El software antivirus (AV) funciona según la idea de que puede decidir qué es malo, detectar qué programas hacen cosas malas y eliminarlos / desinstalarlos. Los sistemas de seguridad reactivos como el software AV requieren un buen conocimiento sobre las amenazas a las que se enfrenta, o sobre la diferencia entre el comportamiento malicioso y el normal. Eso los hace costosos e imprecisos.
Las cajas de arena operan con la idea de que no puedes decidir qué es bueno o malo, pero el usuario puede decidir en qué confían. Le brindan la capacidad de limitar o aislar a programas específicos para que, si hacen cosas malas, no dañen las cosas fuera de la caja de arena. La desventaja de los sistemas de confinamiento es que debe haber una forma lógica y simple para que el sistema o para sus usuarios decidan qué programas se limitan a dónde y cuáles también para hablar entre ellos.
Estos son conceptos completamente diferentes, y las dos familias de herramientas se pueden usar en conjunto. Es el caso de sistemas operativos como Windows, donde todas las aplicaciones de la tienda se ejecutan dentro de un recinto de seguridad, y el software AV se puede usar para detectar modificaciones en el sistema o para detectar la instalación de un malware conocido (que podría o no estar protegido). / p>
Desde una perspectiva teórica, el uso del confinamiento transforma el problema de clasificar / dar sentido a los comportamientos de aplicación en un problema de decidir qué propiedades de seguridad tienen un conjunto de límites arbitrarios entre actores no confiables. En lo que a mí respecta, existe una amplia evidencia experimental de que el enfoque anterior está condenado al fracaso, basado en el bajo rendimiento del software AV y el papel de la contextualidad en decidir si un comportamiento determinado del programa es malicioso o no.