如何選擇沙箱:四個原則看清沙箱差異
沙箱環境是很多網路安全解決方案用來對抗高階惡意軟體的常用功能。防火牆、終端防護,甚至下一代機器學習系統都將沙箱作為其防線的一環。然而,不是所有的沙箱都有類似的功效。
不同沙箱採取的惡意軟體分析與檢測方法各異,其中一些明顯不如另一些有效。老舊沙箱所用技術會被新型惡意軟體規避,令老舊沙箱很大程度上起不到什麼效果。文字將探討不同種類的沙箱,這些沙箱所採用的技術,及其侷限性。
惡意軟體分析沙箱差異
簡言之,沙箱就是供應用執行或檔案開啟的安全隔離環境。這一寬泛定義下,不同沙箱之間差異頗大。沙箱間的差異主要來自4個方面:所用模擬型別、版本限制、模擬速度,以及惡意軟體檢測具體技術。
1. 作業系統模擬 vs 完整系統模擬
老舊沙箱環境基本上只複製應用及作業系統層。這就是所謂的作業系統模擬。曾經有那麼一段時間只模擬應用層和作業系統層就足以確定檔案是否惡意了。被分析的檔案會檢測到該作業系統,以為自己已到達目標主機,遂嘗試執行惡意動作,然後被檢測出來。
不幸的是,此類沙箱方法已不再有效。現代威脅可以檢測出模擬作業系統。為抵禦現代威脅,沙箱解決方案需進行完整系統模擬。如果缺乏完整系統模擬,就好像身處沒有窗戶的佈景房間:惡意軟體總會拉開窗簾一探究竟的。
2. 作業系統和應用版本限制
有些沙箱只對特定版本的作業系統或應用有效。它們可能只能模擬這些解決方案,或者只能識別針對這些平臺的威脅。如果公司採用的作業系統版本正好是該沙箱適用的,那就沒什麼問題。但如果公司最終需升級或調整其基礎設施,這就成問題了。作業系統和應用版本限制還會削弱沙箱解決方案在大型綜合性網路上的有效性,因為大網路上可能承載著多種解決方案和平臺。
理想的沙箱解決方案應能建立不特定於某種作業系統或應用版本的沙箱環境。
3. 模擬速度
模擬越複雜,模擬速度就越關鍵。有些沙箱能夠快速模擬,有些就會很慢。有些沙箱優化良好,只消耗很少的資源;有些沙箱優化很差,會吞掉大量處理時間和記憶體。若想發揮效果,沙箱需在整個網路上執行。與模擬速度相關的任何問題都會迅速膨脹,可能會拖慢整個網路,干擾生產。
下一代沙箱解決方案牢記網路既要保證安全又要保障暢通,非常重視優化和有效性。如果採用這些更為先進的平臺,公司企業遭遇較大資源佔用和開銷的概率會小些。
4. 基於特徵碼 vs 基於行為
解決方案在沙箱中執行時,惡意軟體如何檢出?當前主要有兩種方法:基於特徵碼的分析和基於行為的分析。
基於特徵碼的檢測矚目程式,判斷其是否曾被識別過。基於特徵碼的解決方案維護有用於識別惡意軟體程式或樣本的龐大特徵碼字典。通過匹配新檔案特徵碼與庫中已知惡意檔案特徵碼,這些基於特徵碼的解決方案能快速判斷檔案是否惡意。但不幸的是,一旦檔案略有修改,其特徵碼也會隨之改變,基於特徵碼的解決方案便無法識別了。
基於行為的檢測關注程式嘗試採取的動作。如果某樣本嘗試執行看似惡意的動作,基於行為的檢測解決方案便會觸發,要麼是使用者收到彈出警告,要麼是惡意程式被自動隔離。基於行為的沙箱不僅可以檢測通過產生新特徵碼以逃過基於特徵碼檢測系統的自變形惡意軟體,也可以檢測從未見過的全新惡意程式。
如何選擇惡意軟體沙箱
高階惡意軟體足夠智慧,可感知自身是否處於沙箱環境。一旦檢測到是在沙箱環境中執行,高階惡意軟體在被釋放到網路環境前是不會表現出任何惡意行為的。對付此類惡意程式的唯一方法,是採用技術上更先進的沙箱解決方案。只有通過模擬整個主機環境——從記憶體直到應用層,沙箱才能騙過高階惡意軟體。
模擬整個環境的沙箱與真實環境幾乎別無二致,讓惡意程式不可能規避檢測。下一代惡意軟體檢測解決方案可模擬目標環境的方方面面,而不僅僅是應用層和作業系統層。
但有個問題:惡意軟體分析沙箱通常都作為其他網路安全解決方案的一部分而存在,比如防火牆或終端防護系統。因此,沙箱往往被當成解決方案的免費贈品,購買解決方案時不會過多考慮。但考慮到不是所有沙箱環境都有相同功效,只有一個惡意軟體沙箱可能不足以保護公司資料抵禦高階威脅。
選擇企業安全解決方案的時候,最好對沙箱加以特別考慮。能提供完整系統模擬嗎?是分析行為而不僅僅依賴特徵碼嗎?能夠複製任何型別任意版本的作業系統或應用嗎?如果解決方案未達到上述標準,你可能需另外購買帶有足夠功能的沙箱以補足解決方案,檢測當今複雜多變的高階惡意軟體。
沙箱是有效網路安全解決方案的基本組成部分,如果不能合理限制惡意軟體,那該解決方案本身就是無效的。考慮購買或升級惡意軟體檢測解決方案的時候,不妨多給沙箱分一點考察時間。