سندباکس ابری: رویکرد برتر به امنیت شبکه

موسسه خبری سایبربان: مفهوم سندباکس، موضوع جدیدی نیست؛ تنها چند سال پیش بود که این مفهوم وارد ادبیات رایج امنیت شده و سازمان‌ها از تجهیزات سندباکیسنگ برای یافتن بدافزارها استفاده کردند. اکنون که نتایج استفاده از این فناوری چشمگیر بوده صحبت‌ها و انتقاداتی در مورد توانایی‌ها و خصوصاً محدودیت‌های آن مطرح شده است.

این انتقادات به خوبی در مقاله‌ای توسط گانتر المن، مدیر ارشد فناوری‌های IOActive بیان شده‌اند. وی در این مقاله می‌گوید که تامین‌کنندگان نرم‌افزاری که ادعا می‌کنند این رویکرد تمام APTها و حملات هدفمند را متوقف خواهد ساخت، کاملاً اشتباه می‌کنند زیرا تجهیزات سندباکسینگ دارای مشکلات زیر هستند:

در برابر حملات هدفمندی که نیازمند انجام اقدامات خاص توسط کاربر هستند، ناتوانند؛

در برابر تهدیدهایی که رایانه‌های کمتر رایج، مانند سامانه‌های ۶۴ بیت و یا اپل، اندروید، لینوکس و یا دستگاه‌های غیرویندوزی را هدف قرار می‌دهند، مؤثر نیستند؛

در پاسخ به این مسأله باید گفت که حرف المن صحیح و هشدار او مهم است: تجهیزات سندباکسینگ نمی‌توانند جایگزین راهکارهای امنیتی فعلی شوند، و تامین‌کنندگانی را  که خلاف این موضوع را تبلیغ می‌کنند، در نهایت خوشبینی، می‌توان به تبلیغات بیش از حد متهم کرد، و در نهایت بدبینی، به فریبکاری. در واقع، سندباکسینگ تنها می‌تواند یک سامانه‌ی موجود را تقویت کند، نه اینکه جایگزین آن شود.

اما با وجود این، سندباکسینگ به هیچ وجه رو به افول نیست. سندباکس می‌تواند (و باید) بخش مهمی از امنیت شبکه باشد؛ البته به شرطی که شرکت‌ها رویکرد خود را به این مفهوم، به سطح بالاتری انتقال دهند. چقدر بالاتر؟ تا ابرها!

سه دلیل مهم وجود دارد که نشان می‌دهد سندباکس مبتنی بر ابر به لحاظ کیفی از تجهیزات معمولی سندباکس، موثرتر هستند:

    سندباکس مبتنی بر ابر، دچار محدودیت‌های سخت‌افزاری نبوده و به همین دلیل، مقیاس‌پذیر و منعطف‌تر است. در نتیجه آن‌ها می‌توانند بدافزارها را طی ساعت وحتی روزها تحت نظر قرار داده – بر خلاف چند ثانیه یا دقیقه‌ تجهیزات معمولی – و پروفایل کاملی از تهدیدهای هدفمند (مانند بدافزاری که از یک گزارش جعلی Mandiant APT1 استفاده می‌کرد) ایجاد کنند. آن‌ها همچنین توانایی فعال کردن حملات «بمب ساعتی» را  که در تاریخ و ساعت خاصی فعال می‌شوند (مانند بدافزار Shamoon)، نیز دارند.
    سامانه‌های سندباکس مبتنی بر ابر را می‌توان به آسانی با هر نوع سامانه‌ی عامل و هر نسخه‌ای، حتی آن‌هایی که جزو پیش‌فرض‌های تجهیزات سندباکس نیستند، به روز رسانی کرد. حتی شرکت‌ها می‌توانند با بارگذاری اطلاعات مورد نیاز خود، یک محیط سافرشی را در آن ایجاد کنند.
    سندباکس ابری به محیط جغرافیایی خاصی محدود نیستند. به عنوان مثال، گاهی اوقات مهاجمین دفترهایی را مورد حمله قرار می‌دهند که در ناحیه‌ای جدای از محل استقرار تجهیزات سندباکس (معمولاً دفتر اصلی شرکت) قرار دارند.در نتیجه تجهیزات سندباکس به بدافزار واکنش نشان نخواهد داد، زیرا ارتباطات آن در منطقه‌ی دیگری در حال انجام گرفتن هستند. اما سندباکس ابری دچار این مشکل نخواهد شد و به بدافزارها امکان اجرا از هر نقطه‌ای در جهان را خواهد داد.

 

بنا به این دلایل، می‌توان به آسانی متوجه شد که چرا سندباکسینگ ابری برای هرکسی که وظیفه‌ی دفاع از شبکه در برابر حملات را بر عهده دارد، مناسب است (ضمناً به دلیل اینکه نیاز به خرید سخت‌افزار یا نرم‌افزار جدید نیست، مدیران مالی و مسئولین هزینه‌های شرکت، از این انتخاب کاملاً راضی خواهند بود).

البته نباید مجدداً به اشتباهی که برخی از تامین‌کنندگان تجهیزات سندباکسینگ مرتکب شدند، دچار شویم. سندباکسینگ ابری این قدرت را ندارد که به طور جادویی ۱۰۰٪ تهدیدات هدفمند و APTها را از میان ببرد. این کار غیر ممکن است و هرگز اتفاق نخواهد افتاد.

در نتیجه، بهترین رویکرد، تکیه بر سندباکسینگ ابری، به همراه مقابله با بات‌نت، تحلیل گزارش ترافیک داده‌ها با تجهیزات ابری، تجهیزات امنیتی، ابزارها و فناوری‌ها، برای ایجاد یک سامانه‌ی جامع امنیت شبکه است؛ سامانه‌ای که تمام موارد را در خود داشته باشد و به شرکت‌ها توان مبارزه با جرائم سایبری شدیداً پیچیده، مخرب و دارای سرمایه‌ی فراوان را بدهد.