高級惡意軟件是網(wǎng)絡世界里最新、最具潛在破壞性的威脅。它們隱秘，具有針對性且極具“耐心”。一些知名的惡意軟件盡管通常帶有易于識別的簽名，但通過不斷變化總能逃過一般識別模式的防御。此外，它們通常專注于特定目標，并在達到目的之前“小心翼翼”，盡量減少在網(wǎng)絡上的“蹤跡”?？梢哉f，高級惡意軟件在被發(fā)現(xiàn)和被消除之前其實已經(jīng)活躍很久了。與此同時，在未被發(fā)現(xiàn)期間，這些軟件對系統(tǒng)和組織已造成重大破壞。

針對高級惡意軟件如上特殊性，傳統(tǒng)網(wǎng)絡安全解決方案的開發(fā)方式不再百分之百的有效。基于“簽名”方法的整體解決方案對于捕獲那些已知惡意軟件高效準確，但僅靠這些方法顯然不足以使機構或組織得到充分保護。

那么，我們應該如何應對這種高級惡意軟件？我想先談談目前普遍存在的對高級惡意軟件解決方案的兩大誤解，繼而分析怎樣才是最有效的方式。

誤解一：高級惡意軟件的主要問題在于如何識別

正如前面所分析的高級惡意軟件的特性，傳統(tǒng)的解決方案已經(jīng)無法滿足我們的需求，因此需要另辟蹊徑。目前，應對這種威脅的一個常見方法是一種基于“行為”的技術，稱為沙盒技術。

沙盒是一種強大的離線查找工具，可將未知或可疑文件隔離在一個虛擬環(huán)境里，允許它們在其中充分“表演”，就好像它們已達到目標；而沙盒內(nèi)置的設備會監(jiān)控文件的“一舉一動”。如果疑似病毒確認具有威脅性，那么它則無法在隔離的虛擬環(huán)境里產(chǎn)生真正威脅。沙盒技術創(chuàng)造出了一個相對安全的環(huán)境，可以用來測試可疑文件。此外，由于沙盒無需在分析前了解文件情況，即無需“簽名”，因此它成為了一項識別高級惡意軟件的強大技術。

但是，“沙盒”也有其局限性。例如，許多沙盒技術只能在既定操作系統(tǒng)的通用版本上運行，并非是客戶實際操作環(huán)境的真正影像。這就可能導致對可疑文件行為的錯誤假設。這種局限性在某種程度上限制了它們捕獲高級威脅的能力。

但這種基于行為的方法在識別大量高級威脅方面仍表現(xiàn)得相當有效，因此市場對該項技術反響熱烈。然而，正是這種熱烈反響產(chǎn)生了一個共同的傳言——高級惡意軟件的主要問題在于如何識別。

事實上，識別高級惡意軟件非常重要，但是真正的挑戰(zhàn)是如何處理高級惡意軟件，阻止并修復其造成的傷害。

沙盒技術是一項功能，而非產(chǎn)品，識別高級惡意軟件只是其中的一個步驟，而非解決方案。雖然傳統(tǒng)的解決方案通常無法識別高級惡意軟件，但它們卻具有良好的防護能力。沙盒的局限是只能識別威脅，而不能進行阻止和修復，因此，為了真正地抵御高級惡意軟件，沙盒必須配有阻止威脅并修復其所造成的損害的工具。如果沒有這些附加功能，安全行業(yè)只是解決了問題的一部分，而將大多數(shù)工作留給了客戶。

誤解二：沙盒可以隔離惡意軟件

對惡意軟件的分析往往是復雜且耗時的，因此沙盒并不是一項實時技術。事實上，大多數(shù)沙盒只能對文件復本進行分析，而原始文件則被發(fā)送到目標終點。所以即使發(fā)現(xiàn)一個可疑文件是惡意的，實際文件早已到達終點并造成損害。

就這一點而言，沙盒只能發(fā)現(xiàn)可疑文件是惡意的，但不能真正地阻止它。

此外，沙盒通常是緩慢從一個入口點進入環(huán)境，它甚至不會注意到可能還有其它的高級惡意軟件溜進了其它入口點。但真正安全的技術必須能夠識別和阻止溜進任何入口點的惡意軟件，而無需其它額外軟件幫助。

那么，我們?nèi)绾翁嵘踩墑e呢？我們需要在每個入口點設置監(jiān)控，并采用一些技術阻止被列入黑名單的文件。如果沙盒解決方案有一些附加的文件屏蔽功能，并假設這些功能是成熟的，那么將面臨兩個選擇：可以在每個入口點部署這種技術——這需要我們支付高額的費用；或者可以通過使用一個解決方案，對這些入口點現(xiàn)有的安全產(chǎn)品發(fā)現(xiàn)的可疑文件進行集中分析。

顯然第二種方法能更有效地降低成本并使網(wǎng)絡控制更加嚴格。

總而言之，與傳統(tǒng)防御系統(tǒng)實時分析和阻止惡意軟件的方式不同，沙盒不能實時操作。為了真正有效地應對高級威脅，必須將沙盒部署為高度集成或綜合安全環(huán)境的一部分：可處理多個入口點，且能將信息傳回操作環(huán)境，警告發(fā)現(xiàn)新惡意軟件，并盡可能地在發(fā)現(xiàn)前阻止和修復相應損害。

（作者為邁克菲全球首席技術官）