ما هو وضع الحماية؟

Q: Can sandboxing protect against all types of malware?

في حين أن وضع الحماية هو أداة فعالة لاكتشاف وعزل العديد من أنواع البرامج الضارة ، إلا أنه قد لا يلتقط جميع التهديدات. يمكن لبعض البرامج الضارة التهرب من اكتشاف وضع الحماية عن طريق تغيير سلوكها أو تأخير التنفيذ. يمكن أن يساعد استخدام نهج أمني متعدد الطبقات في مواجهة هذه التحديات.

يونيو 13, 2023 ب OPSWAT

شارك هذا المنشور

عندما أصبحت أجهزة الكمبيوتر القابلة للبرمجة سائدة ، واجه مطورو البرامج مشكلة ، "كيف يمكنك إنشاء بيئة معزولة لاختبار التعليمات البرمجية دون التعرض لخطر إتلاف النظام؟". كانت الإجابة هي إنشاء مساحة آمنة تسمى وضع الحماية - بيئة مقيدة للغاية لتشغيل التعليمات البرمجية غير الموثوق بها - حيث يمكنك تفجير الملفات التنفيذية دون القلق بشأن كسر بيئة الإنتاج.

اتضح أن هذا "الملعب" الافتراضي يعمل بشكل جيد وتم توسيعه ليشمل البحوث الأمنية حيث يمكن تشغيل البرامج التي يحتمل أن تكون ضارة أو غير موثوق بها بأمان دون التأثير على الأجهزة المادية للجهاز المضيف أو المساس بالبيانات الحساسة. من خلال حصر التعليمات البرمجية التي يحتمل أن تكون غير موثوق بها في بيئة افتراضية خاضعة للرقابة ، يسمح وضع الحماية للباحثين بإجراء تحليل نشط واكتشاف أنماط سلوك البرامج الضارة المحتملة. في سياق البحوث الأمنية ، تستخدم أنظمة وضع الحماية بشكل أساسي في "التفجير الآلي" للبرامج الضارة واكتشاف البرامج الضارة غير المعروفة عبر تحليل سلسلة الهجوم الكامل واكتشاف نمط السلوك.

سنلقي نظرة على تاريخ بيئات وضع الحماية وكيف يتم استخدامها من قبل محللي الأمن لمحاربة التهديدات المراوغة للغاية والقابلة للتكيف.

ما هو وضع الحماية؟
تاريخ بيئات وضع الحماية
لماذا يوجد وضع الحماية في الأمن السيبراني
أهمية أمن وضع الحماية
أنواع تقنيات وضع الحماية
فوائد وضع الحماية
التحديات والقيود
أفضل الممارسات لوضع الحماية الفعال
Sandbox الأسئلة الشائعة

ما هو وضع الحماية؟

Sandboxing هي ممارسة للأمن السيبراني تستخدم بيئة تفجير معزولة، أو "صندوق رمل"، حيث تقوم فرق الأمن بتفجير ومراقبة وتحليل واكتشاف وحظر القطع الأثرية المشبوهة كجزء من دورة الاستجابة للحوادث في مركز عمليات الأمن (SOC). توفر هذه الطريقة طبقة إضافية من الدفاع ضد ناقلات الهجمات المجهولة.

رسم تخطيطي لعملية تحليل البرامج الضارة المتقدمة في بيئة وضع الحماية

من خلال استخدام وضع الحماية ، يمكن لفرق الأمان إجراء تحليل متقدم للبرامج الضارة عن طريق تشغيل الملفات المشبوهة في بيئة منفصلة تحاكي نظام تشغيل المستخدم النهائي. تتمثل الفائدة الرئيسية لوضع الحماية في مراقبة سلوك الملفات القابلة للتنفيذ أو البرامج النصية أو المستندات الضارة وبالتالي تمكين اكتشاف البرامج الضارة الجديدة وغير المعروفة تماما - أو حتى البرامج الضارة المصممة للتنفيذ في بيئة معينة. إنها الخطوة التطورية التالية بعد الكشف المستند إلى التوقيع الذي تنفذه محركات مكافحة الفيروسات (AV).

