對(duì)于企業(yè)來(lái)說(shuō)，傳統(tǒng)防病毒和端點(diǎn)安全工具是分層網(wǎng)絡(luò)防御戰(zhàn)略的關(guān)鍵組成部分，但在檢測(cè)惡意軟件方面，它們并非100%有效。

有些更高級(jí)的惡意軟件(例如利用零日漏洞的多級(jí)惡意軟件)可攻擊這些安全工具并感染受害機(jī)器。這種高級(jí)惡意軟件通常由民族國(guó)家或有組織犯罪團(tuán)伙用來(lái)入侵具有良好傳統(tǒng)防御的企業(yè)，并且，他們通常通過(guò)電子郵件網(wǎng)絡(luò)釣魚(yú)攻擊作為交付方式。

[[197087]]

為了加強(qiáng)端點(diǎn)安全和入侵防御系統(tǒng)，有些企業(yè)轉(zhuǎn)向基于云的沙箱技術(shù)，他們現(xiàn)有安全提供商通常提供沙箱技術(shù)作為高級(jí)模塊。在文件或鏈接傳輸?shù)接脩糁?，基于云的沙箱?huì)先在安全環(huán)境中檢查潛在惡意文件或鏈接，并執(zhí)行文件并查看其嘗試執(zhí)行的操作。這樣就可發(fā)現(xiàn)可疑行為，例如聯(lián)系遠(yuǎn)程服務(wù)器以試圖下載有效載荷或者聯(lián)系命令控制服務(wù)器。

只有確定文件安全時(shí)，才會(huì)傳送給收件人。這種沙箱通常是與企業(yè)網(wǎng)絡(luò)分離的虛擬機(jī)器，這可確保惡意軟件無(wú)法傳播到網(wǎng)絡(luò)。

通過(guò)這種方式分析鏈接和文件甚至可阻止防病毒工具無(wú)法檢測(cè)的復(fù)雜零日惡意軟件?；谠频纳诚淇刹榭磹阂廛浖男袨?，而不是依靠基于簽名的檢測(cè)。

這種通過(guò)專用基于云的沙箱進(jìn)行分析的優(yōu)勢(shì)在于可擴(kuò)展性;它能使企業(yè)輕松地增加或減少可分析的文件和鏈接數(shù)量?；谠频姆治鲞€可消除自己管理和升級(jí)設(shè)備的開(kāi)銷，并為遠(yuǎn)程辦公室和移動(dòng)用戶提供更簡(jiǎn)單的覆蓋。

有效的基于云的沙箱需要支持各種功能，例如對(duì)使用SSL加密流量進(jìn)行監(jiān)控的功能，因?yàn)檫@是惡意軟件作者嘗試避免檢測(cè)的常用方法。它還需要能夠根據(jù)用戶定義的策略進(jìn)行內(nèi)聯(lián)、即時(shí)阻止或隔離操作?；谠频纳诚溥€應(yīng)該可利用該服務(wù)其他用戶的數(shù)據(jù)，以及分享威脅信息，讓任何使用相同系統(tǒng)的企業(yè)都可以檢測(cè)該威脅。

現(xiàn)在基于虛擬機(jī)的沙箱技術(shù)已經(jīng)導(dǎo)致有些惡意軟件嘗試運(yùn)行它的機(jī)器進(jìn)行指紋識(shí)別;如果惡意軟件檢測(cè)到虛擬機(jī)管理程序，則會(huì)刪除自己以防止被分析。更高級(jí)的沙箱技術(shù)可對(duì)付這些規(guī)避技術(shù)，它們可讓虛擬機(jī)的指紋看起來(lái)向在裸機(jī)運(yùn)行，從而讓惡意軟件以為到達(dá)受害機(jī)器并開(kāi)始執(zhí)行。

總體來(lái)說(shuō)，基于云的沙箱是對(duì)企業(yè)防御的有效補(bǔ)充，作為縱深防御戰(zhàn)略的一部分。它是檢測(cè)零日惡意軟件和勒索軟件的有效方法，但并不是萬(wàn)無(wú)一失的方法。