本博文是OPSWAT 学院主办的持续网络安全培训系列的第五篇,回顾了设计、实施和管理关键基础设施保护计划所需的技术和流程。
恶意软件很危险,但并不明显。如果恶意软件很容易被检测到,那么每个电子邮件、网络或共享系统都会得到全面保护。随着网络安全工具的发展,阻止各种恶意内容的难度也应随之提高。然而,据 McAfee 战略与国际研究中心报告,2020 年全球损失将达到创纪录的 1 万亿美元。那么,为什么恶意软件在现代网络安全时代依然如此有效呢?
一些恶意软件在设计上与我们的自然期望同化,巧妙地避开了审计和分析工具。看似正常的电子邮件、网站或免费在线工具都为坏人提供了注入恶意代码、程序或进程以达到其目的的途径。
利用个人的善良本性伪装恶意,一直是一种有效的策略。打个比方,武装冲突地区会使用地雷将无辜的道路伪装成危险的陷阱。我们可以用同样的方式来看待躲避性恶意软件。
如果我们在查看道路时看到一块被扰动的泥土或金属探测器发出的哔哔声,我们就可以确定我们发现了什么,使道路可以安全通行。但有时我们并不知道。地雷可能埋藏得很小心,或者由非金属成分制成,从而有效地阻碍了我们发现地雷的尝试。
最安全的办法是提前引爆我们的路径。
早在第二次世界大战期间,人们就在大型盾牌车辆上安装了巨大的旋转连枷,用于猛击地面并引爆地雷,从而在雷区中开辟出一条安全的道路。类似设计的车辆至今仍在使用。这种方法既粗暴又昂贵,但却经过控制和计算,而且极为有效。
现代网络安全工具,如Sandbox 分析,使我们能够以大致相同的方式引爆恶意软件。样本程序和文件被加载到隔离和安全的虚拟环境中,恶意软件可以在其中运行,但不会损害任何外部系统。恶意软件样本就是我们的地雷,而Sandbox 则是我们的重装甲连枷。
通过引爆代码,我们可以分析内容的方方面面并验证其意图。文件可能是安全的,也可能试图联系未经验证的外部资源、更改注册表键值或扫描本地文件系统。在隔离环境中运行恶意软件以分析其行为被称为动态分析。
与我们的二进制条件(安全或不安全)不同,我们需要考虑文件意图的复杂性。许多合法程序会执行可能属于恶意活动的操作。并不是每个Sandbox 都是一样的,好产品的关键在于分析文件活动时所使用的方法和计算,以提供尽可能高的确定性。
OPSWAT MetaDefender Cloud 是一款任何人都可以免费试用的工具,它提供了一个功能强大的Sandbox 选项,可用于根据强大的加权系统对上传的文件进行评分。安全引爆文件的能力提供了可能绕过传统静态分析技术的信息。在文件定义尚未添加到防病毒公司数据库的情况下,沙箱能很好地防御零日攻击。事实上,许多反病毒公司都将沙盒作为了解在其恶意软件签名中添加哪些文件的依据。
不过,沙盒并非解决恶意软件问题的万能钥匙。为了不污染结果,必须对每个文件进行单独扫描。即使是处理单个 pdf、安装程序、可执行文件等也需要大量的时间和硬件资源,这可能会在处理大量文件时使安全系统陷入瓶颈。要使这一技术成为真正有效的技术,最重要的是了解何时以及在何种情况下使用Sandbox 。
想了解更多吗?OPSWAT 学院提供多种网络安全培训课程,深入探讨沙箱技术和OPSWAT 提供的其他安全技术。请访问opswatacademy.com,立即免费注册!