تاريخ Sandbox البيئات

وضع الحماية هو مصطلح غامض إلى حد ما في علوم الكمبيوتر يشير إلى مجموعة متنوعة من التقنيات. من منظور أمن البرمجيات ، تم تطويره كتقنية لتحقيق عزل الخطأ في عام 1993. على نطاق أوسع ، فإن مفهوم التجريب في بيئة آمنة له جذور في تخصصات متعددة بما في ذلك الجيش وهندسة البرمجيات والإحصاء والعلوم الاجتماعية.

في الآونة الأخيرة ، أدى وضع الحماية إلى تطوير مجالات النظام الديناميكية أو "الحاويات الموثوقة" على أنظمة تشغيل Sun و "السجون" على نظام التشغيل FreeBSD. تسمح آليات الأمان هذه بتفجير البرامج في مناطق معزولة داخل نظام التشغيل دون التأثير على النظام.

في الوقت الحاضر ، تستخدم تقنيات وضع الحماية بشكل شائع في بحوث الأمان من قبل العديد من مطوري البرامج والمتخصصين في مجال الأمن. جعلت المحاكاة الافتراضية أيضا صناديق الحماية متاحة على نطاق أوسع للمستخدمين النهائيين.

لماذا يوجد وضع الحماية في الأمن السيبراني

في مجال الأمن السيبراني ، اكتسب وضع الحماية شعبية بسبب الوجود المتزايد للبرامج الضارة المراوغة والتهديدات المتقدمة. يستخدم وضع الحماية بشكل عام من أجل:

تفجير Software المشبوهة	يستخدم باحثو الأمن وضع الحماية لتحليل سلوك البرامج الضارة ودراسته بأمان. من خلال تفجير التعليمات البرمجية الضارة في بيئة خاضعة للرقابة ، يمكنهم تحديد التهديدات المحتملة وتطوير تدابير مضادة دون المساس بالنظام المضيف.
عزل العملية	للتخفيف من استغلال الضعف. فكر في PDF (adobe) أو Chrome اللذين يستخدمان تقنية وضع الحماية. على وجه التحديد ، تم استغلال PDF - لسنوات - مرارا وتكرارا ، مما دفع بنية عزل العملية.
صيد التهديدات	يُمكّن وضع الحماية صائدي التهديدات من معرفة سلوكيات وخصائص البرمجيات الخبيثة الناشئة، مما يساعدهم على البحث عن تهديدات مماثلة.

أهمية أمن وضع الحماية

ترك وضع الحماية علامة كبيرة على صناعة الأمن السيبراني ، حيث وصل حجم السوق إلى 8.1 مليار دولار أمريكي في عام 2022 ، وفقا لبحث أجرته Future Market Insights.

تنامي مشهد التهديدات السيبرانية

زيادة تطور الهجمات السيبرانية

نظرا لأن مجرمي الإنترنت يطورون هجمات أكثر تقدما واستهدافا بقصد ضار ، فقد أصبح وضع الحماية أمرا بالغ الأهمية بشكل متزايد في اكتشاف هذه التهديدات ومنعها قبل أن تتسبب في ضرر.

صعود مآثر يوم الصفر

تشكل عمليات استغلال يوم الصفر ، والتي تستفيد من نقاط الضعف غير المعروفة سابقا ، خطرا كبيرا على المؤسسات. يساعد وضع الحماية على تحديد هذه التهديدات وتحليلها ، مما يوفر رؤى قيمة لتطوير التدابير المضادة.

انتشار أجهزة إنترنت الأشياء (IoT)

أدى النمو السريع لأجهزة إنترنت الأشياء إلى توسيع سطح الهجوم لمجرمي الإنترنت. يمكن أن يساعد وضع الحماية في تأمين هذه الأجهزة عن طريق عزل التطبيقات وتقييد الوصول إلى البيانات الحساسة.

أنواع تقنيات وضع الحماية

هناك نوعان أساسيان من تقنيات وضع الحماية: مستوى نظام التشغيل ومستوى التطبيق.

مستوى نظام التشغيل

الأجهزة الافتراضية
الجهاز الظاهري (VM) هو شكل من أشكال وضع الحماية الذي يحاكي الأجهزة لتشغيل مثيلات متعددة من نظام التشغيل. توفر الأجهزة الظاهرية مستوى عال من العزل بين أنظمة المضيف والضيف، مما يسمح للمستخدمين بتشغيل البرامج غير الموثوق بها بأمان أو إنشاء بيئات منفصلة لمهام مختلفة.

