對于企業來說,傳統防病毒和端點安全工具是分層網絡防御戰略的關鍵組成部分,但在檢測惡意軟件方面,它們并非100%有效。
有些更高級的惡意軟件(例如利用零日漏洞的多級惡意軟件)可攻擊這些安全工具并感染受害機器。這種高級惡意軟件通常由民族國家或有組織犯罪團伙用來入侵具有良好傳統防御的企業,并且,他們通常通過電子郵件網絡釣魚攻擊作為交付方式。
為了加強端點安全和入侵防御系統,有些企業轉向基于云的沙箱技術,他們現有安全提供商通常提供沙箱技術作為高級模塊。在文件或鏈接傳輸到用戶之前,基于云的沙箱會先在安全環境中檢查潛在惡意文件或鏈接,并執行文件并查看其嘗試執行的操作。這樣就可發現可疑行為,例如聯系遠程服務器以試圖下載有效載荷或者聯系命令控制服務器。
只有確定文件安全時,才會傳送給收件人。這種沙箱通常是與企業網絡分離的虛擬機器,這可確保惡意軟件無法傳播到網絡。
通過這種方式分析鏈接和文件甚至可阻止防病毒工具無法檢測的復雜零日惡意軟件。基于云的沙箱可查看惡意軟件的行為,而不是依靠基于簽名的檢測。
這種通過專用基于云的沙箱進行分析的優勢在于可擴展性;它能使企業輕松地增加或減少可分析的文件和鏈接數量。基于云的分析還可消除自己管理和升級設備的開銷,并為遠程辦公室和移動用戶提供更簡單的覆蓋。
有效的基于云的沙箱需要支持各種功能,例如對使用SSL加密流量進行監控的功能,因為這是惡意軟件作者嘗試避免檢測的常用方法。它還需要能夠根據用戶定義的策略進行內聯、即時阻止或隔離操作。基于云的沙箱還應該可利用該服務其他用戶的數據,以及分享威脅信息,讓任何使用相同系統的企業都可以檢測該威脅。
現在基于虛擬機的沙箱技術已經導致有些惡意軟件嘗試運行它的機器進行指紋識別;如果惡意軟件檢測到虛擬機管理程序,則會刪除自己以防止被分析。更高級的沙箱技術可對付這些規避技術,它們可讓虛擬機的指紋看起來向在裸機運行,從而讓惡意軟件以為到達受害機器并開始執行。
總體來說,基于云的沙箱是對企業防御的有效補充,作為縱深防御戰略的一部分。它是檢測零日惡意軟件和勒索軟件的有效方法,但并不是萬無一失的方法。
京公網安備 11010502049343號