Um sandbox, dentro do contexto de segurança computacional, é um sistema que confina as ações de um aplicativo, como abrir um documento do Word ou um navegador, para um ambiente virtual isolado. Dentro desse ambiente virtual seguro, o sandbox estuda as várias interações de aplicativos para descobrir qualquer intenção maliciosa. Portanto, se algo inesperado ou perigoso acontecer, afetará apenas a sandbox, e não os outros computadores e dispositivos na rede.
A tecnologia Sandbox normalmente é gerenciada pela equipe de segurança da informação de uma organização, mas é usado por equipes de operações de rede, aplicativos e desktop para reforçar a segurança em seus respectivos domínios.
Os agentes de ameaças exploram vulnerabilidades em aplicativos legítimos para comprometer o dispositivo e, a partir de lá se movem pela rede para infectar outros dispositivos. Explorar uma vulnerabilidade desconhecida é conhecido como ataque de dia zero. Antes do sandboxing, não havia meios eficazes para parar um dia zero ataque. Firewalls e software antivírus podiam parar ameaças conhecidas, mas eram impotentes contra ataques de dia zero.
Um sandbox fornece um ambiente virtual isolado que imita vários dispositivos de computador, sistemas operacionais e aplicativos. Assim ameaças potenciais ocorrem dentro da segurança de esses sistemas virtuais. Se o sandbox detectar intenção maliciosa, o arquivo poderá ser colocado em quarentena ou a atividade pode ser interrompida no dispositivo real.
As sandboxes hoje estão equipadas com mais ferramentas de integração ou em parceria com outros fornecedores de produtos para melhorar a integração. Como resultado, eles podem compartilhar inteligência de ameaças com outros dispositivos de segurança, como firewalls, gateways de e-mail, endpoints e outros dispositivos Sandbox com mais eficiência. A nova abordagem a segurança de rede permitiu que os analistas correlacionassem a inteligência de ameaças de forma centralizada e responda a ameaças a partir de um único painel.
Hoje, os agentes de ameaças estão inovando a automação e as técnicas de Inteligência Artificial IA para acelerar a criação de novas variantes e explorações de malware e descobrir segurança vulnerabilidades mais rapidamente, com o objetivo de evadir e sobrecarregar as defesas atuais. Para acompanhar e acelerar a detecção dessas novas ameaças, é imperativo que o Al-learning seja adicionado ao processo de análise de ameaças do sandbox.
Por fim, à medida que mais empresas adotam a transformação digital, surgem novas organizações ou partes de organizações expostas a ataques. Um exemplo são organizações que oferecem aplicativos, plataformas e infraestrutura como serviços na nuvem pública — AWS e Azure para citar alguns. Essas novas áreas exigem proteção semelhante contra ameaças de dia zero para minimizar a interrupção dos negócios e os riscos de segurança. Como resultado, a tecnologia sandbox evoluiu para fornecer uma cobertura mais ampla para essas áreas e outras à medida que elas se desenvolvem.