Повышение безопасности благодаря песочнице

Опубликовано: 9 Апреля, 2023


Введение


Песочница — это создание изолированной среды для запуска приложений, которые могут представлять угрозу безопасности. Некоторые интернет-приложения теперь создаются с собственными песочницами, но есть несколько способов создать изолированную среду для любого приложения. В этой статье мы рассмотрим популярные методы песочницы и обсудим, что делает песочница, а что нет с точки зрения безопасности.


История песочницы


Детская песочница — это контейнер, предназначенный для хранения песка в ограниченном пространстве, так как незакрытый песок может создать большой беспорядок. В мире компьютерной безопасности песочница действует как виртуальный контейнер, в котором могут работать ненадежные программы, не создавая большого беспорядка, подвергая риску основную операционную систему и другие приложения. Концепция защищенной среды существует уже давно, хотя и носила другие названия. Операционная система Hydra, разработанная в 1970-х годах в рамках проекта Университета Карнеги-Меллона, была построена на идее, что все процедуры защищены и имеют свои собственные домены выполнения.


Sun также создала подмножества ресурсов, которые они назвали динамическими системными доменами, а позже представила контейнеры Solaris, которые представляли собой среды выполнения, существовавшие в одном экземпляре Solaris. В Solaris 10 это превратилось в «зоны», которые также называются «доверенными контейнерами».


FreeBSD использует механизм, который они называют тюрьмами, которые представляют собой независимые среды, реализованные посредством виртуализации на уровне операционной системы, где каждая тюрьма представляет собой виртуальную среду со своими собственными файлами, процессами и учетными записями пользователей и привязана к другому IP-адресу, и каждая тюрьма полностью запечатана. от других.


С тех пор песочница превратилась из малоизвестного защитного механизма в широко применяемый набор методов для изоляции всего, от определенных системных вызовов до целых приложений и полных сред операционных систем. Возросшая популярность и простота использования технологий виртуализации значительно упростили песочницу. Раннее использование виртуальных машин заключалось в создании испытательных сред, которые были отделены от производственной среды, в которых вы могли развертывать новую операционную систему или прикладное программное обеспечение и выяснять, «хорошо ли они работают» с вашими существующими программами — без риска мешать пользователям. в вашей производственной сети.


Примеры песочницы


Приложения могут быть написаны так, что некоторые или все процессы выполняются в изолированной программной среде. Google широко рекламирует тот факт, что веб-браузер Chrome использует песочницу, но большинство людей не понимают, что на самом деле он полагается на встроенную модель безопасности Windows, используя токен доступа Windows, который Chrome модифицирует, чтобы удалить все привилегии и отключить все группы. Также важно отметить, что это зависит от файловой системы NTFS и не работает в системах с разделами, отформатированными в любом типе FAT. Песочница также не может защитить от объектов, неправильно настроенных поставщиками приложений. Подробнее о песочнице Google можно прочитать здесь.


Существуют проприетарные программы для создания изолированных сред. Одним из таких примеров является Sandboxie, созданный Роненом Цуром. Он работает в Windows 2000, XP, Vista и Windows 7 и предназначен для запуска веб-браузера, почтового клиента, клиента обмена мгновенными сообщениями, программного обеспечения P2P, онлайн-игр и других программ, уязвимых для атак или вредоносных программ, чтобы изолировать их от Windows. ОПЕРАЦИОННЫЕ СИСТЕМЫ. Вы можете создать несколько песочниц (в платной версии) и заставить определенные программы всегда запускаться в песочнице. Одно из различий между Sandboxie и некоторыми другими продуктами изоляции заключается в том, что он изолирует отдельные компоненты, такие как файлы, разделы реестра и объекты драйверов, а не диск в целом. Из-за этого Sandboxie не может запускать системные драйверы в песочнице. Вы можете узнать больше о Sandboxie здесь.


Еще одно решение для песочницы — BufferZone от Trustware. Он создает «виртуальную зону» на жестком диске (по умолчанию c:\Virtual), в которой выполняются изменения, выполняемые интернет-программами, загрузками, просмотром и т. д. Вы можете узнать больше об этом здесь.


В 2009 году Microsoft выпустила технологию виртуализации с открытым исходным кодом для веб-разработчиков под названием Web Sandbox, которая представляла собой виртуальную машину JavaScript, предназначенную для предотвращения влияния сторонних сценариев на другой код на веб-странице. Каждая виртуальная машина имеет свою область действия и обеспечивает полную изоляцию пространств имен. Среда моделируется на основе традиционных HTML-документов, а ненадежный код выполняется на виртуальной машине, а не непосредственно в веб-браузере. Вы можете узнать больше о Web Sandbox на веб-сайте LiveLabs.com.


Песочница с программным обеспечением для виртуализации ОС


Из кратких обзоров популярных программ-песочниц очевидно, что большинство из них основано на том или ином типе виртуализации. Почему бы не использовать популярное программное обеспечение для виртуализации, такое как Virtual PC, VMware или Hyper-V, для создания изолированных сред? Почему ни одно из этих решений виртуализации не рекламирует песочницу как основное применение своих продуктов? Фактически, вы можете создать песочницу с популярными программными продуктами для виртуальных машин, и некоторые люди и компании используют виртуализацию для этой цели. Тем не менее, есть некоторые предостережения, о которых следует знать.


