Sandboxing

Qué es Sandboxing y cómo funciona

Sandboxing, qué es y como funciona

Analizar la tecnología para saber que és sandboxing y como funciona, ayudandonos a implementar más seguridad.

Cada día surgen nuevas formas de robar datos o instalar programas maliciosos. Una de las herramientas más peligrosas, en la que todos pasamos mucho tiempo, es la World Wide Web.

Los ciberdelincuentes pueden intentar acceder a la red de una empresa o de un individuo colocando URLs, archivos adjuntos y falsos en correos electrónicos de phishing o instalando enlaces engañosos. No faltan formas de robar datos.

La seguridad en Internet, especialmente Secure Web Gateway, puede bloquear estas solicitudes y utiliza un software de sandboxing basado en la nube para detectar intenciones maliciosas.

 

¿Qué es Sandboxing y cómo funciona?

El término «sandboxing» se refiere al método de utilizar un entorno aislado, o «sandbox», para las pruebas. En sí funciona de una manera aislada, replicando a tu sistema, pero protegiendo tu ordenador y red en caso de proglmeas de seguridad. Después de acceder a la URL, puede ejecutar el programa o hacer clic en el archivo adjunto y ver qué sucede.

Con el sandboxing, el resto de la red está protegida de los efectos negativos de cualquier cosa que se encuentre en el sandbox. Es importante que sea segura y refleje con exactitud el rendimiento de la unidad central de procesamiento (CPU) de los servidores.

Saber qué es y cómo funciona el sandboxing es muy eficaz para defenderse de las amenazas de día cero, que son amenazas que nunca se han visto antes o que coinciden con el malware conocido. Mientras que los filtros de correo electrónico normales pueden analizar los mensajes en busca de remitentes, tipos de archivo y URL maliciosos, las amenazas de día cero aparecen constantemente y pueden ser ignoradas por el filtrado tradicional. El sandboxing ofrece un mayor nivel de protección, especialmente cuando el correo electrónico malicioso elude los filtros establecidos por el proveedor.

Cuando se utiliza el sandboxing para las pruebas, se crea un lugar seguro para instalar y ejecutar un programa, especialmente un programa sospechoso, sin comprometer el resto del sistema. Si la aplicación contiene código malicioso, puede ejecutarse  sin afectar a otras partes de la red.

¿Qué es el entorno de sandboxing ?

Un «entorno aislado» es un campo de pruebas seguro que aísla el código que necesita ser probado o los experimentos que tienen el potencial de afectar a otros aspectos de su red.

Los entornos «sandbox» pueden adoptar muchas formas. Aunque algunas empresas utilizan el sandboxing únicamente para realizar pruebas, también es una herramienta valiosa para otros fines importantes. Uno de estos propósitos es la integración de proyectos. Integrar varias construcciones o aspectos de un proyecto puede ser un reto. Sin embargo, con el sandboxing se puede comprobar la compatibilidad para asegurarse de que la solución se desarrolla correctamente.

El sandboxing también permite a los clientes utilizar nuevos productos y funciones. Por ejemplo, puede realizar demostraciones de ventas en un «entorno aislado» que puede incluir vídeo y otros elementos multimedia, y con un entorno seguro, los clientes pueden salir con la misma experiencia que tendrían al acceder a su sistema real. El sandboxing permite a su empresa interactuar con clientes nuevos y existentes. Pueden probar su software a su propio ritmo, estén donde estén.

También puede realizar pruebas de control de calidad (QA) en un entorno sandbox. El uso del «entorno aislado» para optimizar su solución le permite aislar los elementos problemáticos del código y luego corregirlos. El entorno protege el resto de su sistema dándole la oportunidad de ejecutar código en un ecosistema similar a su entorno de escritorio. Ya conocemos algo más qué es el sandboxing y cómo funciona.

