La seguridad de sandbox (en español sería caja de arena) es una solución de seguridad basada en la virtualización (VBS –Virtualization-based security) para proteger los sistemas de las intrusiones. Se puede utilizar una caja de arena para probar la seguridad y las soluciones, incluidos los ataques catastróficos. El sandbox permite realizar estas pruebas sin poner en peligro el sistema original.
Una caja de arena determina eficazmente a qué vectores de ataque es vulnerable tu sistema. A continuación, puedes parchearlos antes de que estén disponibles para el público.
Primero entraré en los detalles de lo que es el sandboxing y cómo funciona. Más adelante, consideraremos algunos escenarios que te mostrarán en qué debes centrarte si quieres utilizar la seguridad de la caja de arena.
Con la seguridad sandbox, los ciberdelincuentes creen que están atacando algo real cuando sólo están jugando con un señuelo.
Todo sobre el Sandboxing
3 Tipos de Seguridad Sandbox
La seguridad Sandbox es un enfoque para probar y desarrollar sistemas de ciberseguridad. Crea un modelo en el servidor in situ o en la nube y lo ataca con Amenazas Persistentes Avanzadas (APT –Advanced Persistent Threats). También es una forma de probar amenazas desconocidas que podrían entrar en el sistema desde el exterior.
Puedes elegir entre tres tipos de sandbox. El que elijas depende de los sistemas que creas que atacaría el malware. Estas opciones también utilizan diferentes cantidades de recursos del sistema. Así que, al final, es un cálculo de lo que es más útil para tus necesidades.
Emulación completa del sistema
Con la emulación completa del sistema, se copia todo, incluido el hardware que se utiliza. Al finalizar, tienes dos sistemas idénticos. La única diferencia es que el sandbox tiene su software dependiente y respaldado por el sistema maestro.
Dado que estos sistemas son iguales, el malware no puede detectar una caja de arena a menos que se le indique que no actúe durante un tiempo excesivo. Incluso mediante ataques de canal lateral, el malware no puede determinar que está atacando una trampa en lugar del sistema real.
Pero estos sistemas también son caros, ya que necesitan el doble de hardware y mantenimiento. El gasto merece la pena para las grandes empresas con trabajadores remotos que envían información a través del sistema.
Emulación del sistema operativo
La emulación del sistema operativo (SO) ofrece una muy buena protección sin necesidad de una configuración de hardware completamente nueva. Además, funciona con servidores en la nube como Microsoft Azure y AWS.
En el caso de los servidores locales, el gasto de recursos añadido puede ser importante. Sin embargo, el dispositivo virtual no requiere mantenimiento de hardware ni costes de compra añadidos.
Esta configuración es ideal para las industrias de servicios con clientes que envían información. Las personas que trabajan en un campo que de otro modo crearía un punto débil de seguridad también se beneficiarán.
Virtualización de una sola instancia
En estos casos, lo único que se emula es el punto de acceso, que puede ser la aplicación completa, el buzón o la bandeja de entrada. También es posible configurar una instancia sandbox para los correos electrónicos. Emula a la persona que lo recibe y hace clic en el enlace. Puede comprobar si el enlace o el documento enviado es legítimo o de suplantación de identidad y responder.
El uso de la seguridad sandbox para el correo electrónico puede ser útil para cualquier empresa. Pero el uso más común es para probar aplicaciones y programas basados en la web en los que los clientes importan datos. Para este propósito, es barato, eficaz y escalable.
Aunque tienen un alcance diferente, estas opciones de sandboxing comparten muchos beneficios en diferentes capacidades. A continuación, enumeraré esas ventajas y comentaré cómo se aplican a las distintas empresas.
| X | Enfoque Alcance | Entidades del sistema aplicables | Casos de uso | Aplicaciones empresariales |
|---|---|---|---|---|
| Emulación completa del sistema | Creación de un sistema de hardware y software duplicado | Software y hardware | Ataques de canal lateral dirigidos al hardware | Empresas que permiten el trabajo a distancia |
| Emulación de sistemas operativos | Creación de una copia del sistema operativo y de los programas de asistencia | Software | Ataques al firmware; ataques al sistema operativo | Empresas de servicios |
| Virtualización de una sola instancia | Formando sólo la instancia del software visible al exterior | Aplicación única | Ataques a aplicaciones; phishing | Desarrolladores de aplicaciones y software |
En la siguiente sección, repasaré cómo crear una caja de arena y cómo funcionan.
