今天，APT(高級持續(xù)性威脅)攻擊已經(jīng)不再是新鮮話題，但卻仍是令整個安全業(yè)界頭疼的問題。作為將眾多滲透技術(shù)整合在一起實現(xiàn)的隱秘性攻擊手法——APT攻擊憑借特征未知、隱蔽性強，持續(xù)時間長等特性，令傳統(tǒng)的安全防護解決方案幾乎全部失效。那么誰又能有效阻擊APT攻擊呢?目前來看，沙盒(模擬一個虛擬用戶環(huán)境)無疑是最有效的方法之一，因為其斬斷了APT攻擊的“生命鏈條”。

[[116245]]

為何說沙盒可以斬斷APT攻擊的“生命鏈條”?在解答這一問題之前，我們先來看一個典型的APT攻擊過程，大約分為五步：

第一步，攻擊者會盜用一個企業(yè)的供應(yīng)商或者合作伙伴的賬號，從而達到訪問企業(yè)內(nèi)網(wǎng)的目的;

第二步，攻擊者利用自制的攻擊工具(利用已知的和0day等未知的安全漏洞)，在企業(yè)的某一臺服務(wù)器或PC上種下木馬病毒;

第三步，該木馬會在企業(yè)網(wǎng)絡(luò)中不斷滲透，尋找企業(yè)關(guān)鍵的數(shù)據(jù)庫，盜取包括企業(yè)核心數(shù)據(jù)，員工ID、信用卡密碼、手機號等重要信息;

第四步，通過FTP、郵件、甚至是更加隱秘的方式，不斷地把這些數(shù)據(jù)發(fā)送給攻擊者;

第五步，整個攻擊過程大約持續(xù)數(shù)個月，甚至是半年/一年。

這五步相互關(guān)聯(lián)，也就形成了APT攻擊的“生命鏈條”。而其中最關(guān)鍵的當屬第二步，即攻擊者利用0day等未知漏洞攻陷企業(yè)服務(wù)器或PC，該攻擊方式隱蔽性強，傳統(tǒng)的入侵防御系統(tǒng)、防病毒系統(tǒng)、以及web應(yīng)用防火墻等均無法感知;而當攻擊者完成“突破”之后，還要經(jīng)歷滲透(包括提權(quán)與遷移)，竊聽，偷數(shù)據(jù)等過程，即APT攻擊需要一定的持續(xù)時間。由此不難看出，如果能夠打破APT攻擊隱蔽性和持續(xù)性這兩個特性，也就能斬斷其“生命鏈條”，即可有效阻止APT攻擊，而沙盒就具備這樣的能力。

沙盒，即為一些不可靠的程序提供試驗而不影響系統(tǒng)運行的環(huán)境，有時也被稱作沙箱。

對于基于0day的APT攻擊，傳統(tǒng)的基于簽名的檢測方式確實難以識別，而通過沙盒所打造的虛擬運行環(huán)境，我們即可通過其“行為”來判斷一個文件、一個訪問等是惡意的還是善意的，從而有效阻止APT攻擊。舉例來說，當一個文件在虛擬的沙箱中運行時，如果我們發(fā)現(xiàn)其修改了注冊表、刪除了文件，或是自身創(chuàng)造出了新的文件，亦或是試圖訪問惡意網(wǎng)站，并下載一些病毒和木馬等等，那么即可確定這個文件是惡意的，即使我們現(xiàn)在沒有其特征碼，也可以防御它。與此同時，我們還可提取其“特征碼”，在第一時間封堵這一未知(0day)威脅。

此外，沙盒還可快速發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患，比如有一臺服務(wù)器/PC中了木馬，其可快速找到這臺設(shè)備，并且處理它(或隔離它)，從而打斷APT攻擊的持續(xù)性。

通過上述介紹我們不難看出，沙盒的確是目前阻擊APT攻擊的最有效方法之一，其通過“行為”識別，打破其隱蔽特性;通過快速發(fā)現(xiàn)安全隱患(將其隔離，修補漏洞)，打破其持續(xù)特性，從而斬斷了APT攻擊的“生命鏈條”，讓企業(yè)的信息安全更有保證!