativi in un problema di decidere quali proprietà di sicurezza tenere date una serie di confini arbitrari tra attori non fidati. Per quanto mi riguarda, ci sono ampie prove sperimentali che il precedente approccio è destinato a fallire, basato sulle scarse prestazioni del software AV e sul ruolo della contestualità nel decidere se un determinato comportamento del programma sia malevolo o meno.
Queste sono due cose completamente diverse. Un po 'semplificato:
Un AV è un software che può (tra le altre cose?) scansionare il sistema per identificare e tentare di isolare e rimuovere minacce come virus o altro malware.
Una sandbox, d'altro canto, è fondamentalmente un contesto in cui un pezzo di software può essere eseguito isolato dal resto del mondo. Le applet Java in esecuzione in un browser sono un classico esempio, come dovrebbe essere Flash (anche se apparentemente non è altrettanto isolato e sicuro che sarebbe l'ideale): si tratta di contesti in cui i programmi possono essere eseguiti senza accesso alle risorse sulla macchina host ( il tuo PC), come il tuo file system, ecc.
Un altro esempio può essere un insieme di macchine virtuali. È possibile creare il proprio "laboratorio virus" impostando diverse VM che eseguono sistemi operativi diversi, quindi collegandoli insieme in una rete interna, che sarà visibile solo a quelle VM. Ora puoi sperimentare eseguendo il malware su queste macchine e osservandone l'impatto e il modo in cui si influenzano a vicenda, senza influire su nulla al di fuori della loro rete virtuale.
Un altro modo di pensare a una sandbox è (idealmente) una specie di acquario software digitale .