Sandbox Sistemleri
Sandbox cihazlarının hepsi temel olarak aynı prensibe göre çalışır. Temel prensip, bir dosyanın hiçbir imza tarafından tetiklenmediği durumda, çalıştırıldığında bilgisayar üzerinde neleri değiştirdiği ve neler yapabildiğinin tespiti üzerinedir. Bu yüzden adı “zero day detection system” olarak da geçmektedir.
Farklılık çalışma metodlarında ortaya çıkar. Ancak buna değinmeden önce, gelişmiş sandbox cihazları bir dosyayı 30 ile 120 sn arasında analiz edebilir. Dosya analizi için üzerlerinde sanal işletim sistemleri barındırır ve bu sayı da genel olalrak büyük cihazlar için 50-100 dosya aralığındadır. Sandbox sistemleri dosyaları farklı şekilde tarayabilse de (simulation, emulation, virtuluzation), en doğru sonuç sanallaştırma ile gelmektedir. Bu durumda sanal makine üzerinde çalışan dosyaların, burada yaptığı değişiklikleri izleyerek, dosyanın zararlı olup olmadığına karar verebilir. Sandbox cihazları paralelde eş zamanlı çalıştırdığı sanal sistem sayısı kadar dosya tarayabilir. Bu bağlamda ortalama bir Sandbox cihazı 50-100 sanal sistem eş zamanlı çalıştırdığı durumda, bu da dakikada en fazla 75-150 dosya tarayabilmesine olanak sağlar. Eğer bizim sistemimizden dakikada örneğin 2000 dosya geçiyorsa, bu tüm dosyaların sandox tarafından taranamaması ile sonuçlanır. Hiçbir sandbox cihazı büyük network’lerde bu sebepten yeterli gelemez. Dolayısıyla farklı bir mekanizmaya ihtiyacımız otomatik olarak doğmaktadır. Bu sebepten, statik kod analizi, antivirus, whitelist v.b. ön filtreleme yapılarak sandbox’a trafik gelmelidir, aksi halde topolojiksel olarak sandbox görevini yapmak için gereken süreyi elde edemez. Sandbox ürünleri tercih edilirken aşağıdaki özelliklerin olması avantaj sağlar. • Elle Pattern imza yazabilme • İşletim sistemi özelleştirme • Uzantı bağımsız analiz, tüm dosya tiplerini analiz edebilme • Antivirüs ve Statik kod analizi entegrasyonlarına açık olması • Aksiyon alabilmesi için plug-in desteği
Sandox cihazları, api(açık entegrasyon), icap(web entegrasyon) ve smtp(entegrasyon) ile çalışmalıdır. Aksi halde her vektör için ayrı sandbox kullanılması gerekir bu da maliyetleri artırır. Flow base çalışan Sandbox’lar (Flow base firewall, inline network sandbox, span-mirror analiz) aktif olarak bloklama yapamaz. Bu da ilk tehditin içeri girmesine neden olur. ZeroDay koruması sağlamak için konumlandırılan bir ürünün, dosyayı geçirdikten sonra analiz etmesi mantıklı gözükmemektedir. Session’a hükmedilmesi gerektiğinden proxy-base teknolojiler kullanılmalıdır. Aksi halde yukarıda belirtilen sebeplerden etkin bir koruma sağlamaktan söz edilemez.