Ventajas del sandboxing

Al conocer qué es y cómo funciona Sandboxing, nos da la ventaja del uso de un entorno aislado tiene el cual conlleva una serie de ventajas:

  • No pone en riesgo sus dispositivos y sistemas operativos. La principal ventaja del sandboxing es que evita que sus dispositivos y sistemas operativos estén expuestos a posibles amenazas.
  • Evalúa el software potencialmente malicioso en busca de amenazas. Si trabaja con nuevos proveedores o fuentes de software no confiables, puede probar el nuevo software para detectar amenazas antes de desplegarlo.
  • Pruebe los cambios de software antes de desplegarlos. Si está desarrollando un nuevo código, puede utilizar el sandboxing para evaluar las posibles vulnerabilidades antes de su publicación.
  • Amenazas de cuarentena de día cero. Con el sandboxing, puede poner en cuarentena y eliminar las amenazas de día cero.
  • Complementar otras políticas de seguridad. El aislamiento de procesos es una estrategia complementaria a sus otros productos y políticas de seguridad, que le ofrece una protección aún mayor.
Sandboxing, qué es y como funciona

El objetivo del sandboxing de aplicaciones

El sandboxing de aplicaciones tiene como objetivo mejorar la seguridad aislando y protegiendo las aplicaciones de intrusos externos o malware. También se utiliza cuando es necesario evitar que los recursos del sistema u otras aplicaciones interactúen con la aplicación protegida.

Este tipo de separación crea un entorno seguro en el que la aplicación puede funcionar sin riesgo de dañar todo el sistema. Este enfoque es especialmente útil cuando se ejecutan o prueban aplicaciones de fuentes no fiables (por ejemplo, desarrolladores desconocidos) o sitios web.

El sandboxing también mejora la integridad de las aplicaciones; permite a los desarrolladores cubrir las aplicaciones con políticas de seguridad o aislar y proteger las aplicaciones en su propia máquina virtual. Este último enfoque se conoce como microvirtualización.

Beneficios del sandboxing de aplicaciones

La principal ventaja de las «cajas de arena» para aplicaciones es el aumento de la seguridad. Al limitar el entorno en el que se puede ejecutar el código, los programadores protegen la aplicación de influencias externas, ya sean recursos del sistema o errores maliciosos, malware o hackers.

El uso de «cajas de arena» de aplicaciones también es útil por las siguientes razones:

  • Garantiza una experiencia de aplicación segura para los usuarios.
  • Evita que los usuarios accedan a entornos que no necesitan o a los que no deberían tener acceso.
  • Proporciona seguridad adicional en caso de errores causados por fallos o vulnerabilidades inesperadas.
  • Encapsula y aísla los errores humanos dentro de la caja de arena para que el entorno externo no se vea afectado.

Las principales empresas de software, como Apple y Google, confían en estas ventajas del sandbox para ofrecer entornos de aplicaciones seguros a sus usuarios.

Sandboxing en la nube

Para entender que es sandboxing y cómo funciona, nos englobamos dentro del entorno de ciberseguridad en la «caja de arena», que es un entorno utilizado para abrir archivos o ejecutar programas sin interferir o afectar al dispositivo en el que residen. La «caja de arena» se utiliza para probar el código o las aplicaciones que podrían ser maliciosas antes de colocarlas en los dispositivos.

En el ámbito de la ciberseguridad, se utiliza como recurso para probar el software que, en última instancia, puede clasificarse como «seguro» o «inseguro». Las amenazas informáticas y cibernéticas son cada vez más complejas. Las aplicaciones, conexiones y descargas maliciosas pueden obtener un acceso ilimitado a los datos de una red si no se comprueban primero con un software sandbox.

Por último,  un sandbox basado en la nube  proporciona una capa adicional de seguridad para analizar las amenazas y separarlas de la red. La seguridad de la red y de la web es una parte importante de la estrategia global de ciberseguridad de una empresa, ya que evita que las amenazas en línea comprometan las operaciones.

El sandboxing también puede utilizarse como herramienta para detectar ataques de malware similares y bloquearlos antes de que entren en la red. El sistema permite al departamento de TI probar el código y entender exactamente cómo funciona antes de introducir malware o virus en el dispositivo de punto final. Esto proporciona a los equipos de TI información y orientación sobre lo que deben tener en cuenta en otros escenarios.

Sandbox de Windows de Microsoft

Microsoft Windows Sandbox ofrece a los profesionales de TI un entorno de pruebas compacto y aislado en el que ejecutar aplicaciones de Windows 10.

Esta función sólo está disponible actualmente para los clientes de Windows Insider, pero estará disponible de forma general a finales de este año.El modo Sandbox de Windows funciona como una máquina virtual tradicional, pero sin la compleja instalación, los costes de licencia y otras complicaciones. No hay requisitos de hardware.

