如何選擇沙箱:四個原則看清沙箱差異
責編:gltian |2019-03-19 11:16:30沙箱環境是很多網絡安全解決方案用來對抗高級惡意軟件的常用功能。防火墻、終端防護,甚至下一代機器學習系統都將沙箱作為其防線的一環。然而,不是所有的沙箱都有類似的功效。
不同沙箱采取的惡意軟件分析與檢測方法各異,其中一些明顯不如另一些有效。老舊沙箱所用技術會被新型惡意軟件規避,令老舊沙箱很大程度上起不到什么效果。文本將探討不同種類的沙箱,這些沙箱所采用的技術,及其局限性。
惡意軟件分析沙箱差異
簡言之,沙箱就是供應用執行或文件打開的安全隔離環境。這一寬泛定義下,不同沙箱之間差異頗大。沙箱間的差異主要來自4個方面:所用模擬類型、版本限制、模擬速度,以及惡意軟件檢測具體技術。
1. 操作系統模擬 vs 完整系統模擬
老舊沙箱環境基本上只復制應用及操作系統層。這就是所謂的操作系統模擬。曾經有那么一段時間只模擬應用層和操作系統層就足以確定文件是否惡意了。被分析的文件會檢測到該操作系統,以為自己已到達目標主機,遂嘗試執行惡意動作,然后被檢測出來。
不幸的是,此類沙箱方法已不再有效。現代威脅可以檢測出模擬操作系統。為抵御現代威脅,沙箱解決方案需進行完整系統模擬。如果缺乏完整系統模擬,就好像身處沒有窗戶的布景房間:惡意軟件總會拉開窗簾一探究竟的。
2. 操作系統和應用版本限制
有些沙箱只對特定版本的操作系統或應用有效。它們可能只能模擬這些解決方案,或者只能識別針對這些平臺的威脅。如果公司采用的操作系統版本正好是該沙箱適用的,那就沒什么問題。但如果公司最終需升級或調整其基礎設施,這就成問題了。操作系統和應用版本限制還會削弱沙箱解決方案在大型綜合性網絡上的有效性,因為大網絡上可能承載著多種解決方案和平臺。
理想的沙箱解決方案應能創建不特定于某種操作系統或應用版本的沙箱環境。
3. 模擬速度
模擬越復雜,模擬速度就越關鍵。有些沙箱能夠快速模擬,有些就會很慢。有些沙箱優化良好,只消耗很少的資源;有些沙箱優化很差,會吞掉大量處理時間和內存。若想發揮效果,沙箱需在整個網絡上運行。與模擬速度相關的任何問題都會迅速膨脹,可能會拖慢整個網絡,干擾生產。
下一代沙箱解決方案牢記網絡既要保證安全又要保障暢通,非常重視優化和有效性。如果采用這些更為先進的平臺,公司企業遭遇較大資源占用和開銷的概率會小些。
4. 基于特征碼 vs 基于行為
解決方案在沙箱中運行時,惡意軟件如何檢出?當前主要有兩種方法:基于特征碼的分析和基于行為的分析。
基于特征碼的檢測矚目程序,判斷其是否曾被識別過。基于特征碼的解決方案維護有用于識別惡意軟件程序或樣本的龐大特征碼字典。通過匹配新文件特征碼與庫中已知惡意文件特征碼,這些基于特征碼的解決方案能快速判斷文件是否惡意。但不幸的是,一旦文件略有修改,其特征碼也會隨之改變,基于特征碼的解決方案便無法識別了。
基于行為的檢測關注程序嘗試采取的動作。如果某樣本嘗試執行看似惡意的動作,基于行為的檢測解決方案便會觸發,要么是用戶收到彈出警告,要么是惡意程序被自動隔離。基于行為的沙箱不僅可以檢測通過產生新特征碼以逃過基于特征碼檢測系統的自變形惡意軟件,也可以檢測從未見過的全新惡意程序。
如何選擇惡意軟件沙箱
高級惡意軟件足夠智能,可感知自身是否處于沙箱環境。一旦檢測到是在沙箱環境中運行,高級惡意軟件在被釋放到網絡環境前是不會表現出任何惡意行為的。對付此類惡意程序的唯一方法,是采用技術上更先進的沙箱解決方案。只有通過模擬整個主機環境——從內存直到應用層,沙箱才能騙過高級惡意軟件。
模擬整個環境的沙箱與真實環境幾乎別無二致,讓惡意程序不可能規避檢測。下一代惡意軟件檢測解決方案可模擬目標環境的方方面面,而不僅僅是應用層和操作系統層。
但有個問題:惡意軟件分析沙箱通常都作為其他網絡安全解決方案的一部分而存在,比如防火墻或終端防護系統。因此,沙箱往往被當成解決方案的免費贈品,購買解決方案時不會過多考慮。但考慮到不是所有沙箱環境都有相同功效,只有一個惡意軟件沙箱可能不足以保護公司數據抵御高級威脅。
選擇企業安全解決方案的時候,最好對沙箱加以特別考慮。能提供完整系統模擬嗎?是分析行為而不僅僅依賴特征碼嗎?能夠復制任何類型任意版本的操作系統或應用嗎?如果解決方案未達到上述標準,你可能需另外購買帶有足夠功能的沙箱以補足解決方案,檢測當今復雜多變的高級惡意軟件。
沙箱是有效網絡安全解決方案的基本組成部分,如果不能合理限制惡意軟件,那該解決方案本身就是無效的。考慮購買或升級惡意軟件檢測解決方案的時候,不妨多給沙箱分一點考察時間。