El aislamiento es un método bastante eficaz contra el malware. Existen herramientas para aislar el código en ejecución de varias maneras (qubes-os, bromio, fireglass), es decir, usar un micro-vm para cada tarea, ya sea local o remotamente.
El otro punto de entrada importante para el malware es la vulnerabilidad del protocolo, como el reciente wannacry. ¿Hay alguna herramienta que aísle los protocolos, ya sea en Linux o Windows? ¿Es una opción viable?
Un protocolo de aplicación es solo una descripción de cómo las aplicaciones interactúan entre sí. Esta descripción del protocolo puede ser demasiado vaga o inexacta o tener un mal diseño y, por lo tanto, puede llevar a problemas de implementación relevantes para la seguridad. Pero la descripción en sí misma no es vulnerable y no puede ser aislada. Vulnerables son las aplicaciones y los servicios que implementan el protocolo, es decir, el navegador web, el servicio de intercambio de archivos, etc. lo que significa que, como máximo, se pueden aislar de la forma que ya describió: "... aislar el código en ejecución de varias maneras (qubes -os, bromo, fireglass), es decir, usar un micro-vm para cada tarea, ya sea local o remotamente. "
No existe tal cosa como el aislamiento del protocolo porque no es así como se usan o utilizan los protocolos. Sin embargo, para llegar a un punto cercano a su objetivo de que una implementación incorrecta del protocolo comprometa a toda una máquina; puede aislar el programa usando un protocolo del resto del sistema. Digamos que tienes un MTA que usa SMTP. Puede ejecutarlo en una VM o Jail y hacer un agujero en su firewall para permitir el tráfico SMTP para ese programa MTA. Si el programa se ve comprometido debido a un problema con el uso del protocolo SMTP, solo debe comprometer su contenedor.
Lea otras preguntas en las etiquetas isolation malware antimalware