Container
الحاويات هي شكل خفيف الوزن من المحاكاة الافتراضية التي تشترك في نواة نظام تشغيل المضيف ، ولكنها أيضا تعزل التطبيق وتبعياته. يوفر هذا النهج استخداما أكثر كفاءة للموارد مقارنة بالأجهزة الظاهرية مع الحفاظ على مستوى عال من العزلة.

مضاهاه
وضع الحماية للمحاكاة هو بيئة افتراضية حيث يمكن محاكاة البرامج أو الأنظمة أو محاكاتها لغرض الاختبار أو التفجير أو التحليل الأمني. تخلق صناديق رمل المحاكاة بيئة معزولة للبرامج أو الأنظمة ، وتحميها من نظام التشغيل المضيف والتطبيقات الأخرى لتقليل مخاطر التلف أو التداخل. تتضمن صناديق الحماية هذه تدابير أمنية لمنع البرامج الضارة أو البرامج الضارة من الهروب والتأثير على النظام المضيف. وجدوا تطبيقا مكثفا في الأمن السيبراني لتفجير وتحليل البرامج الضارة والتهديدات بأمان. MetaDefender Sandbox بمثابة مثال على وضع الحماية القائم على المحاكاة. بالإضافة إلى ذلك ، فهي تثبت قيمتها لاختبار توافق البرامج عبر أنظمة التشغيل المختلفة وتكوينات الأجهزة.

كيف يمكن مقارنة وضع الحماية القائم على المحاكاة بحاوية أو جهاز ظاهري؟

يختلف وضع الحماية القائم على المحاكاة ، مثل Qiling أو QEMU ، عن الحاوية أو الجهاز الظاهري بعدة طرق:

تحاكي صناديق الحماية المستندة إلى المحاكاة بنية الأجهزة الأساسية ، بينما تشترك الأجهزة والحاويات الظاهرية في بنية الأجهزة المضيفة الأساسية. هذا يعني أن صناديق الحماية المستندة إلى المحاكاة يمكنها تشغيل التعليمات البرمجية من بنى مختلفة ، مثل ARM على جهاز يستند إلى x86 ، بينما لا يمكن للأجهزة والحاويات الظاهرية.
عادة ما تحتوي صناديق الحماية القائمة على المحاكاة على حمل أعلى من الأجهزة أو الحاويات الظاهرية ، حيث يتم تشغيلها في بيئة تمت محاكاتها بالكامل. هذا يمكن أن يجعلها أبطأ وأكثر كثافة في استخدام الموارد.
عادة ما تكون صناديق الحماية المستندة إلى المحاكاة أكثر عزلة وأمانا من الأجهزة أو الحاويات الظاهرية ، لأنها لا تشترك في نواة نظام التشغيل المضيف أو الموارد الأخرى. هذا يجعلها خيارا جيدا لتحليل واختبار البرامج الضارة أو غيرها من التعليمات البرمجية التي يحتمل أن تكون ضارة.
عادة ما تكون الحاويات والأجهزة الافتراضية أسهل في الإعداد والاستخدام من صناديق الحماية القائمة على المحاكاة ، لأنها تستند إلى تقنيات راسخة مدعومة على نطاق واسع.

بشكل عام ، تعد صناديق الحماية القائمة على المحاكاة أداة قوية لتحليل واختبار البرامج والأنظمة في بيئة خاضعة للرقابة ، ولكنها تحتوي على نفقات عامة أعلى ويمكن أن يكون إعدادها واستخدامها أكثر صعوبة من الأجهزة أو الحاويات الافتراضية. يعتمد اختيار التكنولوجيا التي يجب استخدامها على المتطلبات المحددة لحالة الاستخدام.

مستوى التطبيق

أغلفةSoftware
هذه تعمل كطبقة واقية حول أحد التطبيقات، مما يحد من امتيازاته ويتحكم في وصوله إلى موارد النظام. هذا النوع من وضع الحماية مفيد لتقييد التطبيقات التي يحتمل أن تكون ضارة مع السماح لها بالعمل.

صناديق رمل متصفح الويب
تستخدم متصفحات الويب الحديثة تقنيات وضع الحماية لعزل محتوى الويب عن نظام المستخدم. يساعد هذا في حماية بيانات المستخدم من مواقع الويب أو البرامج النصية الضارة التي قد تحاول استغلال الثغرات الأمنية في المستعرض أو نظام التشغيل.

