對于企業(yè)來說，傳統(tǒng)防病毒和端點安全工具是分層網(wǎng)絡(luò)防御戰(zhàn)略的關(guān)鍵組成部分，但在檢測惡意軟件方面，它們并非100%有效。

有些更高級的惡意軟件(例如利用零日漏洞的多級惡意軟件)可攻擊這些安全工具并感染受害機器。這種高級惡意軟件通常由民族國家或有組織犯罪團(tuán)伙用來入侵具有良好傳統(tǒng)防御的企業(yè)，并且，他們通常通過電子郵件網(wǎng)絡(luò)釣魚攻擊作為交付方式。

[[197087]]

為了加強端點安全和入侵防御系統(tǒng)，有些企業(yè)轉(zhuǎn)向基于云的沙箱技術(shù)，他們現(xiàn)有安全提供商通常提供沙箱技術(shù)作為高級模塊。在文件或鏈接傳輸?shù)接脩糁?，基于云的沙箱會先在安全環(huán)境中檢查潛在惡意文件或鏈接，并執(zhí)行文件并查看其嘗試執(zhí)行的操作。這樣就可發(fā)現(xiàn)可疑行為，例如聯(lián)系遠(yuǎn)程服務(wù)器以試圖下載有效載荷或者聯(lián)系命令控制服務(wù)器。

只有確定文件安全時，才會傳送給收件人。這種沙箱通常是與企業(yè)網(wǎng)絡(luò)分離的虛擬機器，這可確保惡意軟件無法傳播到網(wǎng)絡(luò)。

通過這種方式分析鏈接和文件甚至可阻止防病毒工具無法檢測的復(fù)雜零日惡意軟件?；谠频纳诚淇刹榭磹阂廛浖男袨椋皇且揽炕诤灻臋z測。

這種通過專用基于云的沙箱進(jìn)行分析的優(yōu)勢在于可擴展性;它能使企業(yè)輕松地增加或減少可分析的文件和鏈接數(shù)量?；谠频姆治鲞€可消除自己管理和升級設(shè)備的開銷，并為遠(yuǎn)程辦公室和移動用戶提供更簡單的覆蓋。

有效的基于云的沙箱需要支持各種功能，例如對使用SSL加密流量進(jìn)行監(jiān)控的功能，因為這是惡意軟件作者嘗試避免檢測的常用方法。它還需要能夠根據(jù)用戶定義的策略進(jìn)行內(nèi)聯(lián)、即時阻止或隔離操作?；谠频纳诚溥€應(yīng)該可利用該服務(wù)其他用戶的數(shù)據(jù)，以及分享威脅信息，讓任何使用相同系統(tǒng)的企業(yè)都可以檢測該威脅。

現(xiàn)在基于虛擬機的沙箱技術(shù)已經(jīng)導(dǎo)致有些惡意軟件嘗試運行它的機器進(jìn)行指紋識別;如果惡意軟件檢測到虛擬機管理程序，則會刪除自己以防止被分析。更高級的沙箱技術(shù)可對付這些規(guī)避技術(shù)，它們可讓虛擬機的指紋看起來向在裸機運行，從而讓惡意軟件以為到達(dá)受害機器并開始執(zhí)行。

總體來說，基于云的沙箱是對企業(yè)防御的有效補充，作為縱深防御戰(zhàn)略的一部分。它是檢測零日惡意軟件和勒索軟件的有效方法，但并不是萬無一失的方法。