如今的惡意軟件正利用各種獨(dú)具創(chuàng)新的技術(shù)回避傳統(tǒng)簽名類反惡意軟件的搜捕。入侵防御系統(tǒng)、Web過濾及殺毒產(chǎn)品在對抗將精密惡意軟件與持久性遠(yuǎn)程訪問相結(jié)合的新型攻擊方面有點(diǎn)力不從心。一些惡意人士正虎視眈眈，想利用先進(jìn)的技術(shù)，通過持久戰(zhàn)拿下企業(yè)敏感業(yè)務(wù)數(shù)據(jù)這一重要城池。

這種情況下，新型威脅檢測工具呼之欲出，它利用沙箱技術(shù)實(shí)現(xiàn)高級惡意軟件識別以加固安全防線。目前已經(jīng)有多家企業(yè)開發(fā)這類產(chǎn)品，其中包括FireEye有限公司、Damballa有限公司、Pal Alto網(wǎng)絡(luò)以及NetWitness等等，他們承諾提供無懈可擊的惡意軟件保護(hù)效果。在本文中，我們將一同探討當(dāng)前高級惡意軟件及威脅檢測產(chǎn)品中所采用的新興技術(shù)，關(guān)注其工作原理、優(yōu)勢以及應(yīng)用中存在的問題和注意事項(xiàng)。

高級威脅檢測產(chǎn)品的秘籍：沙箱機(jī)制

各類高級惡意軟件檢測產(chǎn)品中的主干技術(shù)就是近年來聲名大噪的沙箱機(jī)制。在沙箱機(jī)制的幫助下，我們可以通過一系列技術(shù)和流程揪出潛在的惡意軟件威脅。

利用網(wǎng)絡(luò)流量分析功能識別網(wǎng)絡(luò)環(huán)境下的潛在威脅，利用行為模式功能將可疑文件發(fā)往沙箱環(huán)境當(dāng)中，這些文件隨后將在一套類似于虛擬機(jī)的獨(dú)立環(huán)境中接受檢查。具體來說，這套機(jī)制能夠提供不同操作系統(tǒng)及軟件版本搭配并能夠了解其具體行為方式：文件在不同配置環(huán)境下的表現(xiàn)將被一一記錄，并為技術(shù)人員提供一份不同系統(tǒng)與軟件引發(fā)的文件變化報告。基于這份報告，我們能夠準(zhǔn)確判斷對應(yīng)文件是否屬于惡意軟件。

這套機(jī)制的可行性在于：無論惡意軟件利用哪種技術(shù)來隱藏自己的形跡，都必然需要以某種方式影響操作系統(tǒng)來實(shí)現(xiàn)自己的惡意目的，而沙箱軟件則負(fù)責(zé)全程監(jiān)督這一流程。沙箱機(jī)制共分為兩步：第一、檢測威脅，第二、將其發(fā)送至沙箱環(huán)境(它的出現(xiàn)能夠顯著降低錯誤主、被動反應(yīng)的出現(xiàn)機(jī)率)。

文件在進(jìn)入網(wǎng)絡(luò)環(huán)境之前也將被加以分析——最常見的例子就是從網(wǎng)站中下載文件。安全產(chǎn)品會匯總網(wǎng)絡(luò)流量并檢測其中的異常代碼以及指定優(yōu)先級。一旦分析結(jié)果達(dá)到特定臨界值，這部分流量就會被定義為“可疑”并被發(fā)送至沙箱環(huán)境中。

網(wǎng)絡(luò)流量分析技術(shù)阻斷了數(shù)據(jù)泄露的通路，從而將網(wǎng)絡(luò)威脅的出現(xiàn)機(jī)率降至最低。這樣一來，惡意軟件就無法發(fā)出所謂“回叫信號”(即：初步感染成功后發(fā)起的進(jìn)一步惡意代碼下載活動)了。由于沙箱技術(shù)并非以簽名機(jī)制為基礎(chǔ)，因此能夠檢測出最新惡意軟件類型。惡意軟件的識別結(jié)果信息往往會被共享至所有設(shè)備端，從而加快對同類威脅的后續(xù)識別速度。

如何選擇威脅檢測產(chǎn)品

由于這類安全方案往往價格不菲，因此對于企業(yè)而言必須在購買之前認(rèn)真考量方案的可行性與適用性，從而確保自己選擇正確的威脅檢測系統(tǒng)。選擇時要注意以下幾點(diǎn)：

免費(fèi)試用了解產(chǎn)品

很明顯，大家應(yīng)該拿出一部分時間體驗(yàn)產(chǎn)品的免費(fèi)試用版本，借此機(jī)會了解該系統(tǒng)是否能為企業(yè)帶來切實(shí)收益。

制定一致的安全方案

需要注意的是：一旦產(chǎn)品選擇流程結(jié)束，我們需要將其推廣至企業(yè)中的每一個分支機(jī)構(gòu)。異地分支機(jī)構(gòu)往往會成為攻擊者們的首選目標(biāo)，因此這些機(jī)構(gòu)需要具備與企業(yè)其它部門相一致的保護(hù)方案。

接受產(chǎn)品的優(yōu)缺點(diǎn)

因?yàn)闆]有哪種安全產(chǎn)品是面面俱到的，所以在選擇高級威脅監(jiān)測產(chǎn)品時一定要明確到底需要解決什么問題。CSO要清楚這些系統(tǒng)無法分析SSL加密流量，而且在大多數(shù)情況下只能針對Windows環(huán)境實(shí)現(xiàn)威脅分析;它們也無法檢測出已經(jīng)安裝在員工個人設(shè)備當(dāng)中的惡意軟件。但是，用于預(yù)防數(shù)據(jù)泄露的網(wǎng)絡(luò)流量分析功能卻非常有效，的確能夠幫助企業(yè)對抗某些安全短板。

深度防御是防止惡意軟件及高級持久性威脅通過網(wǎng)絡(luò)竊取我們重要信息與機(jī)密數(shù)據(jù)的關(guān)鍵所在。這些新技術(shù)應(yīng)當(dāng)成為防御體系中的一部分，并與優(yōu)秀的事故響應(yīng)專家團(tuán)隊及頻繁入侵測試相結(jié)合，通過模擬真實(shí)攻擊強(qiáng)化自身保護(hù)能力。

結(jié)語：即使已經(jīng)把防御產(chǎn)品部署到位，狡猾的攻擊者仍然會不斷向我們發(fā)起攻勢。隨著此類安全產(chǎn)品日趨流行，經(jīng)驗(yàn)老道的攻擊者終將開發(fā)出足以愚弄這些方案的新型技術(shù)。這相當(dāng)于新一輪軍備競賽，企業(yè)必須加大投資力度、建立多種安全防御層，從而保證自己的資產(chǎn)與敏感數(shù)據(jù)遠(yuǎn)離惡意困擾。