Al leer acerca de cómo funcionan el antivirus y el recinto de seguridad, entiendo que un AV analiza un archivo para ver si coincide con las firmas de virus conocidos. Se puede usar Sandbox para obtener los comportamientos de un archivo cuando se ejecuta. Sin embargo, no sé cómo se pueden usar los entornos limitados para detectar malware desconocido o no. ¿Podría por favor dejarme saber esto? ¡Gracias!
El software antivirus (AV) funciona según la idea de que puede decidir qué es malo, detectar qué programas hacen cosas malas y eliminarlos / desinstalarlos. Los sistemas de seguridad reactivos como el software AV requieren un buen conocimiento sobre las amenazas a las que se enfrenta, o sobre la diferencia entre el comportamiento malicioso y el normal. Eso los hace costosos e imprecisos.
Las cajas de arena operan con la idea de que no puedes decidir qué es bueno o malo, pero el usuario puede decidir en qué confían. Le brindan la capacidad de limitar o aislar a programas específicos para que, si hacen cosas malas, no dañen las cosas fuera de la caja de arena. La desventaja de los sistemas de confinamiento es que debe haber una forma lógica y simple para que el sistema o para sus usuarios decidan qué programas se limitan a dónde y cuáles también para hablar entre ellos.
Estos son conceptos completamente diferentes, y las dos familias de herramientas se pueden usar en conjunto. Es el caso de sistemas operativos como Windows, donde todas las aplicaciones de la tienda se ejecutan dentro de un recinto de seguridad, y el software AV se puede usar para detectar modificaciones en el sistema o para detectar la instalación de un malware conocido (que podría o no estar protegido). / p>
Desde una perspectiva teórica, el uso del confinamiento transforma el problema de clasificar / dar sentido a los comportamientos de aplicación en un problema de decidir qué propiedades de seguridad tienen un conjunto de límites arbitrarios entre actores no confiables. En lo que a mí respecta, existe una amplia evidencia experimental de que el enfoque anterior está condenado al fracaso, basado en el bajo rendimiento del software AV y el papel de la contextualidad en decidir si un comportamiento determinado del programa es malicioso o no.
Estas son dos cosas bastante diferentes. Un poco simplificado:
Un AV es un software que puede (¿entre otras cosas?) escanear su sistema para identificar e intentar aislar y eliminar amenazas como virus u otro malware.
Por otro lado, un arenero, es básicamente un contexto en el que un software puede ejecutarse aislado del resto del mundo. Los applets de Java que se ejecutan en un navegador son un ejemplo clásico, como debería ser Flash (aunque aparentemente no está tan aislado y seguro como sería ideal): estos son contextos donde los programas pueden ejecutarse sin tener acceso a recursos en la máquina host ( su PC), como su sistema de archivos, etc.
Otro ejemplo puede ser un conjunto de máquinas virtuales. Puede crear su propio "laboratorio de virus" configurando varias máquinas virtuales que ejecuten diferentes sistemas operativos y luego vincularlas entre sí en una red interna, que solo será visible para esas máquinas virtuales. Ahora puede experimentar ejecutando malware en estas máquinas y ver cómo las afecta y cómo se afectan unas a otras, sin afectar nada fuera de su red virtual.
Otra forma de pensar en pensar en una caja de arena es como (idealmente) un tipo de acuario de software digital .