Si chiama Activity Monitor di WithSecure la tecnologia sviluppata per rendere più accessibili le funzionalità di una sandbox.
Nata per aiutare le organizzazioni a gestire il ransomware e altre minacce, la nuova tecnologia può essenzialmente annullare i danni causati dal malware.
Come funziona Activity Monitor di WithSecure
Nello specifico, le sandbox sono ambienti di test isolati che eseguono codice sconosciuto per verificare l’impatto su un sistema o sui dati. Poiché le sandbox eseguono il codice in isolamento, possono eseguire codice sconosciuto in un ambiente “protetto” per verificare se è sicuro o malevolo.
Invece di eseguire il codice in un ambiente isolato, Activity Monitor crea backup selettivi del sistema e dei dati, quindi consente al codice di essere eseguito su un sistema mentre monitora la sessione. Se Activity Monitor rileva modifiche che potrebbero essere pericolose, blocca i processi e utilizza i backup per ripristinare la sessione allo stato in cui si trovava prima dell’esecuzione del codice malevolo.
Secondo Broderick Aquilino, Lead Researcher di WithSecure, le sandbox rappresentano un modo sicuro e affidabile per testare il malware, ma con limitazioni che Activity Monitor è stato progettato per superare.
Secondo Aquilino: «L’analisi fornita da una sandbox mostra un quadro esaustivo del comportamento del malware, ma consuma molte risorse, il che ne limita l’uso. Con Activity Monitor, abbiamo superato queste limitazioni ricreando le funzionalità che le sandbox forniscono piuttosto che il loro effettivo funzionamento. Ora possiamo generare meccanismi di protezione in grado di offrire queste funzionalità a un maggior numero di organizzazioni».
La tecnologia fornisce un nuovo strumento per combattere le infezioni da ransomware, che secondo alcune fonti sarebbero costate alle organizzazioni di tutto il mondo fino a 18 miliardi di euro fino al 2021.* La maggior parte dei ransomware cripta i dati della vittima e poi fornisce chiavi di decriptazione in cambio di un riscatto. Activity Monitor è progettato per rilevare questo tipo di modifiche e, una volta individuati i processi di crittografia, li interrompe e ripristina i dati allo stato non crittografato.
Sebbene l’eliminazione delle infezioni da ransomware sia un esempio ovvio del suo valore, Paolo Palumbo, Vice President di WithSecure Intelligence, si aspetta che la tecnologia fornisca molti altri vantaggi alle organizzazioni.
Per Palumbo: «Questo approccio rende più efficienti le capacità di rilevamento molto potenti, in modo da poterle utilizzare in modi nuovi. L’efficienza è molto importante per la sicurezza, per garantire che le nostre soluzioni offrano alle organizzazioni una protezione pratica ed efficace senza impedire loro di svolgere il proprio lavoro o di raggiungere gli obiettivi aziendali. E man mano che sviluppiamo nuove applicazioni e funzionalità utilizzando questa tecnologia, ci aspettiamo che essa abiliti meccanismi di difesa migliori e più efficienti per i nostri clienti».
La prima implementazione della tecnologia in una soluzione, Server Share Protection, è disponibile come parte di WithSecure Elements Endpoint Protection for Servers.