Интеграция с рабочим столом


В прошлом конечным пользователям было сложнее использовать виртуальные машины из-за сложности — им приходилось запускать программу виртуализации и загружать конкретную виртуальную машину, прежде чем они могли использовать установленные в ней приложения. Теперь, с интеграцией рабочего стола, такой как Windows Virtual PC и режим XP или с функцией Unity VMware Workstation, приложения в виртуальной машине появляются в меню «Пуск» операционной системы хоста и доступны так же, как и локальное приложение, поэтому тот факт, что они работают на виртуальной машине, очевиден для пользователей.


Microsoft разработала XP Mode как решение для обеспечения совместимости, позволяющее пользователям запускать старые приложения, которые должны работать в Windows XP, со своих рабочих столов с Windows 7, и это бесплатное дополнение для выпусков Windows 7 Professional, Enterprise и Ultimate. Но даже если у ваших пользователей нет старых приложений, требующих режима XP, вы можете использовать его для создания изолированной среды. Например, когда пользователи посещают веб-сайты, подвергающие их вредоносному ПО или другим угрозам безопасности, они могут делать это с помощью веб-браузера, установленного на виртуальной машине XP. Вы даже можете настроить веб-браузеры на хост-компьютерах с Windows 7 так, чтобы они могли посещать только безопасные сайты, но предоставляли больше свободы действий с помощью виртуализированного браузера. Тогда, если пользователь зайдет на вредоносный сайт, он не будет представлять угрозы для операционной системы Windows 7. Вы можете скачать XP Mode здесь.


Если ваши пользователи все еще используют XP или Vista в качестве основных операционных систем, вы не можете установить XP Mode. Вы можете использовать Microsoft Virtual PC 2007 для создания изолированной среды, но тогда вы вернетесь к исходной проблеме отсутствия интеграции виртуализированных приложений в основную операционную систему. Однако вы можете использовать VMware Workstation с функцией интеграции рабочего стола Unity, чтобы добиться того же. Однако, в отличие от XP Mode в Windows 7 Pro и более поздних версиях, VMware Workstation не бесплатна; текущая версия (v7) стоит 189 долларов США.


В корпоративной среде Microsoft Enterprise Desktop Virtualization (MED-V) может использоваться для достижения двух целей: обеспечения совместимости приложений и создания среды для запуска потенциально рискованных приложений, не подвергая прямой опасности основную операционную систему. MED-V обеспечивает более централизованный контроль над виртуальными средами, развертываемыми на рабочих столах пользователей. Узнайте больше о MED-V здесь.


Риски использования виртуализации ОС для песочницы


Проблема с использованием программного обеспечения для виртуализации ОС для создания песочницы заключается в том, что некоторые вредоносные программы могут быть обнаружены, когда они работают в виртуальной системе. Те, кто пишет вредоносный код, разрабатывают технологии обнаружения виртуальных машин, которые ищут артефакты VME в памяти, файловой системе, реестре или запущенных процессах или ищут специфичные для VME инструкции виртуального оборудования и процессора. Например, тот факт, что в ОС работает VMtools, указывает на то, что это виртуальная машина. Вы также можете вспомнить инструмент «Red Pill» исследователя безопасности Джоанны Рутковской, представленный еще в 2004 году, который обнаруживал использование виртуальных машин. Другие подобные инструменты были распространены в Интернете.


В некоторых случаях обнаружение виртуальной среды просто приводит к тому, что вредоносная программа отключает свои вредоносные функции, поэтому ее нельзя анализировать в виртуальной среде. Конечно, если вы используете виртуальную машину для песочницы, это хорошо, так как это означает, что вредоносная программа более или менее отключает себя и, следовательно, не может нанести ущерб виртуальной ОС.


Некоторые злоумышленники, однако, используют обнаружение виртуальной машины для последующего запуска атак, использующих бреши в безопасности программного обеспечения виртуальной машины, сосредотачиваясь на «побеге виртуальной машины», посредством чего вредоносное ПО


По этим причинам никогда не следует полагаться на возможности изоляции виртуальной машины как на единственную защиту. Операционная система на виртуальной машине должна быть исправлена с помощью обновлений безопасности и должна запускать антивирусное и антивредоносное программное обеспечение, как и основная ОС. Для лучшей защиты рабочей сети подключите виртуальную машину к другой сети. Также рекомендуется периодически заменять образ ВМ на новый.


Резюме


Песочница — это проверенный и надежный метод запуска рискованных приложений или посещения потенциально опасных веб-сайтов. Существует несколько способов создания изолированной среды, но сначала убедитесь, что вы осведомлены обо всех факторах и любых рисках, связанных с конкретным методом песочницы. Безопасность всегда должна быть многоуровневой, поэтому вам не следует полагаться на изолированную среду для обеспечения полной защиты.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023