/ 中存储网

反恶意软件沙盒技术选择 智能沙盒 vs. 传统沙盒

2015-08-26 12:14:59 来源:中存储

在阻止和分析未知安全威胁方面,智能沙盒与普通沙盒技术之间有什么区别?智能沙盒是否可用于企业?

Michael Cobb:企业以及所有网络用户面对的问题是如何确保反恶意软件能够发现并缓解最新攻击。对于所有安全技术而言,零日漏洞利用是最具挑战性的威胁,因为它们完全为未知,也没有补丁,让网络和设备易受到攻击。为了应对零日漏洞利用威胁,反恶意软件供应商采用的方法之一是沙盒技术。

沙盒技术提供对资源的严格控制,例如限制对内存、系统文件和设置的访问,这让企业可通过执行潜在恶意代码而发现其活动和意图,而不会影响主机设备。对进入企业网络的代码进行的这种分析意味着,即使是零日漏洞利用都可以被发现——通过分析代码的恶意意图。

然而,恶意软件编写者知道其代码在破坏系统之前会被分析,所以他们现在开始添加高级模糊和逃避技术来防止被普通沙盒发现。他们采用的其中一种方法是当代码检测到它在沙盒环境时,它会表现正常,或者当代码被直接打开或在不正确的环境中打开时,它不会解密并运行漏洞利用代码。这些逃避技术意味着,现在沙盒技术面临的挑战是尽可能准确地反映用户的环境,并诱导攻击者的代码来显现或执行器恶意负载。

其中一个这样的沙盒就是出自趋势科技公司的Deep Discovery解决方案。与大多数传统沙盒技术一样,它能够分析威胁各方面的行为:其脚本、shellcode以及有效载荷。不同之处在于,这种“智能”沙盒还可由管理员配置为匹配其系统配置。这意味着企业可以更好地看到专门针对企业的定制恶意软件将如何运行,这将允许管理员更好地评估该恶意软件对其系统的潜在影响,例如注册表变更、丢弃文件以及到命令控制服务器的连接。

这种对恶意软件的分析是抵御高级威胁的战斗中必不可少的工具;智能沙盒可分析旨在逃避沙盒分析的恶意软件,这是恶意软件编写者与试图阻止这些攻击的人之间持续进行的军备竞赛的中的最新进展。我们期待其他反恶意软件供应商推出新的或类似的技术来捕捉恶意软件到智能沙盒中进行分析、识别和缓解。与基于签名的检查相比,这种方法提供了更先进的方法来抵御零日攻击,我们希望这种方法可帮助企业抵御攻击者,哪怕是暂时地抵御。

Michael Cobb是认证信息系统安全架构专家(CISSP-ISSAP),知名的安全作家,具有十多年丰富的IT行业经验,并且还从事过十六年的金融行业。他是Cobweb Applications公司的创始人兼常务董事,该公司主要提供IT培训,以及数据安全和分析的支持。Michael还合著过IIS Security一书,并为领先的IT出版物撰写过无数科技文章。此外,Michael还是微软认证数据库系统管理员和微软认证专家。