对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。
有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。
为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。这样就可发现可疑行为,例如联系远程服务器以试图下载有效载荷或者联系命令控制服务器。
只有确定文件安全时,才会传送给收件人。这种沙箱通常是与企业网络分离的虚拟机器,这可确保恶意软件无法传播到网络。
通过这种方式分析链接和文件甚至可阻止防病毒工具无法检测的复杂零日恶意软件。基于云的沙箱可查看恶意软件的行为,而不是依靠基于签名的检测。
这种通过专用基于云的沙箱进行分析的优势在于可扩展性;它能使企业轻松地增加或减少可分析的文件和链接数量。基于云的分析还可消除自己管理和升级设备的开销,并为远程办公室和移动用户提供更简单的覆盖。
有效的基于云的沙箱需要支持各种功能,例如对使用SSL加密流量进行监控的功能,因为这是恶意软件作者尝试避免检测的常用方法。它还需要能够根据用户定义的策略进行内联、即时阻止或隔离操作。基于云的沙箱还应该可利用该服务其他用户的数据,以及分享威胁信息,让任何使用相同系统的企业都可以检测该威胁。
现在基于虚拟机的沙箱技术已经导致有些恶意软件尝试运行它的机器进行指纹识别;如果恶意软件检测到虚拟机管理程序,则会删除自己以防止被分析。更高级的沙箱技术可对付这些规避技术,它们可让虚拟机的指纹看起来向在裸机运行,从而让恶意软件以为到达受害机器并开始执行。
总体来说,基于云的沙箱是对企业防御的有效补充,作为纵深防御战略的一部分。它是检测零日恶意软件和勒索软件的有效方法,但并不是万无一失的方法。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Senior penetration tester at First Base Technologies where he specialises in Web application security.
翻译
相关推荐
-
合理分析恶意软件:用对方法很重要
以正确的顺序实施多种分析方法可以使安全团队更有可能防止恶意软件渗透进入网络,甚至对于以前并没有被确认的恶意软件样本也能够起作用……
-
《2017年IT优先级调查》:重点考虑云、网络、端点安全
在TechTarget《2017年IT优先级调查报告》中,显示了企业和信息技术专业人员投入时间和资源较多的一些重要的IT安全趋势。不例外的是,保护网络和企业中大量的端点被认为是2017年最重要的安全优先事项之一……
-
赛门铁克最新SEP 14端点安全方案:人工智能是亮点
新的SEP 14带来端点安全的创新和突破,基于端点和云端的人工智能,SEP 14将基本的端点技术、高级机器学习和记忆漏洞缓解措施集成至单一代理,帮助企业用户实现多层防护,从而有效抵御针对端点的高级威胁。
-
崛起中的“无文件式”恶意软件攻击
攻击者保持不被发现的时间越长,他们就越有可能实现自己的目标。攻击者早就知道在攻击过程中删除自己的工具,而恶意软件作者也开始删除在攻击中使用的文件,这被称为无文件(fileless)恶意软件……