Michael Cobb是認證信息系統安全架構專家(CISSP-ISSAP),知名的安全作家,具有十多年豐富的IT行業經驗,并且還從事過十六年的金融行業。他是Cobweb Applications公司的創始人兼常務董事,該公司主要提供IT培訓,以及數據安全和分析的支持。Michael還合著過IIS Security一書,并為領先的IT出版物撰寫過無數科技文章。此外,Michael還是微軟認證數據庫系統管理員和微軟認證專家。
在阻止和分析未知安全威脅方面,智能沙盒與普通沙盒技術之間有什么區別?智能沙盒是否可用于企業?
Michael Cobb:企業以及所有網絡用戶面對的問題是如何確保反惡意軟件能夠發現并緩解最新攻擊。對于所有安全技術而言,零日漏洞利用是最具挑戰性的威脅,因為它們完全為未知,也沒有補丁,讓網絡和設備易受到攻擊。為了應對零日漏洞利用威脅,反惡意軟件供應商采用的方法之一是沙盒技術。
沙盒技術提供對資源的嚴格控制,例如限制對內存、系統文件和設置的訪問,這讓企業可通過執行潛在惡意代碼而發現其活動和意圖,而不會影響主機設備。對進入企業網絡的代碼進行的這種分析意味著,即使是零日漏洞利用都可以被發現——通過分析代碼的惡意意圖。
然而,惡意軟件編寫者知道其代碼在破壞系統之前會被分析,所以他們現在開始添加高級模糊和逃避技術來防止被普通沙盒發現。他們采用的其中一種方法是當代碼檢測到它在沙盒環境時,它會表現正常,或者當代碼被直接打開或在不正確的環境中打開時,它不會解密并運行漏洞利用代碼。這些逃避技術意味著,現在沙盒技術面臨的挑戰是盡可能準確地反映用戶的環境,并誘導攻擊者的代碼來顯現或執行器惡意負載。
其中一個這樣的沙盒就是出自趨勢科技公司的Deep Discovery解決方案。與大多數傳統沙盒技術一樣,它能夠分析威脅各方面的行為:其腳本、shellcode以及有效載荷。不同之處在于,這種“智能”沙盒還可由管理員配置為匹配其系統配置。這意味著企業可以更好地看到專門針對企業的定制惡意軟件將如何運行,這將允許管理員更好地評估該惡意軟件對其系統的潛在影響,例如注冊表變更、丟棄文件以及到命令控制服務器的連接。
這種對惡意軟件的分析是抵御高級威脅的戰斗中必不可少的工具;智能沙盒可分析旨在逃避沙盒分析的惡意軟件,這是惡意軟件編寫者與試圖阻止這些攻擊的人之間持續進行的軍備競賽的中的最新進展。我們期待其他反惡意軟件供應商推出新的或類似的技術來捕捉惡意軟件到智能沙盒中進行分析、識別和緩解。與基于簽名的檢查相比,這種方法提供了更先進的方法來抵御零日攻擊,我們希望這種方法可幫助企業抵御攻擊者,哪怕是暫時地抵御。
京公網安備 11010502049343號