今天，APT（高級持續(xù)性威脅）攻擊已經不再是新鮮話題，但卻仍是令整個安全業(yè)界頭疼的問題。作為將眾多滲透技術整合在一起實現的隱秘性攻擊手法——APT攻擊憑借特征未知、隱蔽性強，持續(xù)時間長等特性，令傳統(tǒng)的安全防護解決方案幾乎全部失效。那么誰又能有效阻擊APT攻擊呢？目前來看，沙盒（模擬一個虛擬用戶環(huán)境）無疑是最有效的方法之一，因為其斬斷了APT攻擊的“生命鏈條”。

為何說沙盒可以斬斷APT攻擊的“生命鏈條”？在解答這一問題之前，我們先來看一個典型的APT攻擊過程，大約分為五步：

第一步，攻擊者會盜用一個企業(yè)的供應商或者合作伙伴的賬號，從而達到訪問企業(yè)內網的目的；

第二步，攻擊者利用自制的攻擊工具（利用已知的和0day等未知的安全漏洞），在企業(yè)的某一臺服務器或PC上種下木馬病毒；

第三步，該木馬會在企業(yè)網絡中不斷滲透，尋找企業(yè)關鍵的數據庫，盜取包括企業(yè)核心數據，員工ID、信用卡密碼、手機號等重要信息；

第四步，通過FTP、郵件、甚至是更加隱秘的方式，不斷地把這些數據發(fā)送給攻擊者；

第五步，整個攻擊過程大約持續(xù)數個月，甚至是半年/一年。

這五步相互關聯，也就形成了APT攻擊的“生命鏈條”。而其中最關鍵的當屬第二步，即攻擊者利用0day等未知漏洞攻陷企業(yè)服務器或PC，該攻擊方式隱蔽性強，傳統(tǒng)的入侵防御系統(tǒng)、防病毒系統(tǒng)、以及web應用防火墻等均無法感知；而當攻擊者完成“突破”之后，還要經歷滲透（包括提權與遷移），竊聽，偷數據等過程，即APT攻擊需要一定的持續(xù)時間。由此不難看出，如果能夠打破APT攻擊隱蔽性和持續(xù)性這兩個特性，也就能斬斷其“生命鏈條”，即可有效阻止APT攻擊，而沙盒就具備這樣的能力。

沙盒，即為一些不可靠的程序提供試驗而不影響系統(tǒng)運行的環(huán)境，有時也被稱作沙箱。

對于基于0day的APT攻擊，傳統(tǒng)的基于簽名的檢測方式確實難以識別，而通過沙盒所打造的虛擬運行環(huán)境，我們即可通過其“行為”來判斷一個文件、一個訪問等是惡意的還是善意的，從而有效阻止APT攻擊。舉例來說，當一個文件在虛擬的沙箱中運行時，如果我們發(fā)現其修改了注冊表、刪除了文件，或是自身創(chuàng)造出了新的文件，亦或是試圖訪問惡意網站，并下載一些病毒和木馬等等，那么即可確定這個文件是惡意的，即使我們現在沒有其特征碼，也可以防御它。與此同時，我們還可提取其“特征碼”，在第一時間封堵這一未知（0day）威脅。

此外，沙盒還可快速發(fā)現網絡中的安全隱患，比如有一臺服務器/PC中了木馬，其可快速找到這臺設備，并且處理它（或隔離它），從而打斷APT攻擊的持續(xù)性。

通過上述介紹我們不難看出，沙盒的確是目前阻擊APT攻擊的最有效方法之一，其通過“行為”識別，打破其隱蔽特性；通過快速發(fā)現安全隱患（將其隔離，修補漏洞），打破其持續(xù)特性，從而斬斷了APT攻擊的“生命鏈條”，讓企業(yè)的信息安全更有保證！