当前位置:首页 >资讯 >沙盒技术对威胁防御的应用


沙盒被用于执行和检查网络信息流的网络安全设备,发现那些避免传统安全措施的恶意代码。由于整个操作系统可以虚拟模拟,沙盒可以安全执行可疑代码,以观察其行为。暴露了文档/磁盘操作、网络连接、注册/系统配置修改等恶意行为,以消除威胁。

沙盒技术很久以前就出现了。既然沙盒技术属于早期技术,为什么它突然变得如此重要?因为当网络罪犯了解更多常见的安全检测方法时,他们往往会更多地投资于安全避免方法的研发。先进的可持续威胁(APT)是定制开发的有针对性的攻击。使用前所未有的恶意软件(或0day),它们可以避免直接检测,利用弱点(未修复的安全漏洞)。这些威胁来自新的或看似安全的URL主机和IP地址。它们的目的是使用那些试图绕过安全屏障并尽可能长时间潜伏在雷达下的先进代码技术来危害它们的目标系统。今天,无论是新的入侵威胁,还是旧的入侵威胁,沙盒技术都可以帮助我们找到它们。

沙盒技术的主要应用是准确模拟恶意代码的行为。理想情况下,沙盒中的输出应与终端用户环境中代码的输出完全相同。事实上,由于涉及的变量,很难产生完全相同的结果。这类似于试图从种子开始种植两种完全相同的植物的过程;即使是非常微妙的水、光、温度和土壤成分的差异也会产生不同的结果。

高级威胁可以伪装成文件,欺骗员工打开文件(如Word、Excel或Adobereader)运行恶意代码。要检测到这种行为,沙箱必须从头到尾运行一系列操作系统,每个操作系统必须运行多个应用版本。

32位代码可同时在32位和64位环境中运行,因此恶意软件的作者更喜欢32位,以获得最大的感染效果。如今,大多数恶意软件仍然是可执行文件的形式,特别是可移植的可执行32位格式(PE32)。PE32文件可以同时在WindowXP和7/8环境中运行,因此大多数恶意行为可以在XP(不支持64位代码)中观察到,而无需在7/8中进一步测试。然而,带有CPRL的Fortisandbox的Fortinet杀毒引擎完全支持32位和64位代码和多个平台:Windows、Mac、Linux、Android、Windowmobile、ios、Blackbery和遗留的Symbian。

Fortiguard实验室观察到的大部分威胁都是在WindowsXP环境中实施的32个威胁。WindowsXP仍然是一个活跃的市场,也是一个容易实现的目标。如果黑客(开发人员)能够编写32个恶意软件,它将在今天的XP上生效,并在用户迁移到WindowsXP/8时跨平台生效。因此,开发人员不需要为Windows7/8制作恶意软件。虽然Fortiguard实验室没有预期64个威胁会立即发动攻击,但Fortinet使用其CPRL、杀毒引擎和Fortisandbox可以同时捕获这两个威胁。

一旦网络环境发生变化,支持环境也会发生变化。为了有效捕捉病毒威胁,Fortisandbox根据现有的网络环境威胁,在WindowsXP和Windows7/8的虚拟环境中配置资源,并将新的避免技术检测功能和目标平台的强化技术与Fortigate和Fortisandbox相结合。此外,Fortisandbox还通过代码仿真和杀毒引擎预过滤为O/S独立检测提供支持。

在今天的威胁下,沙盒提供了一个非常有用的新防御层。如果使用得当,它将成为一种学习设备,最终与网关安全相结合。因此,它可以快速识别网络上的新威胁活动,并帮助事件反应。这些设备之间的集成能力是最关键的。