فوائد وضع الحماية

يوفر وضع الحماية مجموعة واسعة من المزايا الأمنية التي تعزز وضع المؤسسة ضد المخاطر الأمنية غير المعروفة والمعروفة.

أمان مُعزَّز

يوفر وضع الحماية طبقة إضافية من الأمان من خلال اكتشاف البرامج الضارة والبرامج الضارة وعزلها. من خلال تنفيذ التعليمات البرمجية المشبوهة في بيئات اختبار وضع الحماية ، يمكن للمستخدمين تقليل مخاطر الانتهاكات الأمنية وحماية بياناتهم القيمة.

الحماية من التهديدات المجهولة

يعد استخدام وضع الحماية طريقة موثوقة لمنع التهديدات المجهولة أو البرامج الضارة المتقدمة التي تتهرب من طرق الكشف المباشرة. يمكن أن تفلت تهديدات يوم الصفر من آليات الكشف القائمة على التوقيع، لذا فإن تشغيلها في بيئة آمنة ومعزولة يحمي المؤسسات من الهجمات الكارثية.

ذكاء أفضل قابل للتنفيذ

المعرفة قوة، ويوفر اختبار وضع الحماية كنزا دفينا من الذكاء القابل للتنفيذ الذي يمكن المؤسسات من إنشاء ملف تعريف واضح للتهديدات، والذي سيكون مفيدا للغاية لمنع التهديدات المماثلة في المستقبل.

قيود وتحديات وضع الحماية

النفقات العامة للأداء وقابلية التوسع

أحد القيود الأساسية لوضع الحماية هو الأداء العام المرتبط بالمحاكاة الافتراضية. قد يتطلب تشغيل التطبيقات في وضع الحماية موارد إضافية، مما يؤدي إلى أوقات تنفيذ أبطأ. عادة ما يكون من غير العملي وضع الحماية لكل ملف في بيئة بدون بنية تحتية كبيرة. لذلك ، عادة ما يتم دمج وضع الحماية كتقنية إضافية ضمن مسار معالجة أوسع.

تقنيات التهرب

يعمل مطورو البرامج الضارة باستمرار على تطوير تقنيات جديدة للتهرب من الكشف. من خلال تحديد أنها تعمل في بيئة رمل ، يمكن لهذه البرامج المشبوهة تغيير سلوكها أو تأخير التنفيذ لتجاوز التحليل والكشف. لهذا السبب ، يعد أمان وضع الحماية أيضا عاملا مهما يجب أخذه في الاعتبار.

درجة عالية من التعقيد

يمكن أن يكون تنفيذ بيئات وضع الحماية وصيانتها أمرا معقدا ويستغرق وقتا طويلا. تحتاج المنظمات إلى التأكد من أن لديها الخبرة والموارد اللازمة لإدارة هذه البيئات بفعالية.

أفضل الممارسات لوضع الحماية الفعال

خلق بيئة ذهبية

يكمن التحدي الأساسي في تحليل العينات عبر بيئات مختلفة ، أو بشكل مثالي ، على البيئة المستهدفة بالضبط إذا تم توحيد جميع نقاط النهاية. على سبيل المثال ، ضع في اعتبارك ثغرة يتم تنشيطها فقط على Adobe Reader v9. بدون اختبار العينات مقابل مجموعة واسعة من إصدارات Adobe ، يصبح من الصعب تشغيل الاستغلال. نظرا للمجموعات اللانهائية من مكدسات وبيئات التطبيقات ، فإن النهج الأمثل هو إنشاء بيئة افتراضية تعمل بمثابة "بيئة ذهبية" تحاكي إعداد نقطة النهاية المبسط. من الناحية المثالية ، فإن جميع نقاط النهاية في بيئة الشركة "تبدو متشابهة" وتستخدم نفس مكدس التطبيق والإصدار.

استخدم حواجز حماية أمنية لجهاز افتراضي

لتحسين أمان وضع الحماية، قم دائما بتثبيت حواجز حماية أمنية تكتشف معلومات التعريف الشخصية الحساسة أو البيانات الحساسة عند استخدام وضع الحماية. يمكن لبعض حواجز الحماية أيضا منع البرامج الضارة من الابتعاد عن بيئة الحماية.

