沙箱環(huán)境是很多網(wǎng)絡(luò)安全解決方案用來對(duì)抗高級(jí)惡意軟件的常用功能。防火墻、終端防護(hù)，甚至下一代機(jī)器學(xué)習(xí)系統(tǒng)都將沙箱作為其防線的一環(huán)。然而，不是所有的沙箱都有類似的功效。

[[260197]]

不同沙箱采取的惡意軟件分析與檢測方法各異，其中一些明顯不如另一些有效。老舊沙箱所用技術(shù)會(huì)被新型惡意軟件規(guī)避，令老舊沙箱很大程度上起不到什么效果。文本將探討不同種類的沙箱，這些沙箱所采用的技術(shù)，及其局限性。

惡意軟件分析沙箱差異

簡言之，沙箱就是供應(yīng)用執(zhí)行或文件打開的安全隔離環(huán)境。這一寬泛定義下，不同沙箱之間差異頗大。沙箱間的差異主要來自4個(gè)方面：所用模擬類型、版本限制、模擬速度，以及惡意軟件檢測具體技術(shù)。

1. 操作系統(tǒng)模擬 vs 完整系統(tǒng)模擬

老舊沙箱環(huán)境基本上只復(fù)制應(yīng)用及操作系統(tǒng)層。這就是所謂的操作系統(tǒng)模擬。曾經(jīng)有那么一段時(shí)間只模擬應(yīng)用層和操作系統(tǒng)層就足以確定文件是否惡意了。被分析的文件會(huì)檢測到該操作系統(tǒng)，以為自己已到達(dá)目標(biāo)主機(jī)，遂嘗試執(zhí)行惡意動(dòng)作，然后被檢測出來。

不幸的是，此類沙箱方法已不再有效?，F(xiàn)代威脅可以檢測出模擬操作系統(tǒng)。為抵御現(xiàn)代威脅，沙箱解決方案需進(jìn)行完整系統(tǒng)模擬。如果缺乏完整系統(tǒng)模擬，就好像身處沒有窗戶的布景房間：惡意軟件總會(huì)拉開窗簾一探究竟的。

2. 操作系統(tǒng)和應(yīng)用版本限制

有些沙箱只對(duì)特定版本的操作系統(tǒng)或應(yīng)用有效。它們可能只能模擬這些解決方案，或者只能識(shí)別針對(duì)這些平臺(tái)的威脅。如果公司采用的操作系統(tǒng)版本正好是該沙箱適用的，那就沒什么問題。但如果公司最終需升級(jí)或調(diào)整其基礎(chǔ)設(shè)施，這就成問題了。操作系統(tǒng)和應(yīng)用版本限制還會(huì)削弱沙箱解決方案在大型綜合性網(wǎng)絡(luò)上的有效性，因?yàn)榇缶W(wǎng)絡(luò)上可能承載著多種解決方案和平臺(tái)。

理想的沙箱解決方案應(yīng)能創(chuàng)建不特定于某種操作系統(tǒng)或應(yīng)用版本的沙箱環(huán)境。

3. 模擬速度

模擬越復(fù)雜，模擬速度就越關(guān)鍵。有些沙箱能夠快速模擬，有些就會(huì)很慢。有些沙箱優(yōu)化良好，只消耗很少的資源;有些沙箱優(yōu)化很差，會(huì)吞掉大量處理時(shí)間和內(nèi)存。若想發(fā)揮效果，沙箱需在整個(gè)網(wǎng)絡(luò)上運(yùn)行。與模擬速度相關(guān)的任何問題都會(huì)迅速膨脹，可能會(huì)拖慢整個(gè)網(wǎng)絡(luò)，干擾生產(chǎn)。

下一代沙箱解決方案牢記網(wǎng)絡(luò)既要保證安全又要保障暢通，非常重視優(yōu)化和有效性。如果采用這些更為先進(jìn)的平臺(tái)，公司企業(yè)遭遇較大資源占用和開銷的概率會(huì)小些。

4. 基于特征碼 vs 基于行為

解決方案在沙箱中運(yùn)行時(shí)，惡意軟件如何檢出?當(dāng)前主要有兩種方法：基于特征碼的分析和基于行為的分析。

基于特征碼的檢測矚目程序，判斷其是否曾被識(shí)別過。基于特征碼的解決方案維護(hù)有用于識(shí)別惡意軟件程序或樣本的龐大特征碼字典。通過匹配新文件特征碼與庫中已知惡意文件特征碼，這些基于特征碼的解決方案能快速判斷文件是否惡意。但不幸的是，一旦文件略有修改，其特征碼也會(huì)隨之改變，基于特征碼的解決方案便無法識(shí)別了。

基于行為的檢測關(guān)注程序嘗試采取的動(dòng)作。如果某樣本嘗試執(zhí)行看似惡意的動(dòng)作，基于行為的檢測解決方案便會(huì)觸發(fā)，要么是用戶收到彈出警告，要么是惡意程序被自動(dòng)隔離。基于行為的沙箱不僅可以檢測通過產(chǎn)生新特征碼以逃過基于特征碼檢測系統(tǒng)的自變形惡意軟件，也可以檢測從未見過的全新惡意程序。

如何選擇惡意軟件沙箱

高級(jí)惡意軟件足夠智能，可感知自身是否處于沙箱環(huán)境。一旦檢測到是在沙箱環(huán)境中運(yùn)行，高級(jí)惡意軟件在被釋放到網(wǎng)絡(luò)環(huán)境前是不會(huì)表現(xiàn)出任何惡意行為的。對(duì)付此類惡意程序的唯一方法，是采用技術(shù)上更先進(jìn)的沙箱解決方案。只有通過模擬整個(gè)主機(jī)環(huán)境——從內(nèi)存直到應(yīng)用層，沙箱才能騙過高級(jí)惡意軟件。

模擬整個(gè)環(huán)境的沙箱與真實(shí)環(huán)境幾乎別無二致，讓惡意程序不可能規(guī)避檢測。下一代惡意軟件檢測解決方案可模擬目標(biāo)環(huán)境的方方面面，而不僅僅是應(yīng)用層和操作系統(tǒng)層。

但有個(gè)問題：惡意軟件分析沙箱通常都作為其他網(wǎng)絡(luò)安全解決方案的一部分而存在，比如防火墻或終端防護(hù)系統(tǒng)。因此，沙箱往往被當(dāng)成解決方案的免費(fèi)贈(zèng)品，購買解決方案時(shí)不會(huì)過多考慮。但考慮到不是所有沙箱環(huán)境都有相同功效，只有一個(gè)惡意軟件沙箱可能不足以保護(hù)公司數(shù)據(jù)抵御高級(jí)威脅。

選擇企業(yè)安全解決方案的時(shí)候，***對(duì)沙箱加以特別考慮。能提供完整系統(tǒng)模擬嗎?是分析行為而不僅僅依賴特征碼嗎?能夠復(fù)制任何類型任意版本的操作系統(tǒng)或應(yīng)用嗎?如果解決方案未達(dá)到上述標(biāo)準(zhǔn)，你可能需另外購買帶有足夠功能的沙箱以補(bǔ)足解決方案，檢測當(dāng)今復(fù)雜多變的高級(jí)惡意軟件。

沙箱是有效網(wǎng)絡(luò)安全解決方案的基本組成部分，如果不能合理限制惡意軟件，那該解決方案本身就是無效的?？紤]購買或升級(jí)惡意軟件檢測解決方案的時(shí)候，不妨多給沙箱分一點(diǎn)考察時(shí)間。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文