因為能在威脅真正影響到生產環(huán)境之前做測試，沙箱一直被標榜為預防網絡攻擊的高級方法。但這種方法有沒有什么代價，又是否像供應商吹噓的那么有效呢？

普通人眼中的沙箱，就是小孩子在操場上玩耍的地方。同樣地，對IT人員而言，沙箱常被當做代碼正式應用到生產環(huán)境之前的一個可以安全地開發(fā)和測試的地方。對安全人員而言，沙箱測試是用來發(fā)現(xiàn)零日威脅和隱秘攻擊的方法之一。然而，隨著入侵者和防御者之間軍備競賽的持續(xù)升級，惡意軟件開發(fā)者也不斷地找到能夠繞過沙箱檢測的各種精妙辦法。

很多IT安全人員和CISO還在重度依賴僅憑沙箱策略防護自家資源。同時，網絡世界中的暴徒卻不斷尋找新方法在沙箱中“愉快玩耍”。

[[232445]]

迷思 vs. 現(xiàn)實

沙箱確實為你的網絡威脅預防策略提供了一層防御，但也隨之帶來了對大多數(shù)公司企業(yè)而言難以承受的額外代價。以下3個迷思就常伴沙箱技術左右：

• 迷思1：沙箱很快

現(xiàn)實：沙箱很慢

按照沙箱執(zhí)行的定義，進入到公司操作系統(tǒng)、網絡或應用的所有數(shù)據(jù)都需流經沙箱，觸發(fā)執(zhí)行之后判定其中是否隱含惡意軟件。這種機制會給通信帶來嚴重的延遲，尤其是對每天有上百萬電子郵件和文件流轉的企業(yè)而言。

• 迷思2：沙箱性價比高

現(xiàn)實：沙箱是資源密集型的（可以理解為很貴很貴）

創(chuàng)建安全沙箱所需的硬件直接取決于你的應用環(huán)境，因為你得復制出每個場景來測試網絡入侵的可能性。光從硬件和軟件的角度看就已經很貴了，再加上維護和更新這些環(huán)境所需的人力資源，那花銷可不是一般公司能承受的。

• 迷思3：沙箱本身堅不可摧

現(xiàn)實：沙箱也是可以被愚弄的

有時候，認為有堅不可摧的方法能夠防止網絡攻擊，是個太過美好的幻想。黑客都忍不住公布破解沙箱的方法來嘲弄這種想法了。

今天的企業(yè)網絡不再局限于其邊界，有各種服務橫跨公開和私有環(huán)境，有各種各樣的基礎設施布設在底層，還有大量的應用與資源可供選擇。

沙箱替代

真心想要預防而非緩解網絡攻擊的公司企業(yè)，需要考慮不需要沙箱的帶防繞過方法的平臺。這種平臺能賦予客戶適度的靈活性，可以在不斷改變的威脅態(tài)勢中實現(xiàn)端到端安全。

無論是在現(xiàn)場還是在云端，該平臺的操作應保持一致，其安全邏輯中應完全摒除環(huán)境變量。同時，該平臺還應基礎設施無關，無論底層基礎設施如何實現(xiàn)，都能執(zhí)行安全防護職能，應能在包含虛擬、硬件和一切皆服務(XaaS)基礎設施的混合環(huán)境中運行良好。為提供真正的端到端安全，該平臺需要賦予客戶不局限于特定垂直領域的靈活性和一致性。