تحقق من وجود نتائج إيجابية خاطئة عن طريق إرسال ملفات غير ضارة

يمكن أن تتسبب النتائج الإيجابية الخاطئة في إلحاق الضرر بسير عمل مؤسستك ، مثل IT يتعين على الخبراء إجراء مزيد من التحليل للتأكد من أن الملفات آمنة. للحفاظ على الإيجابيات الخاطئة إلى الحد الأدنى ، ضع في اعتبارك إضافة ملفات غير ضارة إلى وضع الحماية بين الحين والآخر. إذا تم اكتشاف نتيجة إيجابية خاطئة ، فقد تكون هناك مشكلة في تعريفات وضع الحماية.

اتبع نهج أمان متعدد الطبقات

لا ينبغي الاعتماد على وضع الحماية كإجراء أمني وحيد. يكون أكثر فاعلية عند دمجه مع أدوات وممارسات الأمان الأخرى ، مثل جدران الحماية وأنظمة كشف التسلل والمسح الإرشادي. يوفر تنفيذ استراتيجية الدفاع المتعمق طبقات متعددة من الحماية ، مما يجعل من الصعب على المهاجمين اختراق النظام.

مراقبةSoftware Sandbox باستمرار بحثاً عن التعليمات البرمجية الضارة

تعد صناديق الحماية التي تتيح المراقبة المستمرة أصولا قيمة لصائدي التهديدات وخبراء الأمن. إن معرفة كيفية إرسال البرامج الضارة للطلبات والتفاعل مع بيئة الاختبار المعزولة يساعدها في الحصول على معلومات استخباراتية قيمة قابلة للتنفيذ لعمليات الأمان المستقبلية.

استنتاج

يعد وضع الحماية حلا أمنيا قيما في مجال الأمن السيبراني الحديث ، حيث يوفر وسيلة قوية لحماية المساحات الرقمية. يسمح بالتنفيذ الآمن لرمز البرامج غير الموثوق به ، وتحليل البرامج الضارة ، والاختبار المتحكم فيه للتطبيقات الجديدة ، مع الحد أيضا من وصول التطبيقات إلى البيانات والموارد الحساسة.

Sandbox الأسئلة المتداولة

س: هل يمكن أن يحل وضع الحماية محل برامج مكافحة الفيروسات التقليدية؟

ج: وضع الحماية ليس بديلا عن برامج مكافحة الفيروسات التقليدية. يكون أكثر فاعلية عند دمجه مع أدوات وممارسات الأمان الأخرى ، مثل جدران الحماية وأنظمة كشف التسلل وبرامج مكافحة الفيروسات ، لإنشاء استراتيجية شاملة للدفاع في العمق.

س: هل يمكن أن يحمي وضع الحماية من جميع أنواع البرامج الضارة؟

ج: على الرغم من أن وضع الحماية هو أداة فعالة لاكتشاف العديد من أنواع البرامج الضارة وعزلها ، إلا أنه قد لا يلتقط جميع التهديدات. يمكن لبعض البرامج الضارة التهرب من اكتشاف وضع الحماية عن طريق تغيير سلوكها أو تأخير التنفيذ. يمكن أن يساعد استخدام نهج أمني متعدد الطبقات في مواجهة هذه التحديات.

س: هل يمكن أن يؤثر وضع الحماية على أداء نظامي أو تطبيقاتي؟

ج: يمكن أن يؤدي وضع الحماية إلى تقديم حمل على الأداء بسبب الموارد الإضافية اللازمة للمحاكاة الافتراضية أو العزل. يمكن أن يختلف هذا التأثير اعتمادا على تقنية وضع الحماية والتطبيق المحدد الذي يتم وضع الحماية فيه.

س: ما هي بيئة وضع الحماية ل Windows؟

ج: يوفر Windows Sandbox بيئة سطح مكتب خفيفة الوزن لتشغيل التطبيقات بأمان بمعزل عن غيرها. وتبقى Software المثبتة داخل بيئة صندوق الرمل "في وضع الحماية" وتعمل بشكل منفصل عن الجهاز المضيف. صندوق الرمل مؤقت. عندما يتم إغلاقه، يتم حذف جميع البرامج والملفات والحالة.

العلامات: