As caixas são Sistemas de prevenção de intrusões (IPSs) que funcionam monitorando "Indicadores de compromisso" (IoC). Isso seria tráfego de rede inesperado no seu ambiente; tráfego de rede que vai para um destino ruim conhecido; ou tráfego de rede que contém pacotes consistentes com malware.
Normalmente, essas caixas vêm com uma assinatura. A empresa que os vende envia atualizações frequentes (diariamente ou com mais frequência) que atualizam o banco de dados de IoC. Se descobrirem que algum ransomware chega a https://ransom.keyserver.evil.example.com , eles podem adicionar imediatamente o endereço de rede à lista negra de IPS e publicá-lo aos seus clientes assim que possível. Se você tiver um dispositivo na rede que tente se conectar para obter uma chave de ransomware, o IPS deles interromperá a conexão para que você não seja infectado.
Algumas dessas caixas também vêm com software que mantém um inventário de seus dispositivos. Você pode dar uma olhada em todas as pequenas coisas da Internet das Coisas na sua rede hoje e abençoá-las. Amanhã, se detectar que há um novo nó na sua rede, ele poderá exibir um aviso no seu celular que diz "Nova coisa detectada na sua rede, autorize (sim / não)?" Isso pode ajudá-lo a bloquear alguém pegando emprestado seu wifi ou invadindo sua rede.
Não há uma substituição direta de código aberto para todas essas funções; não porque a tecnologia seja tão especial, mas porque a atualização constante do banco de dados de IoC exige informações constantemente coletadas por seres humanos, respondendo a novos incidentes, e pagar um monte de humanos é caro. Você pode obter parte dessa funcionalidade com um sistema IPS de código aberto como o Snort , mas a assinatura da "comunidade" do Snort é atualizada 30 dias após a assinatura comercial. Isso é bastante lento quando as ameaças comuns de hoje incluem malware baseado em 0 dias.