Michael Cobb是認(rèn)證信息系統(tǒng)安全架構(gòu)專家(CISSP-ISSAP),知名的安全作家,具有十多年豐富的IT行業(yè)經(jīng)驗(yàn),并且還從事過十六年的金融行業(yè)。他是Cobweb Applications公司的創(chuàng)始人兼常務(wù)董事,該公司主要提供IT培訓(xùn),以及數(shù)據(jù)安全和分析的支持。Michael還合著過IIS Security一書,并為領(lǐng)先的IT出版物撰寫過無數(shù)科技文章。此外,Michael還是微軟認(rèn)證數(shù)據(jù)庫系統(tǒng)管理員和微軟認(rèn)證專家。
在阻止和分析未知安全威脅方面,智能沙盒與普通沙盒技術(shù)之間有什么區(qū)別?智能沙盒是否可用于企業(yè)?
Michael Cobb:企業(yè)以及所有網(wǎng)絡(luò)用戶面對(duì)的問題是如何確保反惡意軟件能夠發(fā)現(xiàn)并緩解最新攻擊。對(duì)于所有安全技術(shù)而言,零日漏洞利用是最具挑戰(zhàn)性的威脅,因?yàn)樗鼈兺耆珵槲粗?,也沒有補(bǔ)丁,讓網(wǎng)絡(luò)和設(shè)備易受到攻擊。為了應(yīng)對(duì)零日漏洞利用威脅,反惡意軟件供應(yīng)商采用的方法之一是沙盒技術(shù)。
沙盒技術(shù)提供對(duì)資源的嚴(yán)格控制,例如限制對(duì)內(nèi)存、系統(tǒng)文件和設(shè)置的訪問,這讓企業(yè)可通過執(zhí)行潛在惡意代碼而發(fā)現(xiàn)其活動(dòng)和意圖,而不會(huì)影響主機(jī)設(shè)備。對(duì)進(jìn)入企業(yè)網(wǎng)絡(luò)的代碼進(jìn)行的這種分析意味著,即使是零日漏洞利用都可以被發(fā)現(xiàn)——通過分析代碼的惡意意圖。
然而,惡意軟件編寫者知道其代碼在破壞系統(tǒng)之前會(huì)被分析,所以他們現(xiàn)在開始添加高級(jí)模糊和逃避技術(shù)來防止被普通沙盒發(fā)現(xiàn)。他們采用的其中一種方法是當(dāng)代碼檢測(cè)到它在沙盒環(huán)境時(shí),它會(huì)表現(xiàn)正常,或者當(dāng)代碼被直接打開或在不正確的環(huán)境中打開時(shí),它不會(huì)解密并運(yùn)行漏洞利用代碼。這些逃避技術(shù)意味著,現(xiàn)在沙盒技術(shù)面臨的挑戰(zhàn)是盡可能準(zhǔn)確地反映用戶的環(huán)境,并誘導(dǎo)攻擊者的代碼來顯現(xiàn)或執(zhí)行器惡意負(fù)載。
其中一個(gè)這樣的沙盒就是出自趨勢(shì)科技公司的Deep Discovery解決方案。與大多數(shù)傳統(tǒng)沙盒技術(shù)一樣,它能夠分析威脅各方面的行為:其腳本、shellcode以及有效載荷。不同之處在于,這種“智能”沙盒還可由管理員配置為匹配其系統(tǒng)配置。這意味著企業(yè)可以更好地看到專門針對(duì)企業(yè)的定制惡意軟件將如何運(yùn)行,這將允許管理員更好地評(píng)估該惡意軟件對(duì)其系統(tǒng)的潛在影響,例如注冊(cè)表變更、丟棄文件以及到命令控制服務(wù)器的連接。
這種對(duì)惡意軟件的分析是抵御高級(jí)威脅的戰(zhàn)斗中必不可少的工具;智能沙盒可分析旨在逃避沙盒分析的惡意軟件,這是惡意軟件編寫者與試圖阻止這些攻擊的人之間持續(xù)進(jìn)行的軍備競(jìng)賽的中的最新進(jìn)展。我們期待其他反惡意軟件供應(yīng)商推出新的或類似的技術(shù)來捕捉惡意軟件到智能沙盒中進(jìn)行分析、識(shí)別和緩解。與基于簽名的檢查相比,這種方法提供了更先進(jìn)的方法來抵御零日攻擊,我們希望這種方法可幫助企業(yè)抵御攻擊者,哪怕是暫時(shí)地抵御。