如何利用基于云的沙箱来分析恶意软件?
对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。
有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。
为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。这样就可发现可疑行为,例如联系远程服务器以试图下载有效载荷或者联系命令控制服务器。
只有确定文件安全时,才会传送给收件人。这种沙箱通常是与企业网络分离的虚拟机器,这可确保恶意软件无法传播到网络。
通过这种方式分析链接和文件甚至可阻止防病毒工具无法检测的复杂零日恶意软件。基于云的沙箱可查看恶意软件的行为,而不是依靠基于签名的检测。
这种通过专用基于云的沙箱进行分析的优势在于可扩展性;它能使企业轻松地增加或减少可分析的文件和链接数量。基于云的分析还可消除自己管理和升级设备的开销,并为远程办公室和移动用户提供更简单的覆盖。
有效的基于云的沙箱需要支持各种功能,例如对使用SSL加密流量进行监控的功能,因为这是恶意软件作者尝试避免检测的常用方法。它还需要能够根据用户定义的策略进行内联、即时阻止或隔离操作。基于云的沙箱还应该可利用该服务其他用户的数据,以及分享威胁信息,让任何使用相同系统的企业都可以检测该威胁。
现在基于虚拟机的沙箱技术已经导致有些恶意软件尝试运行它的机器进行指纹识别;如果恶意软件检测到虚拟机管理程序,则会删除自己以防止被分析。更高级的沙箱技术可对付这些规避技术,它们可让虚拟机的指纹看起来向在裸机运行,从而让恶意软件以为到达受害机器并开始执行。
总体来说,基于云的沙箱是对企业防御的有效补充,作为纵深防御战略的一部分。它是检测零日恶意软件和勒索软件的有效方法,但并不是万无一失的方法。