懸念大師希區柯克曾說過：“我是一個被定型的導演。即使我拍灰姑娘，觀眾也會在影片中尋找尸體。”

作為一種惡意軟件作者都能預料到的以某種方式運行的安全手段，用于對抗高級惡意軟件的沙盒技術同樣被“定型”。網絡罪犯正在逐漸利用這一點不斷發明新的技術以繞過這一防線，即通常所說的沙盒逃逸。

沙盒逃逸并非新現象，惡意軟件通過識別自身處于沙盒環境而進入“休眠”以迫使沙盒檢測超時。但是，隨著安全分析工具在偵測休眠進程上越來越有效，惡意軟件作者又不斷開發出新的策略來規避沙盒。比如在最近發現的Rombertik惡意軟件、垂釣者（Angler）、Upatre惡意軟件變種和惡意微軟Office文檔中所使用的那些逃逸技術。

Rombertik的案例中，該惡意軟件將一個隨機數寫入內存9.6億次。由于沒有真正陷入休眠，沙盒無法確定這一應用程序是不是有意拖延。另外，冗余或“垃圾”代碼也迫使安全分析花費更多時間審查和分析惡意軟件。

鑒于攻擊者持續創新，也許防護者的惡意軟件分析工具也應該擁有超越傳統沙盒技術的能力了。

目前部署沙盒技術的3種典型方式：

盡管每種部署選項都有利有弊，傳統沙盒技術通常用的都是同樣的運行方式：抽取可疑樣本；在本地虛擬機中分析；產生分析報告。其缺陷也類似：可以被環境敏感的高級惡意軟件繞過；不采用也不分享可以用來識別穿透了網絡的惡意軟件的數據；修復功能相當有限。

因此，是時候對傳統沙盒技術做改進了。為迎戰采用高級規避戰術的惡意軟件，公司需要更強有力的惡意軟件分析工具作為集成威脅防御戰略的一部分，分析工具應具備在惡意軟件穿透初級防線后追溯式掃描并識別之的能力。這就要求惡意軟件分析方法是集成的、充分結合環境的，且具備溯源能力。

集成：惡意軟件分析應是橫跨安全架構的一個集成組件，從防火墻到電子郵件和網頁安全網關，到網絡和終端安全解決方案。靈活的部署選項是滿足一系列要求和適應現有基礎設施必不可少的。

充分結合環境：環境對于知曉真正的威脅所在和加速響應非常關鍵。充分結合環境的惡意軟件分析可以提供基于垂直或歷史分布范圍的信息；糅合全局和局部的情報、攻擊行為指標、威脅情報反饋和其他材料；發布能反映基于公司基礎設施具體特征的惡意度的威脅評分。

追溯性安全：這一能力可使安全團隊識別已經穿透網絡的惡意軟件，看清文件在企業內的流轉軌跡，隔離任何受感染的設備，在設備重連入網絡前執行自動或手動修復。追溯性安全對于加速檢測時間（TTD）和響應非常關鍵。

絕大多數人都認同阿爾弗雷德·希區柯克是史上最偉大電影導演之一。是的，他被“定型”了，但他同時也開拓了未來幾代人都在持續發展的懸念和心理驚悚流派中的許多技術。這就是惡意軟件分析所需要的。我們需要充分利用傳統方法所能提供的一切然后創新，以迎戰那些資源充足且總在進步的攻擊者。