Cómo Crear una Sandbox
Tienes dos métodos principales para crear una caja de arena.
El primer método utiliza un conjunto de hardware. Suele tener una mayor capacidad para ejecutar tanto el sistema principal como el “espejo” del sandbox.
El segundo método tiene hardware separado, y el sistema principal controla ambos sistemas. Este método rinde más, pero aumenta los costes de componentes, mantenimiento y energía. Esta opción es mejor para empresas exigentes.
Para muchas empresas, este aumento de costes no merece la pena. Lo óptimo es utilizar el mismo sistema y reducir los requisitos tanto del sistema operativo principal como del sandbox.
A continuación, repasaré el proceso operativo. Tanto si se utiliza la emulación completa del sistema como si se imita una instancia, el proceso es similar.
Proceso de funcionamiento de la caja de arena
Es posible hacer un sandbox más intrincado dependiendo de los requisitos. Pero, en la mayoría de las situaciones, el proceso de construcción de la caja de arena, la detección de malware, la captura y el reinicio se parece a esto:
- Formar un nuevo sandbox
El mismo servidor que copia las partes importantes a un sandbox en un sistema funcional hace una nueva instancia. A continuación, crea un nuevo entorno virtual.
- Emulando el sistema original
Para cualquier persona dentro de este nuevo entorno, parece que está en el sistema principal. Con la emulación completa del sistema, las empresas pueden ver el hardware, el consumo de energía y la información del sistema operativo.
- Momento de la intrusión
Independientemente de si es parte de una prueba de penetración o de un intento de ataque real, un sandbox está hecho para ser atacado y derribado. El sistema registra el ataque, pone en cuarentena el malware, se apaga y se reinicia.
- Dar el visto bueno
Un buen sandbox destruye el malware y sabe cuándo los datos son seguros o beneficiosos. Los archivos probados se copian al servidor principal mientras la caja de arena se actualiza para otros datos.
Ahora repasaré algunos casos de uso en los que se suele utilizar el sandboxing. Si reconoces tu negocio en los ejemplos, es probable que debas considerarlo.
Casos de Uso de la Seguridad del Sandbox
Las situaciones en las que el sandboxing, incluyendo el desarrollo y la seguridad del sandbox, puede ser útil son abundantes. En casi todas las situaciones de seguridad que se te ocurran, querrás tener un señuelo que utilizar.
Aquí enumeraré cuatro de los casos de uso más frecuentes. Si bien tu negocio puede no encajar exactamente en estos, explora las opciones de sandboxing si reconoces la situación.
Navegadores web
Dado que los sitios web están casi siempre basados en la nube a través de un alojamiento profesional, la virtualización suele estar integrada. Cuando se utiliza la seguridad sandbox, las páginas interactivas se ejecutan como una caja de arena.
Si la caja de arena encuentra malware que alguien está intentando cargar, el software antimalware se pondrá en marcha. Registra el ataque y borra todo el entorno del navegador web. Las páginas siguen estando disponibles para todos los demás, pero ningún malware puede encontrar su camino en el back-end del sitio web.
Protección por software
La protección de software funciona como la protección web. La principal diferencia es que, en lugar de un tercero, es la empresa la que gestiona el servidor, aunque esté basado en la nube.
El primer paso para la protección es determinar qué componentes interactúan con el exterior. A continuación, hay que predecir los posibles vectores de ataque para determinar qué sandbox hay que emular. Esto incluye los ataques de canal lateral.
Una vez que se tienen los preparativos y las predicciones, se puede establecer un sistema de caja de arena. Sirve como el extremo delantero para la comunicación con el exterior. Aquí, puedes permitir que la gente envíe archivos y otros tipos de código, incluido el código ejecutable.
