沙盒环境是许多打击高级恶意软件的网络安全解决方案的共同特征。防火墙、端点保护,甚至下一代机器学习系统都使用沙箱作为其防御的一部分。但是,并非所有沙箱都同样有效。不同的沙箱采用不同的方法来分析和检测恶意软件,有些沙箱的效率明显低于其他沙箱。较旧的沙箱使用的技术被较新的恶意软件所规避,从而使较旧的沙箱基本上无效。本书将探讨不同类型的沙箱、它们使用的技术及其局限性。恶意软件分析沙箱差异简而言之,沙箱是一个安全、隔离的环境,应用程序在其中执行或文件在其中打开。在这个宽泛的定义下,沙箱有很大的不同。沙箱之间的差异主要来自四个方面:使用的模拟类型、版本限制、模拟速度和恶意软件检测的具体技术。1.操作系统模拟与全系统模拟旧的沙箱环境基本上只复制应用程序和操作系统层。这称为操作系统仿真。曾几何时,仅模拟应用程序和操作系统层就足以确定文件是否为恶意文件。被分析的文件检测操作系统,认为它已到达目标主机,试图执行恶意操作,并被检测到。不幸的是,这样的沙盒方法不再有效。现代威胁可以检测模拟操作系统。为了抵御现代威胁,沙盒解决方案需要完整的系统模拟。没有完整的系统模拟,就像在一个没有窗户的房间里:恶意软件总是拉上窗帘来看一看。2.操作系统和应用程序版本限制有些沙箱只对特定版本的操作系统或应用程序有效。他们可能只能模拟这些解决方案,或者只能识别针对这些平台的威胁。如果公司使用适用于沙箱的操作系统版本,那很好。但如果公司最终需要升级或调整其基础设施,这就会成为问题。操作系统和应用程序版本限制还会降低沙盒解决方案在可能托管多个解决方案和平台的大型综合网络上的有效性。理想的沙盒解决方案将创建一个不特定于操作系统或应用程序版本的沙盒环境。3、仿真速度仿真越复杂,仿真速度就越关键。有些沙盒模拟速度很快,有些则很慢。一些沙箱经过优化并且消??耗的资源很少;其他优化不佳,消耗大量处理时间和内存。为了有效,沙箱需要在整个网络中运行。与模拟速度相关的任何问题都可能迅速膨胀,从而可能减慢整个网络并中断生产。请记住,网络必须既安全又可访问,下一代沙盒解决方案非常重视优化和有效性。有了这些更先进的平台,公司就不太可能经历大量的资源使用和开销。4.基于签名与基于行为的解决方案在沙箱中运行时如何检测恶意软件?目前主要有两种方法:基于签名的分析和基于行为的分析。根据特征码检测程序,判断是否被识别。基于签名的解决方案维护着广泛的签名词典,用于识别恶意软件程序或样本。这些基于签名的解决方案可以通过将新文件的签名与库中已知恶意文件的签名进行匹配来快速确定文件是否是恶意的。但不幸的是,一旦文件稍作修改,其签名也会发生变化,基于签名的解决方案将无法识别它。基于行为的检测侧重于程序试图采取的行动。如果样本试图执行看似恶意的操作,则基于行为的检测解决方案会触发,无论是通过用户收到弹出警告还是通过自动隔离恶意程序。基于行为的沙箱不仅可以检测生成新签名以逃避基于签名的检测系统的自我变形恶意软件,还可以检测以前从未见过的全新恶意软件。如何选择恶意软件沙箱高级恶意软件足够聪明,可以感知它是否处于沙箱环境中。一旦检测到在沙盒环境中运行,高级恶意软件就不会表现出任何恶意行为,直到它被释放到网络环境中。对抗此类恶意程序的唯一方法是使用技术更先进的沙盒解决方案。只有模拟整个主机环境——从内存到应用层——沙盒才能骗过高级恶意软件。模拟整个环境的沙箱与真实环境几乎相同,使恶意程序无法逃避检测。下一代恶意软件检测解决方案模拟目标环境的各个方面,而不仅仅是应用程序和操作系统层。但有一个问题:恶意软件分析沙箱通常作为其他网络安全解决方案的一部分存在,例如防火墙或端点保护系统。因此,沙盒通常被视为购买时未经过深思熟虑的解决方案的免费赠品。但考虑到并非所有沙箱环境都是一样的,单独的恶意软件沙箱可能不足以保护企业数据免受高级威胁。选择企业安全解决方案时,最好特别考虑沙箱。能否提供完整的系统仿真?是分析行为而不仅仅是依赖签名吗?可以复制任何类型的任意版本的操作系统或应用程序吗?如果该解决方案不符合上述标准,您可能需要购买一个额外的沙盒,该沙盒具有足够的功能来补充检测当今复杂和动态的高级恶意软件的解决方案。沙盒是有效网络安全解决方案的基本组成部分,如果无法合理遏制恶意软件,则该解决方案本身就是无效的。在考虑购买或升级恶意软件检测解决方案时,给沙箱多一点研究时间。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
