這篇博文是正在進行的網路安全培訓系列的第五篇,由以下機構贊助 OPSWAT 學院 ,審查設計、實施和管理關鍵基礎設施保護計劃所需的技術和流程。
惡意軟體很危險,但並非如此。如果惡意軟體易於檢測,那麼每個電子郵件、網路或共享系統都將受到全面保護。隨著網路安全工具的發展,阻止各種惡意內容的難度也應隨之提高。然而,在 2020 年,邁克菲戰略與國際研究中心報告稱,全球損失創下歷史新高,略低於 1 萬億美元。那麼,為什麼惡意軟體在現代網路安全時代仍然如此有效呢?
一些惡意軟體旨在吸收我們的自然期望,巧妙地逃避審計和分析工具。看似正常的電子郵件、網站或免費的在線工具都為不良行為者注入惡意代碼、程式或流程以促進其目標提供了門戶。
偽裝成利用個人更好本性的惡意意圖一直是一種有效的策略。打個比方,武裝衝突地區會使用地雷將一條無辜的道路偽裝成一個危險的陷阱。我們可以以同樣的方式思考規避惡意軟體。
如果我們查看道路並看到一塊被擾動的泥土或發出嗶嗶聲的金屬探測器,我們就可以確定我們發現了什麼,從而使路徑可以安全行駛。但有時我們不知道。地雷可以被小心地掩埋,也可以由非金屬部件製成,這有效地阻礙了我們發現的嘗試。
最安全的方法是提前引爆我們的路徑。
早在第二次世界大戰中,大型旋轉連枷就被連接到大型遮罩車輛上,以猛擊地面並引爆地雷,以在雷區中開闢一條安全的道路。類似設計的車輛至今仍在使用。這種方法既暴力又昂貴,但經過控制、計算且非常有效。
現代網路安全工具,如 沙箱 分析,允許我們以大致相同的方式引爆惡意軟體。範例程式和檔被載入到隔離且安全的虛擬環境中,惡意軟體可以在其中運行,但不會損害任何外部系統。惡意軟體樣本是我們的地雷,而 沙箱 我們的重裝甲連枷。
隨著代碼的引爆,我們可以分析內容的各個方面並驗證其意圖。該檔案可能是安全的,或者它可能會嘗試聯繫未經驗證的外部源、更改註冊表項或掃描本地檔案系統。在隔離環境中運行惡意軟體以分析其行為稱為 動態分析。
與我們的道路不同,道路具有安全或不安全的二元條件,我們需要考慮檔意圖的複雜性。許多合法程式將執行屬於潛在惡意活動的操作。並非每個 沙箱 生而平等,而造就好產品的原因在於用於在分析檔案活動時提供盡可能高的確定性的方法和計算。
OPSWAT MetaDefender Cloud,任何人都可以 免費試用的工具,它提供了強大的 沙箱 選項,可用於根據強大的加權系統對上傳的檔進行評分。安全引爆檔的能力提供了可能繞過傳統 靜態分析 技術的資訊。沙箱提供了針對零時差攻擊的出色防禦,其中檔定義尚未添加到AV公司資料庫中。事實上,許多AV公司使用沙箱作為瞭解要添加到其惡意軟體簽名中的檔案的基礎。
然而,沙箱並不是惡意軟體的最終解決方案。為了不污染結果,必須單獨掃描每個檔。即使是處理單個 pdf、安裝程式、可執行檔等,也需要花費大量的時間和硬體資源,這在處理大量檔時可能會使安全系統出現瓶頸。知道何時以及在什麼情況下使用 沙箱,對於使其成為真正有效的技術至關重要。
想知道更多嗎? OPSWAT Academy 提供多種網路安全培訓課程,這些課程將深入探討沙箱和其他安全技術 OPSWAT 必須提供。前往 opswatacademy.com,立即免費註冊!
