因為能在威脅真正影響到生產環境之前做測試,沙箱一直被標榜為預防網絡攻擊的高級方法。但這種方法有沒有什麼代價,又是否像供應商吹噓的那麼有效呢?
普通人眼中的沙箱,就是小孩子在操場上玩耍的地方。同樣地,對IT人員而言,沙箱常被當做代碼正式應用到生產環境之前的一個可以安全地開發和測試的地方。對安全人員而言,沙箱測試是用來發現零日威脅和隱秘攻擊的方法之一。然而,隨著入侵者和防禦者之間軍備競賽的持續升級,惡意軟件開發者也不斷地找到能夠繞過沙箱檢測的各種精妙辦法。
很多IT安全人員和CISO還在重度依賴僅憑沙箱策略防護自家資源。同時,網絡世界中的暴徒卻不斷尋找新方法在沙箱中“愉快玩耍”。
迷思 vs. 現實
沙箱確實為你的網絡威脅預防策略提供了一層防禦,但也隨之帶來了對大多數公司企業而言難以承受的額外代價。以下3個迷思就常伴沙箱技術左右:
迷思1:沙箱很快
現實:沙箱很慢
按照沙箱執行的定義,進入到公司操作系統、網絡或應用的所有數據都需流經沙箱,觸發執行之後判定其中是否隱含惡意軟件。這種機制會給通信帶來嚴重的延遲,尤其是對每天有上百萬電子郵件和文件流轉的企業而言。
迷思2:沙箱性價比高
現實:沙箱是資源密集型的(可以理解為很貴很貴)
創建安全沙箱所需的硬件直接取決於你的應用環境,因為你得複製出每個場景來測試網絡入侵的可能性。光從硬件和軟件的角度看就已經很貴了,再加上維護和更新這些環境所需的人力資源,那花銷可不是一般公司能承受的。
迷思3:沙箱本身堅不可摧
現實:沙箱也是可以被愚弄的
有時候,認為有堅不可摧的方法能夠防止網絡攻擊,是個太過美好的幻想。黑客都忍不住公佈破解沙箱的方法來嘲弄這種想法了。
今天的企業網絡不再侷限於其邊界,有各種服務橫跨公開和私有環境,有各種各樣的基礎設施佈設在底層,還有大量的應用與資源可供選擇。
沙箱替代
真心想要預防而非緩解網絡攻擊的公司企業,需要考慮不需要沙箱的帶防繞過方法的平臺。這種平臺能賦予客戶適度的靈活性,可以在不斷改變的威脅態勢中實現端到端安全。
無論是在現場還是在雲端,該平臺的操作應保持一致,其安全邏輯中應完全摒除環境變量。同時,該平臺還應基礎設施無關,無論底層基礎設施如何實現,都能執行安全防護職能,應能在包含虛擬、硬件和一切皆服務(XaaS)基礎設施的混合環境中運行良好。為提供真正的端到端安全,該平臺需要賦予客戶不侷限於特定垂直領域的靈活性和一致性。
閱讀更多 安全牛 的文章