La máquina virtual ejecuta software antimalware interno y externo. Este software dificulta que las amenazas comunes se escondan. Si encuentra algo malicioso, elimina la máquina virtual y las amenazas.
Investigación sobre seguridad
Desarrollar un sistema de seguridad no es fácil. No se puede saber cómo funcionarán las funciones juntas a menos que se utilicen soluciones probadas. Es mejor tener una máquina virtual para probar los ataques de malware antes de que se produzcan los ataques maliciosos.
En este sentido, las cajas de arena funcionan más como un contenedor que como una virtualización. Pero, como tienes el control total, pruébalo con más riesgos, ataques y consumo de recursos.
En ciberseguridad, es mucho mejor ser un pesimista que se equivoca que un optimista que se equivoca.
Instancias de virtualización
Las instancias virtuales engloban los escenarios en los que muchos sandboxes ejecutan lo mismo de forma repetida. El principal consumo de recursos está en el software de detección de malware y no en la caja de arena.
Sólo se puede establecer el punto de comunicación para las aplicaciones móviles y de navegador sin información sobre el sistema operativo o el hardware dedicado. En el caso de las aplicaciones, normalmente sólo se trata de la página de entrada, la carpeta compartida o puntos de acceso similares.
Por fuera, parece idéntico al sistema principal, porque lo es. Pero, si alguien intenta enviar malware, se detecta, se graba y la caja de arena se elimina. Además, esta solución de virtualización funciona perfectamente en la nube, ya que no requiere muchos recursos.
La principal diferencia entre los casos son los recursos necesarios para obtener resultados óptimos. En la mayoría de los casos, la creación de un sandbox es bastante económica y rápida. Pero verás que invertir más en esta seguridad ofrece excelentes beneficios por el dinero.
Ahora, vamos a resumir lo que hemos cubierto sobre la seguridad de la caja de arena.
Palabras Finales
La seguridad Sandbox es una solución que utiliza máquinas virtuales. Crea un sistema simulado que asume el riesgo de interactuar con información externa. El sandboxing tiene tres opciones: emulación del sistema completo, emulación del sistema operativo y virtualización de una sola instancia.
Para muchas empresas, el sandboxing reduce las intrusiones y permite probar e innovar más fácilmente. Aunque puede requerir muchos recursos, un cálculo cuidadoso puede hacer que el coste añadido merezca la pena.
El sandboxing puede prevenir ataques, especialmente contra las Amenazas Persistentes Avanzadas (APT) y los casos de ciberdelincuencia.
Además, los sistemas complejos pueden utilizar el sandboxing para la protección del software y la investigación de la seguridad. También se utiliza con los navegadores web y las aplicaciones en línea, donde puede proteger sólo una instancia dentro del sistema.
Preguntas Frecuentes sobre el Sandboxing (FAQ)
Depende. Sobre todo, un sandbox no es más seguro que cualquier otro sistema para detener el malware. La seguridad de la virtualización permite que el malware ataque, y luego lo atrapa dentro para que no pueda causar daños.
Sí. Si el malware reconoce que está en un sandbox o permanece inactivo durante mucho tiempo, puede burlar las protecciones del sandbox. Además, es posible que el malware pase desapercibido si hay un nuevo vector de ataque.
Sí, los sandboxes son máquinas virtuales. Se puede configurar un sistema de seguridad de caja de arena si se sabe cómo arrancar la máquina virtual. A diferencia de las máquinas virtuales normales, las cajas de arena con emulación completa del sistema pueden tener hardware dedicado.
Microsoft Azure ofrece varias opciones nativas para las máquinas virtuales. Puedes convertirlas en sistemas de seguridad sandbox. Aunque no ofrece un servicio directo, el incremento para las nuevas instancias es asequible y fácil de configurar.
Sí, AWS ofrece máquinas virtuales EC2. Con servidores dedicados, son indistinguibles de los servidores regulares en las instalaciones. Estos servidores permiten el sandboxing y las instancias de control de calidad en la consola de administración de AWS. A través de Amazon Connect, crea una nueva instancia, que luego dedicas a un sandbox.
