沙箱可謂是近十年來(lái)安全人員的神奇解決方案����,被廣泛的應(yīng)用到網(wǎng)絡(luò)�、端點(diǎn)上的惡意軟件檢測(cè)。調(diào)研機(jī)構(gòu)Markets&Markets的調(diào)研報(bào)告顯示��,今年的全球沙箱市場(chǎng)規(guī)模預(yù)計(jì)達(dá)到90億美元�,2016年這一數(shù)字是29億美元。
在碎片化尤為突出的安全市場(chǎng)中�����,90億美元已經(jīng)是最大的單品之一了(據(jù)數(shù)世咨詢(xún)統(tǒng)計(jì)���,全球安全市場(chǎng)最大單品是防火墻約150億美元��。估計(jì)M&M的數(shù)字把集成沙箱的產(chǎn)品也統(tǒng)計(jì)在內(nèi)了)����。但這種市場(chǎng)規(guī)模的背后��,有效性的問(wèn)題開(kāi)始顯現(xiàn)出來(lái)����,因?yàn)樯诚鋸奈醋龅侥承?zhuān)家聲稱(chēng)的那樣,可以“檢測(cè)未知威脅”��。
按照沙箱的仿真環(huán)境可分為三種,包含軟硬件的全環(huán)境仿真���、操作系統(tǒng)仿真和虛機(jī)化仿真����。不管哪種沙箱�,都會(huì)存在以下兩大問(wèn)題:
1. 沙箱逃逸
有各種各樣的逃逸方法來(lái)規(guī)避沙箱,如滿足條件才觸發(fā)惡意行為��、檢查自身是否運(yùn)行在虛擬機(jī)環(huán)境中���、延時(shí)運(yùn)行�、漏洞���,甚至社會(huì)工程����、誤操作……
2. 調(diào)查可以但檢測(cè)不行
絕大多數(shù)沙箱只檢測(cè)可疑程序�,因?yàn)閳?zhí)行和觸發(fā)可疑程序需要時(shí)間(通常至少以分鐘為單位)。也就是說(shuō)���,不能把所有的軟件都丟進(jìn)沙箱里���,確認(rèn)沒(méi)問(wèn)題后再放到真正的執(zhí)行環(huán)境�。但是��,只有對(duì)所有程序的懷疑進(jìn)行驗(yàn)證才能算得上是真正的檢測(cè)���。否則,只能是針對(duì)特定對(duì)象的調(diào)查而已�����。
這兩大問(wèn)題可以通過(guò)更采用不同的機(jī)制或說(shuō)高級(jí)的沙盒來(lái)解決嗎�����?顯然不行����。
如同對(duì)抗殺軟一樣,只要把惡意程序在VirusTotal上跑一遍就能對(duì)付99%的殺毒引擎�����。對(duì)于攻擊者而言,惡意軟件只運(yùn)行一次�����,理論上可以利用各種資源來(lái)逃避或破壞沙箱����。但對(duì)于防守者,沙箱的高級(jí)意味著需要執(zhí)行大量掃描���,會(huì)變得越來(lái)越復(fù)雜��,越來(lái)越重��,資源也越來(lái)越密集��,最終的實(shí)用性會(huì)大打折扣�。
沙箱的問(wèn)題����,可能會(huì)是所有仿真技術(shù)的問(wèn)題,只能針對(duì)可疑對(duì)象而不是所有對(duì)象����,否則成本太高。也許,元宇宙到來(lái)的那一天�����,這個(gè)問(wèn)題會(huì)解決��。但至少在現(xiàn)在����,還是趕緊尋求更加行之有效的安全方案吧�����。
Markets&Markets的調(diào)研報(bào)告地址:
https://www.marketsandmarkets.com/Market-Reports/sandboxing-market-266210549.html?_sp=c16701fa-2dae-451b-bffc-564cc2ab39d3.1644832496650
來(lái)源:數(shù)世咨詢(xún)
在線咨詢(xún)
在線咨詢(xún)
0371-63319761