如今的惡意軟件正利用各種獨(dú)具創(chuàng)新的技術(shù)回避傳統(tǒng)簽名類反惡意軟件的搜捕。入侵防御系統(tǒng)、Web過(guò)濾及殺毒產(chǎn)品在對(duì)抗將精密惡意軟件與持久性遠(yuǎn)程訪問(wèn)相結(jié)合的新型攻擊方面有點(diǎn)力不從心。一些惡意人士正虎視眈眈，想利用先進(jìn)的技術(shù)，通過(guò)持久戰(zhàn)拿下企業(yè)敏感業(yè)務(wù)數(shù)據(jù)這一重要城池。

這種情況下，新型威脅檢測(cè)工具呼之欲出，它利用沙箱技術(shù)實(shí)現(xiàn)高級(jí)惡意軟件識(shí)別以加固安全防線。目前已經(jīng)有多家企業(yè)開(kāi)發(fā)這類產(chǎn)品，其中包括FireEye有限公司、Damballa有限公司、Pal Alto網(wǎng)絡(luò)以及NetWitness等等，他們承諾提供無(wú)懈可擊的惡意軟件保護(hù)效果。在本文中，我們將一同探討當(dāng)前高級(jí)惡意軟件及威脅檢測(cè)產(chǎn)品中所采用的新興技術(shù)，關(guān)注其工作原理、優(yōu)勢(shì)以及應(yīng)用中存在的問(wèn)題和注意事項(xiàng)。

高級(jí)威脅檢測(cè)產(chǎn)品的秘籍：沙箱機(jī)制

各類高級(jí)惡意軟件檢測(cè)產(chǎn)品中的主干技術(shù)就是近年來(lái)聲名大噪的沙箱機(jī)制。在沙箱機(jī)制的幫助下，我們可以通過(guò)一系列技術(shù)和流程揪出潛在的惡意軟件威脅。

利用網(wǎng)絡(luò)流量分析功能識(shí)別網(wǎng)絡(luò)環(huán)境下的潛在威脅，利用行為模式功能將可疑文件發(fā)往沙箱環(huán)境當(dāng)中，這些文件隨后將在一套類似于虛擬機(jī)的獨(dú)立環(huán)境中接受檢查。具體來(lái)說(shuō)，這套機(jī)制能夠提供不同操作系統(tǒng)及軟件版本搭配并能夠了解其具體行為方式：文件在不同配置環(huán)境下的表現(xiàn)將被一一記錄，并為技術(shù)人員提供一份不同系統(tǒng)與軟件引發(fā)的文件變化報(bào)告。基于這份報(bào)告，我們能夠準(zhǔn)確判斷對(duì)應(yīng)文件是否屬于惡意軟件。

這套機(jī)制的可行性在于：無(wú)論惡意軟件利用哪種技術(shù)來(lái)隱藏自己的形跡，都必然需要以某種方式影響操作系統(tǒng)來(lái)實(shí)現(xiàn)自己的惡意目的，而沙箱軟件則負(fù)責(zé)全程監(jiān)督這一流程。沙箱機(jī)制共分為兩步：第一、檢測(cè)威脅，第二、將其發(fā)送至沙箱環(huán)境(它的出現(xiàn)能夠顯著降低錯(cuò)誤主、被動(dòng)反應(yīng)的出現(xiàn)機(jī)率)。

文件在進(jìn)入網(wǎng)絡(luò)環(huán)境之前也將被加以分析——最常見(jiàn)的例子就是從網(wǎng)站中下載文件。安全產(chǎn)品會(huì)匯總網(wǎng)絡(luò)流量并檢測(cè)其中的異常代碼以及指定優(yōu)先級(jí)。一旦分析結(jié)果達(dá)到特定臨界值，這部分流量就會(huì)被定義為“可疑”并被發(fā)送至沙箱環(huán)境中。

網(wǎng)絡(luò)流量分析技術(shù)阻斷了數(shù)據(jù)泄露的通路，從而將網(wǎng)絡(luò)威脅的出現(xiàn)機(jī)率降至最低。這樣一來(lái)，惡意軟件就無(wú)法發(fā)出所謂“回叫信號(hào)”(即：初步感染成功后發(fā)起的進(jìn)一步惡意代碼下載活動(dòng))了。由于沙箱技術(shù)并非以簽名機(jī)制為基礎(chǔ)，因此能夠檢測(cè)出最新惡意軟件類型。惡意軟件的識(shí)別結(jié)果信息往往會(huì)被共享至所有設(shè)備端，從而加快對(duì)同類威脅的后續(xù)識(shí)別速度。

如何選擇威脅檢測(cè)產(chǎn)品

由于這類安全方案往往價(jià)格不菲，因此對(duì)于企業(yè)而言必須在購(gòu)買之前認(rèn)真考量方案的可行性與適用性，從而確保自己選擇正確的威脅檢測(cè)系統(tǒng)。選擇時(shí)要注意以下幾點(diǎn)：

免費(fèi)試用了解產(chǎn)品

很明顯，大家應(yīng)該拿出一部分時(shí)間體驗(yàn)產(chǎn)品的免費(fèi)試用版本，借此機(jī)會(huì)了解該系統(tǒng)是否能為企業(yè)帶來(lái)切實(shí)收益。

制定一致的安全方案

需要注意的是：一旦產(chǎn)品選擇流程結(jié)束，我們需要將其推廣至企業(yè)中的每一個(gè)分支機(jī)構(gòu)。異地分支機(jī)構(gòu)往往會(huì)成為攻擊者們的首選目標(biāo)，因此這些機(jī)構(gòu)需要具備與企業(yè)其它部門相一致的保護(hù)方案。

接受產(chǎn)品的優(yōu)缺點(diǎn)

因?yàn)闆](méi)有哪種安全產(chǎn)品是面面俱到的，所以在選擇高級(jí)威脅監(jiān)測(cè)產(chǎn)品時(shí)一定要明確到底需要解決什么問(wèn)題。CSO要清楚這些系統(tǒng)無(wú)法分析SSL加密流量，而且在大多數(shù)情況下只能針對(duì)Windows環(huán)境實(shí)現(xiàn)威脅分析;它們也無(wú)法檢測(cè)出已經(jīng)安裝在員工個(gè)人設(shè)備當(dāng)中的惡意軟件。但是，用于預(yù)防數(shù)據(jù)泄露的網(wǎng)絡(luò)流量分析功能卻非常有效，的確能夠幫助企業(yè)對(duì)抗某些安全短板。

深度防御是防止惡意軟件及高級(jí)持久性威脅通過(guò)網(wǎng)絡(luò)竊取我們重要信息與機(jī)密數(shù)據(jù)的關(guān)鍵所在。這些新技術(shù)應(yīng)當(dāng)成為防御體系中的一部分，并與優(yōu)秀的事故響應(yīng)專家團(tuán)隊(duì)及頻繁入侵測(cè)試相結(jié)合，通過(guò)模擬真實(shí)攻擊強(qiáng)化自身保護(hù)能力。

結(jié)語(yǔ)：即使已經(jīng)把防御產(chǎn)品部署到位，狡猾的攻擊者仍然會(huì)不斷向我們發(fā)起攻勢(shì)。隨著此類安全產(chǎn)品日趨流行，經(jīng)驗(yàn)老道的攻擊者終將開(kāi)發(fā)出足以愚弄這些方案的新型技術(shù)。這相當(dāng)于新一輪軍備競(jìng)賽，企業(yè)必須加大投資力度、建立多種安全防御層，從而保證自己的資產(chǎn)與敏感數(shù)據(jù)遠(yuǎn)離惡意困擾。