如何利用基于云的沙箱来分析恶意软件?

日期:2017-7-14作者:Rob Shapland翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

对于企业来说,传统防病毒和端点安全工具是分层网络防御战略的关键组成部分,但在检测恶意软件方面,它们并非100%有效。

有些更高级的恶意软件(例如利用零日漏洞的多级恶意软件)可攻击这些安全工具并感染受害机器。这种高级恶意软件通常由民族国家或有组织犯罪团伙用来入侵具有良好传统防御的企业,并且,他们通常通过电子邮件网络钓鱼攻击作为交付方式。

为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。这样就可发现可疑行为,例如联系远程服务器以试图下载有效载荷或者联系命令控制服务器。

只有确定文件安全时,才会传送给收件人。这种沙箱通常是与企业网络分离的虚拟机器,这可确保恶意软件无法传播到网络。

通过这种方式分析链接和文件甚至可阻止防病毒工具无法检测的复杂零日恶意软件。基于云的沙箱可查看恶意软件的行为,而不是依靠基于签名的检测。

这种通过专用基于云的沙箱进行分析的优势在于可扩展性;它能使企业轻松地增加或减少可分析的文件和链接数量。基于云的分析还可消除自己管理和升级设备的开销,并为远程办公室和移动用户提供更简单的覆盖。

有效的基于云的沙箱需要支持各种功能,例如对使用SSL加密流量进行监控的功能,因为这是恶意软件作者尝试避免检测的常用方法。它还需要能够根据用户定义的策略进行内联、即时阻止或隔离操作。基于云的沙箱还应该可利用该服务其他用户的数据,以及分享威胁信息,让任何使用相同系统的企业都可以检测该威胁。

现在基于虚拟机的沙箱技术已经导致有些恶意软件尝试运行它的机器进行指纹识别;如果恶意软件检测到虚拟机管理程序,则会删除自己以防止被分析。更高级的沙箱技术可对付这些规避技术,它们可让虚拟机的指纹看起来向在裸机运行,从而让恶意软件以为到达受害机器并开始执行。

总体来说,基于云的沙箱是对企业防御的有效补充,作为纵深防御战略的一部分。它是检测零日恶意软件和勒索软件的有效方法,但并不是万无一失的方法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Rob Shapland
Rob Shapland

Senior penetration tester at First Base Technologies where he specialises in Web application security.

病毒/蠕虫/恶意软件>更多

相关推荐

  • 合理分析恶意软件:用对方法很重要

    以正确的顺序实施多种分析方法可以使安全团队更有可能防止恶意软件渗透进入网络,甚至对于以前并没有被确认的恶意软件样本也能够起作用……

  • 《2017年IT优先级调查》:重点考虑云、网络、端点安全

    在TechTarget《2017年IT优先级调查报告》中,显示了企业和信息技术专业人员投入时间和资源较多的一些重要的IT安全趋势。不例外的是,保护网络和企业中大量的端点被认为是2017年最重要的安全优先事项之一……

  • 赛门铁克最新SEP 14端点安全方案:人工智能是亮点

    新的SEP 14带来端点安全的创新和突破,基于端点和云端的人工智能,SEP 14将基本的端点技术、高级机器学习和记忆漏洞缓解措施集成至单一代理,帮助企业用户实现多层防护,从而有效抵御针对端点的高级威胁。

  • 崛起中的“无文件式”恶意软件攻击

    攻击者保持不被发现的时间越长,他们就越有可能实现自己的目标。攻击者早就知道在攻击过程中删除自己的工具,而恶意软件作者也开始删除在攻击中使用的文件,这被称为无文件(fileless)恶意软件……

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心