Las tecnologías del modo Sandbox de Windows se basan en Windows Containers, un entorno de ejecución portátil que puede utilizarse para distribuir las cargas de trabajo en contenedores. Microsoft ha rediseñado estas tecnologías para que se integren mejor en los equipos con Windows 10 y funcionen de forma más eficiente sin necesidad de accesorios.

Cómo funciona Windows Sandbox

Windows Sandbox aísla las instalaciones de aplicaciones dentro del entorno de sandbox del entorno de escritorio del host. Cuando la sesión termina, Windows Sandbox elimina la aplicación junto con cualquier cambio realizado en el sistema operativo anfitrión y devuelve el entorno a su estado original.

En el modo Sandbox de Windows, el departamento de TI puede probar aplicaciones que plantean riesgos de seguridad o ejecutar un ejecutable que pueda contener malware sin poner en peligro el sistema anfitrión. Los desarrolladores pueden utilizar el modo Windows Sandbox para probar una nueva aplicación en un entorno limpio.

Como cualquier VM, el modo Sandbox de Windows requiere su propio sistema operativo para ejecutar aplicaciones y gestionar el entorno sandbox. Para ello, Microsoft crea una imagen base dinámica que utiliza copias limpias de los archivos del sistema operativo anfitrión que se van a utilizar. La imagen base dinámica utiliza enlaces a los archivos del sistema operativo anfitrión que son inmutables. Esto permite comprimir el sistema operativo a 25 MB cuando no se utiliza sin consumir más de 100 MB.

Windows Sandbox utiliza instantáneas para acelerar el proceso de arranque. Las instantáneas permiten al sandbox arrancar una vez y almacenar el estado del procesador, la memoria y el dispositivo en el disco. El entorno Sandbox restaura entonces la memoria sin tener que pasar por todo el proceso de arranque.

Windows Sandbox incluye funciones avanzadas de gestión de memoria basadas en el kernel que permiten al sistema anfitrión recuperar la memoria de Windows Sandbox bajo demanda. Además, Windows Sandbox utiliza la «asignación directa», que permite al Sandbox utilizar las mismas páginas de memoria física que el sistema operativo anfitrión.

Microsoft está implementando una nueva tecnología llamada programador integrado que permite al sistema anfitrión determinar cuándo debe ejecutarse el Sandbox. El sistema operativo anfitrión trata los procesadores virtuales en el sandbox como si fueran hilos de proceso y ejecuta el sandbox de Windows como un proceso en lugar de una máquina virtual tradicional. De este modo, el sistema operativo base da prioridad a las operaciones del host sobre las que se ejecutan en el sandbox.

Los gráficos del modo Sandbox de Windows se benefician de la renderización acelerada por hardware, que puede mejorar el rendimiento y la capacidad de respuesta de las aplicaciones. Además, Windows puede asignar dinámicamente los recursos gráficos donde se necesiten en los entornos host y sandbox.

Sandboxing y aplicación basada en navegador

Los navegadores web pueden soportar una arquitectura de plug-in para aislar las aplicaciones. Los módulos que contienen código nativo pueden cargarse en el navegador. Esto permite descargar el contenido solicitado y llamar al plug-in asociado al tipo de objeto llamado en el contenido. Los plug-ins más comunes son Adobe Flash, Adobe Reader, Java, etc.

Chromium Native Client (NaCl) es un ejemplo de sandboxing que aborda específicamente el riesgo de ejecución de código nativo no fiable en un complemento y un navegador web. Chromium es el proyecto de código abierto detrás del navegador Google Chrome, y NaCl es el complemento del navegador diseñado para ejecutar de forma segura código nativo no fiable en un navegador.

NaCl, una «caja de arena» a nivel de usuario, funciona con una «caja de arena» interna y otra externa. El sandbox interno utiliza las capacidades de segmentación de la arquitectura IA-32 de Intel para aislar las áreas de memoria entre las aplicaciones. La caja de arena externa limita las funciones de la aplicación a nivel de las llamadas al sistema.

NaCl también admite dos categorías de código: código de confianza y de no confianza. El código de confianza puede ser ejecutado sin una caja de arena aislada. El código no confiable debe ser ejecutado dentro de una caja de arena aislada

Configuración

Configurar «una caja de arena» es increíblemente fácil. De hecho, sus dispositivos conectados a Internet serán aislados automáticamente.

