現(xiàn)在的惡意軟件會(huì)使用一些巧妙的技術(shù)來(lái)躲避傳統(tǒng)基于簽名的反惡意軟件的檢測(cè)。入侵防御系統(tǒng)、網(wǎng)頁(yè)過(guò)濾和防病毒產(chǎn)品已經(jīng)不能夠抵擋新類別的攻擊者，這種新類別會(huì)把復(fù)雜的惡意軟件與持續(xù)性的遠(yuǎn)程訪問(wèn)特性結(jié)合，目的是在一段較長(zhǎng)的時(shí)間內(nèi)，竊取公司敏感數(shù)據(jù)。

新的威脅檢測(cè)工具試圖通過(guò)沙盒(sandboxing)技術(shù)提供先進(jìn)的惡意軟件檢測(cè)系統(tǒng)來(lái)解決這個(gè)問(wèn)題。很多公司都提供這樣的產(chǎn)品，包括FireEye Inc、Damballa Inc、Palo Alto Networks、NetWitness等，所有這些系統(tǒng)都承諾可以近乎完全抵御惡意軟件威脅。本文中，我們將討論當(dāng)今先進(jìn)的惡意軟件和威脅檢測(cè)產(chǎn)品所用到的技術(shù)，專注于他們目前所提供的優(yōu)勢(shì)和還未解決的挑戰(zhàn)。

威脅檢測(cè)：沙盒技術(shù)

目前各種先進(jìn)的惡意軟件檢測(cè)產(chǎn)品所用到的主要技術(shù)就是沙盒。沙盒是用多種技術(shù)來(lái)識(shí)別潛在的惡意軟件威脅。其首先使用網(wǎng)絡(luò)流量分析來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)上的潛在威脅，并分析其行為類型和可疑的文件。然后這些文件會(huì)在一個(gè)虛擬機(jī)環(huán)境中被審查和分析，這個(gè)虛擬機(jī)是使用一套不同的操作系統(tǒng)和軟件版本。最后這些文件對(duì)虛擬機(jī)環(huán)境所作的更改會(huì)被記錄下來(lái)，生成一個(gè)報(bào)告，展示虛擬操作系統(tǒng)和軟件各個(gè)部分的更改?；谠搱?bào)告，這些文件可以被確認(rèn)為惡意軟件。

這種方法好處在于，無(wú)論惡意軟件使用哪些技術(shù)來(lái)隱藏其載體，它總會(huì)需要以某種方式來(lái)影響操作系統(tǒng)，這樣沙盒軟件就會(huì)檢測(cè)到它。沙盒技術(shù)包含兩個(gè)階段：首先檢測(cè)到威脅，然后將其送入沙盒。這樣可以很大程度地降低誤報(bào)和漏報(bào)。

文件在其進(jìn)入網(wǎng)絡(luò)那一瞬間也會(huì)被沙盒軟件分析，比如在文件從網(wǎng)站上被下載時(shí)。基于沙盒技術(shù)的威脅檢測(cè)產(chǎn)品會(huì)重新集合網(wǎng)頁(yè)流量，檢測(cè)編碼中的可疑數(shù)據(jù)并為其分配優(yōu)先權(quán)。在一個(gè)特定的閾值內(nèi)，可疑的數(shù)據(jù)流量會(huì)被送到沙盒中?；诰W(wǎng)絡(luò)流量分析的防止數(shù)據(jù)外泄行為會(huì)將已經(jīng)在網(wǎng)絡(luò)上的威脅最小化。當(dāng)惡意軟件最初的感染用于下載更多的惡意軟件時(shí)，會(huì)被“回調(diào)”行為阻止。而且由于沙盒技術(shù)并不是基于簽名的，所以它可以發(fā)現(xiàn)新品種的惡意軟件。一旦惡意軟件的信息被發(fā)現(xiàn)，那么就會(huì)共享給所有的設(shè)備，這樣可以在最快的時(shí)間內(nèi)檢測(cè)到威脅。

威脅檢測(cè)產(chǎn)品選擇過(guò)程

這些威脅檢測(cè)工具并不便宜，所以你需要慎重考慮，以確保你所選擇的威脅檢測(cè)系統(tǒng)適合你的組織。花時(shí)間去試用廠商所提供的免費(fèi)檢測(cè)產(chǎn)品是有必要的，這樣才能了解系統(tǒng)對(duì)你的組織是否有價(jià)值。重要的是要注意，一旦你選中一個(gè)產(chǎn)品，你需要將其推廣到所有的辦事處。遠(yuǎn)程分支機(jī)構(gòu)往往是攻擊的起始目標(biāo)，你也需要將威脅檢測(cè)軟件部署到這些地方。

另外要知道，沒(méi)有一款產(chǎn)品是萬(wàn)能的。這些系統(tǒng)不能分析SSL加密流量，而且在大多數(shù)情況下，他們只能分析對(duì)于Windows環(huán)境的威脅。他們也不能檢測(cè)到已經(jīng)安裝在員工個(gè)人設(shè)備上的惡意軟件。但是，用于防止數(shù)據(jù)泄露的網(wǎng)絡(luò)流量分析是一個(gè)很棒的特性，它可以幫助對(duì)付一些弱點(diǎn)。

縱深防御是阻止惡意軟件和先進(jìn)持續(xù)性威脅滲透你的網(wǎng)絡(luò)、竊取秘密和機(jī)密數(shù)據(jù)的關(guān)鍵。這些新的技術(shù)應(yīng)該被視為一層防御，企業(yè)應(yīng)該建立一支優(yōu)秀的事件響應(yīng)專家團(tuán)隊(duì)來(lái)研究它們，團(tuán)隊(duì)要采取頻繁的滲透測(cè)試來(lái)模擬真實(shí)攻擊。高度復(fù)雜的對(duì)手會(huì)無(wú)視威脅檢測(cè)產(chǎn)品所提供的防御，不停地攻擊你。隨著這些產(chǎn)品類型變得越來(lái)越受歡迎，堅(jiān)定的攻擊者會(huì)試圖開(kāi)發(fā)技術(shù)來(lái)騙過(guò)沙盒軟件。這就像軍事競(jìng)賽中的一個(gè)步驟，企業(yè)需要投資建立多層防御來(lái)保證其資產(chǎn)和敏感數(shù)據(jù)的安全。