Check Point har lanserat en uppgradering av sin sandlådeteknik för att den ska kunna fånga upp attacker tidigare i processen och göra det lättare att hitta och identifiera skadlig kod.

I en sandlåda emuleras hot, det vill säga exekvera otestad kod eller otillförlig programvara från en icke-verifierad tredje part, leverantör, användare eller webbsida. Sandlådan är en fungerande kopia av den miljö som pro­grammet slutligen ska köras i, men sandlådan är isolerad från resten av systemet. Inget som händer i sand­lådan kan påverka något utanför den. I sandlådan utförs sedan serier av tester för att undersöka om programmet innehåller virus eller skadlig kod. Det är lätt att stoppa programmet om något misstänkt upptäcks. Främst används sandlådor till att undersöka användarnas e-post, enligt statistik från Check Points säkerhetsrapport för 2015 kom 52 procent av nolldagshoten från smittade PDF-filer.

Läs också: Meningsfull säkerhetsanalys av användare kräver hård gallring av data

SandBlast är en ny mjukvara som övervakar CPU:ns arbete och letar efter ovanliga händelser som pekar på att en angripare använder avancerade metoder som går förbi obemärkta i vanliga sandlådor.

Sandlådor har hittills försökt avgöra om filer, mejl och länkar är säkra genom att lägga dem i karantän och öppna dem i en virtuell miljö (sandlådor är ett bra exempel på virtualisering). Hackare har anpassat sig till sandlådorna som motmedel och därför utvecklat malware som kan vänta med att exekvera sin skadliga kod tills att sandlådan slutat att undersöka eller som kan ligga vilande tills att datorn som den angriper gör en omstart.

SandBlast motarbetar Return Oriented Programming (ROP). ROP återanvänder existerande maskinkod istället för att föra in sin egen kod. Då kan ROP köra skadlig kod på datafilerna även om de är skyddade av dataexekveringsskydd. Dataexekveringsskyddet är en säkerhetsfunktion som kan skydda datorn genom att övervaka program och kontrollera att de använder systemminnet på ett säkert sätt. Om ett program försöker köra kod från minnet på ett felaktigt sätt stängs programmet av.

ROP tar sig igenom genom att köra en bit kod för att tvinga filen att skapa en ny minnessida där skadlig skalkod kan laddas upp för att få utförandeprivilegier. Processorn får svara på anrop som återvänder till andra adresser än dem som skickade dem.

Läs också: Säkerhetsgurun Bruce Schneier: Läs inte den här artikeln

SandBlaster har en upptäcktsmotor på CPU-nivå som upptäckter anomalin och stänger av verksamheten. Motorn är tillgänglig antingen som en redskap i ett datacenter eller som en tjänst i Check Points moln.

Andy Feit, Check Point

Andy Feit, chef för hotförebyggande och övergripande strategi på Check Point kommenterar för TechWorld att sandlådor kräver en balans i policyn mot användarna. Det gäller att få användarna engagerade i systemets säkerhetsarbetet, samtidigt som systemägaren inte vill öppna upp för risker och att misstag görs. Feit rekommenderar att programvaran ställs in så användarna görs medvetna att de utsätts för phishingförsök, länkfällor eller malware och hur det gick till, fast först efteråt när hotet är avvärjt. Automatiseringen har nått IT-säkerhetens analys.

– Incidentreponsteamen är överarbetade idag. Det är också svårt att få tag i rätt kompetens till teamen. Det skulle vara bra om det gick att ta personal direkt från helpdesk till att kunna arbeta med säkerhet. SandBlast automatiserar jobbet den kritiska första timmen, så säkerhetspersonalen kan ta sig an viktigare uppgifter, säger Ande Feit.

SandBlast befinner sig nu i sluttestet och är redo att skeppas inom kort, troligen i början av juni. Programmet finns för Chrome, med versioner för IE och Firefox under utveckling.