高級(jí)惡意軟件是網(wǎng)絡(luò)世界里最新、最具潛在破壞性的威脅。它們隱秘，具有針對(duì)性且極具“耐心”。一些知名的惡意軟件盡管通常帶有易于識(shí)別的簽名，但通過(guò)不斷變化總能逃過(guò)一般識(shí)別模式的防御。此外，它們通常專注于特定目標(biāo)，并在達(dá)到目的之前“小心翼翼”，盡量減少在網(wǎng)絡(luò)上的“蹤跡”?？梢哉f(shuō)，高級(jí)惡意軟件在被發(fā)現(xiàn)和被消除之前其實(shí)已經(jīng)活躍很久了。與此同時(shí)，在未被發(fā)現(xiàn)期間，這些軟件對(duì)系統(tǒng)和組織已造成重大破壞。

針對(duì)高級(jí)惡意軟件如上特殊性，傳統(tǒng)網(wǎng)絡(luò)安全解決方案的開(kāi)發(fā)方式不再百分之百的有效。基于“簽名”方法的整體解決方案對(duì)于捕獲那些已知惡意軟件高效準(zhǔn)確，但僅靠這些方法顯然不足以使機(jī)構(gòu)或組織得到充分保護(hù)。

那么，我們應(yīng)該如何應(yīng)對(duì)這種高級(jí)惡意軟件？我想先談?wù)勀壳捌毡榇嬖诘膶?duì)高級(jí)惡意軟件解決方案的兩大誤解，繼而分析怎樣才是最有效的方式。

誤解一：高級(jí)惡意軟件的主要問(wèn)題在于如何識(shí)別

正如前面所分析的高級(jí)惡意軟件的特性，傳統(tǒng)的解決方案已經(jīng)無(wú)法滿足我們的需求，因此需要另辟蹊徑。目前，應(yīng)對(duì)這種威脅的一個(gè)常見(jiàn)方法是一種基于“行為”的技術(shù)，稱為沙盒技術(shù)。

沙盒是一種強(qiáng)大的離線查找工具，可將未知或可疑文件隔離在一個(gè)虛擬環(huán)境里，允許它們?cè)谄渲谐浞?ldquo;表演”，就好像它們已達(dá)到目標(biāo)；而沙盒內(nèi)置的設(shè)備會(huì)監(jiān)控文件的“一舉一動(dòng)”。如果疑似病毒確認(rèn)具有威脅性，那么它則無(wú)法在隔離的虛擬環(huán)境里產(chǎn)生真正威脅。沙盒技術(shù)創(chuàng)造出了一個(gè)相對(duì)安全的環(huán)境，可以用來(lái)測(cè)試可疑文件。此外，由于沙盒無(wú)需在分析前了解文件情況，即無(wú)需“簽名”，因此它成為了一項(xiàng)識(shí)別高級(jí)惡意軟件的強(qiáng)大技術(shù)。

但是，“沙盒”也有其局限性。例如，許多沙盒技術(shù)只能在既定操作系統(tǒng)的通用版本上運(yùn)行，并非是客戶實(shí)際操作環(huán)境的真正影像。這就可能導(dǎo)致對(duì)可疑文件行為的錯(cuò)誤假設(shè)。這種局限性在某種程度上限制了它們捕獲高級(jí)威脅的能力。

但這種基于行為的方法在識(shí)別大量高級(jí)威脅方面仍表現(xiàn)得相當(dāng)有效，因此市場(chǎng)對(duì)該項(xiàng)技術(shù)反響熱烈。然而，正是這種熱烈反響產(chǎn)生了一個(gè)共同的傳言——高級(jí)惡意軟件的主要問(wèn)題在于如何識(shí)別。

事實(shí)上，識(shí)別高級(jí)惡意軟件非常重要，但是真正的挑戰(zhàn)是如何處理高級(jí)惡意軟件，阻止并修復(fù)其造成的傷害。

沙盒技術(shù)是一項(xiàng)功能，而非產(chǎn)品，識(shí)別高級(jí)惡意軟件只是其中的一個(gè)步驟，而非解決方案。雖然傳統(tǒng)的解決方案通常無(wú)法識(shí)別高級(jí)惡意軟件，但它們卻具有良好的防護(hù)能力。沙盒的局限是只能識(shí)別威脅，而不能進(jìn)行阻止和修復(fù)，因此，為了真正地抵御高級(jí)惡意軟件，沙盒必須配有阻止威脅并修復(fù)其所造成的損害的工具。如果沒(méi)有這些附加功能，安全行業(yè)只是解決了問(wèn)題的一部分，而將大多數(shù)工作留給了客戶。

誤解二：沙盒可以隔離惡意軟件

對(duì)惡意軟件的分析往往是復(fù)雜且耗時(shí)的，因此沙盒并不是一項(xiàng)實(shí)時(shí)技術(shù)。事實(shí)上，大多數(shù)沙盒只能對(duì)文件復(fù)本進(jìn)行分析，而原始文件則被發(fā)送到目標(biāo)終點(diǎn)。所以即使發(fā)現(xiàn)一個(gè)可疑文件是惡意的，實(shí)際文件早已到達(dá)終點(diǎn)并造成損害。

就這一點(diǎn)而言，沙盒只能發(fā)現(xiàn)可疑文件是惡意的，但不能真正地阻止它。

此外，沙盒通常是緩慢從一個(gè)入口點(diǎn)進(jìn)入環(huán)境，它甚至不會(huì)注意到可能還有其它的高級(jí)惡意軟件溜進(jìn)了其它入口點(diǎn)。但真正安全的技術(shù)必須能夠識(shí)別和阻止溜進(jìn)任何入口點(diǎn)的惡意軟件，而無(wú)需其它額外軟件幫助。

那么，我們?nèi)绾翁嵘踩?jí)別呢？我們需要在每個(gè)入口點(diǎn)設(shè)置監(jiān)控，并采用一些技術(shù)阻止被列入黑名單的文件。如果沙盒解決方案有一些附加的文件屏蔽功能，并假設(shè)這些功能是成熟的，那么將面臨兩個(gè)選擇：可以在每個(gè)入口點(diǎn)部署這種技術(shù)——這需要我們支付高額的費(fèi)用；或者可以通過(guò)使用一個(gè)解決方案，對(duì)這些入口點(diǎn)現(xiàn)有的安全產(chǎn)品發(fā)現(xiàn)的可疑文件進(jìn)行集中分析。

顯然第二種方法能更有效地降低成本并使網(wǎng)絡(luò)控制更加嚴(yán)格。

總而言之，與傳統(tǒng)防御系統(tǒng)實(shí)時(shí)分析和阻止惡意軟件的方式不同，沙盒不能實(shí)時(shí)操作。為了真正有效地應(yīng)對(duì)高級(jí)威脅，必須將沙盒部署為高度集成或綜合安全環(huán)境的一部分：可處理多個(gè)入口點(diǎn)，且能將信息傳回操作環(huán)境，警告發(fā)現(xiàn)新惡意軟件，并盡可能地在發(fā)現(xiàn)前阻止和修復(fù)相應(yīng)損害。

（作者為邁克菲全球首席技術(shù)官）