×

如何利用基于云的沙箱来分析恶意软件?
  

洛奇一样 3117

{{ttag.title}}

对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。

有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。

为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。这样就可发现可疑行为,例如联系远程服务器以试图下载有效载荷或者联系命令控制服务器。

只有确定文件安全时,才会传送给收件人。这种沙箱通常是与企业网络分离的虚拟机器,这可确保恶意软件无法传播到网络。

通过这种方式分析链接和文件甚至可阻止防病毒工具无法检测的复杂零日恶意软件。基于云的沙箱可查看恶意软件的行为,而不是依靠基于签名的检测。

这种通过专用基于云的沙箱进行分析的优势在于可扩展性;它能使企业轻松地增加或减少可分析的文件和链接数量。基于云的分析还可消除自己管理和升级设备的开销,并为远程办公室和移动用户提供更简单的覆盖。

有效的基于云的沙箱需要支持各种功能,例如对使用SSL加密流量进行监控的功能,因为这是恶意软件作者尝试避免检测的常用方法。它还需要能够根据用户定义的策略进行内联、即时阻止或隔离操作。基于云的沙箱还应该可利用该服务其他用户的数据,以及分享威胁信息,让任何使用相同系统的企业都可以检测该威胁。

现在基于虚拟机的沙箱技术已经导致有些恶意软件尝试运行它的机器进行指纹识别;如果恶意软件检测到虚拟机管理程序,则会删除自己以防止被分析。更高级的沙箱技术可对付这些规避技术,它们可让虚拟机的指纹看起来向在裸机运行,从而让恶意软件以为到达受害机器并开始执行。

总体来说,基于云的沙箱是对企业防御的有效补充,作为纵深防御战略的一部分。它是检测零日恶意软件和勒索软件的有效方法,但并不是万无一失的方法。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人