122      人物

如何利用基於雲的沙箱來分析惡意軟件？

對於企業來說，傳統防病毒和端點安全工具是分層網絡防禦戰略的關鍵組成部分，但在檢測惡意軟件方麵，它們並非100%有效。

有些更高級的惡意軟件(例如利用零日漏洞的多級惡意軟件)可攻擊這些安全工具並感染受害機器。這種高級惡意軟件通常由民族國家或有組織犯罪團夥用來入侵具有良好傳統防禦的企業，並且，他們通常通過電子郵件網絡釣魚攻擊作為交付方式。

為了加強端點安全和入侵防禦係統，有些企業轉向基於雲的沙箱技術，他們現有安全提供商通常提供沙箱技術作為高級模塊。在文件或鏈接傳輸到用戶之前，基於雲的沙箱會先在安全環境中檢查潛在惡意文件或鏈接，並執行文件並查看其嚐試執行的操作。這樣就可發現可疑行為，例如聯係遠程服務器以試圖下載有效載荷或者聯係命令控製服務器。

隻有確定文件安全時，才會傳送給收件人。這種沙箱通常是與企業網絡分離的虛擬機器，這可確保惡意軟件無法傳播到網絡。

通過這種方式分析鏈接和文件甚至可阻止防病毒工具無法檢測的複雜零日惡意軟件。基於雲的沙箱可查看惡意軟件的行為，而不是依靠基於簽名的檢測。

這種通過專用基於雲的沙箱進行分析的優勢在於可擴展性;它能使企業輕鬆地增加或減少可分析的文件和鏈接數量。基於雲的分析還可消除自己管理和升級設備的開銷，並為遠程辦公室和移動用戶提供更簡單的覆蓋。

有效的基於雲的沙箱需要支持各種功能，例如對使用SSL加密流量進行監控的功能，因為這是惡意軟件作者嚐試避免檢測的常用方法。它還需要能夠根據用戶定義的策略進行內聯、即時阻止或隔離操作。基於雲的沙箱還應該可利用該服務其他用戶的數據，以及分享威脅信息，讓任何使用相同係統的企業都可以檢測該威脅。

現在基於虛擬機的沙箱技術已經導致有些惡意軟件嚐試運行它的機器進行指紋識別;如果惡意軟件檢測到虛擬機管理程序，則會刪除自己以防止被分析。更高級的沙箱技術可對付這些規避技術，它們可讓虛擬機的指紋看起來向在裸機運行，從而讓惡意軟件以為到達受害機器並開始執行。

總體來說，基於雲的沙箱是對企業防禦的有效補充，作為縱深防禦戰略的一部分。它是檢測零日惡意軟件和勒索軟件的有效方法，但並不是萬無一失的方法。

本文作者：鄒錚 

來源：51CTO

最後更新：2017-11-03 16:34:11

  上一篇：  IFAA開放能力，正式啟動中小企業互聯網身份認證加速器計劃

  下一篇：  《中華人民共和國網絡安全法》給金融IT安全帶來了哪些影響?