Spør eksperten!
Har du spørsmål om bedriften informasjon sikkerhetstrusler for ekspert Nick Lewis? Sende dem via e-post i dag! (Alle spørsmål er anonyme.)
Det er mange fordeler med å kjøre en organisasjons kjørbare filer gjennom en "trykkammer" for å se hva som " blåser opp " når henrettet i et trygt miljø; det er et mye bedre alternativ enn å blåse opp på nettverket. Imidlertid er det nødvendig å forstå hvordan den skal brukes og dens begrensninger.
En antimalware trykkammer fungerer vanligvis ved å kjøre eller åpne en fil i et kontrollert miljø, overvåke alle resulterende nettverket eller systemet atferd, og analysere data å identifisere skadelig aktivitet. Antimalware selskaper og sikkerhetsforskere har brukt virtuelle miljøer eller syscall skjermer som Systrace å analysere malware og standard verktøy som Process Monitor på Windows kan utføre mange av de samme funksjonene. Det er andre kommersielle verktøy som tilbyr lignende og enda utvidet funksjonalitet. Ett potensielt problem å merke seg er at noen malware forfattere har lagt til funksjonalitet til varene sine for å finne ut om de blir henrettet i et virtuelt miljø eller en sandkasse. De har lagt til funksjonalitet for å gjøre det vanskeligere for antimalware selskaper og sikkerhetsforskere å reverse-engineering dem og lage signaturer for å muliggjøre automatisert malware containment; Dette kan begrense effektiviteten av et trykkammer.
Det er noen nettverks antimalware-enheter som er utstyrt med trykkammer funksjonalitet for å hjelpe bedrifter med malware containment, men det krever innkjøp av en annen enhet som potensielt sitter inline på en bedriftsnettverk sammen med en brannmur, IPS, etc. Sikkerhet fagfolk kan være lurt å vurdere om trykkammeret funksjonaliteten er inneholdt i en IPS eller brannmur før du kjøper eller distribusjon av en ny enhet. Ved hjelp av en frittstående trykkammer for å analysere nye potensielle malware vil kreve betydelig kompetanse og arbeidskraft i analysen.