La seguridad de la «caja de arena» del navegador ya está implementada para la mayoría de las plataformas. Cada página web que se carga ejecuta código JavaScript para proteger las páginas. Todo el contenido cargado en Adobe Flash Player también pasa por una caja de arena.

Las aplicaciones tienen que pedirnos permiso para acceder a la información porque trabajan en una caja de arena. Sin embargo, la seguridad de la caja de arena de Java es muy limitada. También es un objetivo habitual de los ataques debido a su amplio uso y a sus vulnerabilidades abiertas.

Algunos hackers pueden manipular fácilmente Java, pero no todas las cajas de arena. Los programas informáticos no siempre disponen de una caja de arena de ciberseguridad, y por defecto suele ser mínima.

Puede crear su propio entorno protegido para proporcionar seguridad adicional a toda su red.

Hazlo con máquinas virtuales, que son programas como VirtualBox o VMware. Estos crean un dispositivo de hardware virtual para ejecutar programas en otra ventana para que no puedan acceder al resto de su sistema.

Otra forma de realizar el sandboxing de puntos finales es utilizar Sandboxie, que ejecuta programas de Windows en entornos virtuales. La mayoría de las plataformas de Windows tienen medidas de seguridad de tipo sandboxing, pero son muy limitadas. Sandboxie complementa estas medidas de seguridad y evita que el software malicioso realice cambios en su ordenador.

También puede recurrir a la ayuda de empresas tecnológicas como GoGuardian. El software de filtrado y monitorización web de GoGuardian es una solución web completa. Analiza los correos electrónicos, los enlaces y los sitios web en busca de amenazas y los bloquea para los usuarios. Los hackers suelen utilizar certificados de cifrado falsos para engañar a los usuarios y a los ordenadores, pero los filtros web de GoGuardian analizan y verifican estos certificados. Si no se autentifican, se mantienen fuera de la red.

Utilización de sandboxing

  • Páginas web: Su navegador protege esencialmente las páginas web que carga. Las páginas web pueden ejecutar código JavaScript, pero este código no puede hacer lo que quiere: si el código JavaScript intenta acceder a un archivo local en su ordenador, la petición fallará.
  • Contenido de los complementos del navegador: el contenido cargado por los complementos del navegador -como Adobe Flash o Microsoft Silverlight- también se ejecuta en un entorno limitado. Jugar a un juego Flash en una página web es más seguro que descargar un juego y ejecutarlo como programa predeterminado, porque Flash aísla el juego del resto del sistema y limita sus capacidades. Los complementos del navegador, especialmente Java, son un objetivo habitual de los ataques que aprovechan las vulnerabilidades para saltarse este entorno limitado y hacer daño.
  • PDF y otros documentos: Adobe Reader ahora ejecuta los archivos PDF en una caja de arena para evitar que se escapen del visor de PDF y alteren el resto del equipo. Microsoft Office también cuenta con un modo sandbox que evita que las macros no seguras dañen el sistema.
  • Navegadores web y otras aplicaciones potencialmente vulnerables: los navegadores web se ejecutan en modo sandbox con bajos derechos de acceso para garantizar que no puedan hacer mucho daño en caso de ataque.
  • Aplicaciones móviles: Las plataformas móviles ejecutan sus aplicaciones en un entorno limitado. Las aplicaciones para iOS, Android y Windows 8 no pueden hacer muchas de las cosas que las aplicaciones estándar de escritorio pueden hacer. Tienen que dar permisos si quieren acceder a tu ubicación, por ejemplo. A cambio, obtenemos un cierto nivel de seguridad: la caja de arena también aísla las aplicaciones entre sí, para que no puedan manipularse.
  • Aplicaciones de Windows: El Control de Cuentas de Usuario funciona como una caja de arena, esencialmente impidiendo que las aplicaciones de escritorio de Windows modifiquen los archivos del sistema sin pedirte permiso primero. Tenga en cuenta que esto es sólo una protección mínima: cualquier programa de escritorio de Windows podría, por ejemplo, instalarse en segundo plano y registrar todas sus pulsaciones. El control de cuentas de usuario sólo restringe el acceso a los archivos y la configuración del sistema.
Recurso pedagógico
Llave de seguridad
Cursos de Ciberseguridad
Honegain, conócelo a fondo
Ir arriba