因?yàn)槟茉谕{真正影響到生產(chǎn)環(huán)境之前做測試，沙箱一直被標(biāo)榜為預(yù)防網(wǎng)絡(luò)攻擊的高級方法。但這種方法有沒有什么代價(jià)，又是否像供應(yīng)商吹噓的那么有效呢？

普通人眼中的沙箱，就是小孩子在操場上玩耍的地方。同樣地，對IT人員而言，沙箱常被當(dāng)做代碼正式應(yīng)用到生產(chǎn)環(huán)境之前的一個(gè)可以安全地開發(fā)和測試的地方。對安全人員而言，沙箱測試是用來發(fā)現(xiàn)零日威脅和隱秘攻擊的方法之一。然而，隨著入侵者和防御者之間軍備競賽的持續(xù)升級，惡意軟件開發(fā)者也不斷地找到能夠繞過沙箱檢測的各種精妙辦法。

很多IT安全人員和CISO還在重度依賴僅憑沙箱策略防護(hù)自家資源。同時(shí)，網(wǎng)絡(luò)世界中的暴徒卻不斷尋找新方法在沙箱中“愉快玩耍”。

迷思 vs. 現(xiàn)實(shí)

沙箱確實(shí)為你的網(wǎng)絡(luò)威脅預(yù)防策略提供了一層防御，但也隨之帶來了對大多數(shù)公司企業(yè)而言難以承受的額外代價(jià)。以下3個(gè)迷思就常伴沙箱技術(shù)左右：

• 迷思1：沙箱很快

現(xiàn)實(shí)：沙箱很慢

按照沙箱執(zhí)行的定義，進(jìn)入到公司操作系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用的所有數(shù)據(jù)都需流經(jīng)沙箱，觸發(fā)執(zhí)行之后判定其中是否隱含惡意軟件。這種機(jī)制會給通信帶來嚴(yán)重的延遲，尤其是對每天有上百萬電子郵件和文件流轉(zhuǎn)的企業(yè)而言。

• 迷思2：沙箱性價(jià)比高

現(xiàn)實(shí)：沙箱是資源密集型的（可以理解為很貴很貴）

創(chuàng)建安全沙箱所需的硬件直接取決于你的應(yīng)用環(huán)境，因?yàn)槟愕脧?fù)制出每個(gè)場景來測試網(wǎng)絡(luò)入侵的可能性。光從硬件和軟件的角度看就已經(jīng)很貴了，再加上維護(hù)和更新這些環(huán)境所需的人力資源，那花銷可不是一般公司能承受的。

• 迷思3：沙箱本身堅(jiān)不可摧

現(xiàn)實(shí)：沙箱也是可以被愚弄的

有時(shí)候，認(rèn)為有堅(jiān)不可摧的方法能夠防止網(wǎng)絡(luò)攻擊，是個(gè)太過美好的幻想。黑客都忍不住公布破解沙箱的方法來嘲弄這種想法了。

今天的企業(yè)網(wǎng)絡(luò)不再局限于其邊界，有各種服務(wù)橫跨公開和私有環(huán)境，有各種各樣的基礎(chǔ)設(shè)施布設(shè)在底層，還有大量的應(yīng)用與資源可供選擇。

沙箱替代

真心想要預(yù)防而非緩解網(wǎng)絡(luò)攻擊的公司企業(yè)，需要考慮不需要沙箱的帶防繞過方法的平臺。這種平臺能賦予客戶適度的靈活性，可以在不斷改變的威脅態(tài)勢中實(shí)現(xiàn)端到端安全。

無論是在現(xiàn)場還是在云端，該平臺的操作應(yīng)保持一致，其安全邏輯中應(yīng)完全摒除環(huán)境變量。同時(shí)，該平臺還應(yīng)基礎(chǔ)設(shè)施無關(guān)，無論底層基礎(chǔ)設(shè)施如何實(shí)現(xiàn)，都能執(zhí)行安全防護(hù)職能，應(yīng)能在包含虛擬、硬件和一切皆服務(wù)(XaaS)基礎(chǔ)設(shè)施的混合環(huán)境中運(yùn)行良好。為提供真正的端到端安全，該平臺需要賦予客戶不局限于特定垂直領(lǐng)域的靈活性和一致性。