解密沙盒技术在威胁防御中的应用

来源: kaiyun体育官方人口
2015/11/26 9:54:39
在计算机领域,沙盒这一概念很早就用以表示一个能够让恶意代码运行其中的安全隔离环境,方便研究人员对恶意代码进行分析。同样的概念现在被网络安全设备用于执行和检查网络信息流,发现那些躲过了传统安全措施的恶意代码。

分享到: 新浪微博 腾讯微博

在计算机领域,沙盒这一概念很早就用以表示一个能够让恶意代码运行其中的安全隔离环境,方便研究人员对恶意代码进行分析。同样的概念现在被网络安全设备用于执行和检查网络信息流,发现那些躲过了传统安全措施的恶意代码。

由于能够虚拟仿真整个操作系统,沙盒便可安全地执行可疑代码,以便观察其所作所为。包括文档/磁盘操作、网络连接、注册/系统配置修改等等在内的恶意行为因此暴露无遗,从而消除威胁。

为何现在必须采用沙盒技术?既然沙盒技术属于很早的技术,为什么又突然变得如此重要?因为当网络罪犯了解了更多普通的安全检测方法时,他们往往会将更多的投入放在安全规避方法的研发上。高级持续性威胁(APT)属于定制开发的针对性攻击。使用前所未见的(或“0day”)恶意软件,它们可以避开直接检测来利用薄弱点(没有修补的安全漏洞)。这些威胁来自于全新的或看似安全的 URL 主机和 IP 地址。它们的目的是使用那些千方百计绕过安全屏障并尽可能长时间地潜伏在雷达下的高级代码技术来危害它们的目标系统。今天,不论是新式入侵威胁,或以全新方式伪装的旧有入侵威胁,沙盒技术都可以帮助我们发现它们。

沙盒与恶意样本的对抗

沙盒技术的主要应用是准确地模拟恶意代码的行为。理想情况下,沙盒中的输出应当与代码在某个终端用户环境中运行时的输出完全相同。实际上,由于所涉及的变量数量的关系,产生完全相同的结果是很困难的。其类似于试图从种子开始种植两株完全相同植物的过程;即使极细微的水、光、温度和土壤成分的差异都会产生不同的结果。

漏洞程序(Exploit)与有毒 App(Zpplication):

高级威胁能够伪装成为文档文件来欺骗员工开启文件(如 Word、Excel 或 Adobe Reader)去运行恶意代码。若要检测出这种行为,沙盒必须从头至尾运行一系列的操作系统,每个操作系统都要运行多个应用程序版本。

32与 64 位,WindowsXP 与 Windows7/8:

32 位代码可同时运行于 32 位和 64 为环境下,因此恶意软件的作者更青睐 32 位,以获得最大的感染效果。如今大多数恶意软件仍然是可执行文件的形式,特别是可移植的可执行 32 位格式(PE32)。PE32 文件能够同时在 Window XP 和 7/8 的环境中运行,所以大多数恶意行为都可以在 XP(不支持 64 位代码)中观察到,而不需在 7/8 中进一步测试。但运行于带有 CPRL 的 FortiSandbox 的 Fortinet 杀毒引擎完全支持 32 位和 64 位代码以及多个平台:Windows、Mac 、 Linux、Android、Window Mobile、iOS 、Blackberry和遗留下来的Symbian。

FortiSandbox助力企业应对新型威胁

FortiGuard实验室观察到的大多数威胁都是32 位且用于在Windows XP 环境中执行的。Windows XP仍是一个活跃的市场,也是一个易取的目标。若黑客(开发者)可以编写32位恶意软件,其就会在今天的XP 上生效,也会在用户迁移到Windows XP /8 时跨平台生效,所以,开发者没有必要专门制作针对Windows 7/8 恶意软件。尽管FortiGuard 实验室并没有预期64 位威胁会立即发起攻击,但Fortinet 使用其CPRL、杀毒引擎和FortiSandbox 已经能够同时捕获这两种威胁。

网络环境一旦出现转变,其下受到支持的环境也会跟着转变。为了有效地捕捉病毒威胁,FortiSandbox 根据现有的网络环境威胁同时在Windows XP 和Windows 7/8 的虚拟环境中配置资源,并以FortiGate 和FortiSandbox整合了新式规避技术侦测功能和目标平台的强化技术。不止如此,FortiSandbox还通过代码仿真和杀毒引擎预过滤为O/S 独立检测提供支持。

在今天的威胁形势下,沙盒提供了一个十分有用的新一层防御。使用得当的话,它会成为一个学习设备,最终与网关安全相结合,因此它可以快速识别网络上新的威胁活动并有助于做出事件反应,此类设备之间的集成能力最为关键。FortiGuard 实验室不断地发现和监视新出现的规避技术,以便可以快速将反击更新与情报发送给Fortinet 解决方案。Fortinet目前支持将FortiSandbox与FortiGate安全网关、FortiClient终端防御软件、FortiWeb WAF、FortiManager 集中管理平台和FortiMail邮件安全网关等安全设备加以集成。

责编:胡雪妍
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map