《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 沙箱已死?。?/span>

沙箱已死???

2021-11-14
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 沙箱

  組織應(yīng)開始評(píng)估其他安全措施,以取代或補(bǔ)充曾經(jīng)久負(fù)盛名的安全沙箱,。

  本文由安全內(nèi)參社區(qū)翻譯自DarkReading,,作者Gilad David Maayan。

  十年前,,沙箱是網(wǎng)絡(luò)安全領(lǐng)域的奇跡,。今天,它被安全研究人員廣泛使用,,內(nèi)嵌在端點(diǎn)檢測(cè)和響應(yīng) (EDR) 和下一代防病毒 (NGAV) 等現(xiàn)代安全解決方案中,,用作軟件開發(fā)工作流程的一部分,并被眾多最終用戶用來測(cè)試未知或安全環(huán)境中的不受信任軟件,。沙箱市場(chǎng)預(yù)計(jì)將從 2016 年的 29 億美元增長到2022 年的 90 億美元,。

  然而,沙箱從未真正兌現(xiàn)其承諾:將未知變?yōu)橐阎?。沙箱?jīng)常會(huì)漏檢威脅,,這樣做會(huì)給組織一種虛假的安全感。在本文中,,我將討論安全沙箱的工作原理,、沙箱如何演變成今天的樣子、沙箱概念有什么問題,,以及為什么今天我們不應(yīng)該把沙箱作為可信賴安全解決方案,。

  沙箱如何工作?

  沙箱可阻止應(yīng)用程序訪問當(dāng)前運(yùn)行環(huán)境的系統(tǒng)資源和用戶數(shù)據(jù),,并提供主動(dòng)惡意軟件檢測(cè)能力,。沙箱測(cè)試是在安全隔離環(huán)境中執(zhí)行或觸發(fā)代碼,,在該環(huán)境中可以安全地觀察代碼運(yùn)行和輸出活動(dòng)的行為。

  沙箱解決方案聲稱增加了新一層安全性,,可以幫助檢測(cè)或規(guī)避未知的威脅,。沙箱可以檢測(cè)其他工具遺漏的威脅,并幫助管理員快速從生產(chǎn)環(huán)境中刪除這些威脅,。

  有幾種主流的沙箱技術(shù)路線,,包括:

  全系統(tǒng)仿真:模擬主機(jī)物理硬件的沙箱,包括內(nèi)存和 CPU,。

  操作系統(tǒng)仿真:模擬最終用戶操作系統(tǒng)的沙箱,。它不模擬機(jī)器硬件。

  虛擬化:基于虛擬機(jī) (VM) 的沙箱,,包含并檢查可疑程序,。

  常見的沙箱解決方案類型包括:

  瀏覽器沙箱,例如Google Chrome,、Firefox 和 Safari 中內(nèi)置的沙箱,。

  瀏覽器 EDR,它使安全團(tuán)隊(duì)能夠了解端點(diǎn)瀏覽器上的攻擊,,并使用沙箱隔離威脅(一種新興產(chǎn)品類別),。

  VirtualBox 等通用虛擬機(jī) (VM) 也可用于隔離可疑的惡意軟件。

  沙箱(幾乎)消亡的 5 個(gè)原因

  在沙箱時(shí)代開始時(shí)——大約十年前,,沙箱被視為解決許多安全問題的神奇解決方案,。然而,像任何流行的安全控制一樣,,它們已經(jīng)成為攻擊者的必攻點(diǎn),現(xiàn)在沙箱與它們打算保護(hù)的軟件一樣容易受到攻擊,。

  以下是沙箱不再安全且無法在企業(yè)環(huán)境中用作有效安全控制的五個(gè)原因:

  沙箱可用于調(diào)查,,但不能用于檢測(cè)。大多數(shù)沙箱技術(shù)需要時(shí)間(通常以分鐘為單位)來執(zhí)行和觸發(fā)可疑程序,。這使得它們無法檢測(cè)安全威脅,,因?yàn)闄z測(cè)需要分析目標(biāo)系統(tǒng)遇到的所有軟件。沙箱只能用于調(diào)查已經(jīng)可疑的軟件,,這意味著必須有一個(gè)預(yù)先檢測(cè)機(jī)制,。

  攻擊者可以從沙箱中逃逸。有大量的漏洞利用可以實(shí)現(xiàn)特權(quán)提升,,其中許多都涉及 Windows 內(nèi)核,。攻擊者只需要發(fā)現(xiàn)提權(quán)漏洞,即可突破沙箱控制本地設(shè)備,。

  沙箱容易受到社會(huì)工程的影響,。幾乎所有情況下,,沙箱環(huán)境的某些部分都在用戶控制之下。例如,,如果用戶可以通過任何方式手動(dòng)批準(zhǔn)或拒絕沙箱中的軟件,,或授予沙箱中軟件的權(quán)限,則攻擊者可以設(shè)計(jì)一種社會(huì)工程攻擊,,使用戶執(zhí)行該操作,,從而令沙箱無用。

  沙箱界面并不完美,。沙箱用戶界面中的一個(gè)問題,、一個(gè)沒有經(jīng)驗(yàn)的用戶,甚至是專家用戶的一次意外點(diǎn)擊,,都足以將沙箱中的惡意軟件釋放到生產(chǎn)環(huán)境中,。

  現(xiàn)代惡意軟件大多內(nèi)置規(guī)避功能。多年來,,攻擊者一直致力于沙箱規(guī)避,。許多類型的惡意軟件使用諸如延遲執(zhí)行、鼠標(biāo)和鍵盤模式分析,、硬件環(huán)境評(píng)估和其他檢查等技術(shù),,來識(shí)別惡意軟件是在沙箱中還是在真實(shí)用戶環(huán)境中。如果惡意軟件能夠躲避沙箱,,那么依靠沙箱作為安全控制是不可能的,。

  更高級(jí)的沙箱可以解決這些問題嗎?

  答案是否定的,。

  在攻擊者和沙箱開發(fā)者之間的這場(chǎng)“軍備競(jìng)賽”中,,一方開發(fā)更復(fù)雜的措施來逃避或逃離沙箱,而另一方則改進(jìn)檢測(cè)和遏制此類攻擊的措施,。但是,,沙箱開發(fā)人員處于劣勢(shì)。

  惡意軟件只運(yùn)行一次,,理論上可以使用任意數(shù)量的資源來逃避或破壞沙箱,。但是,沙箱必須非常高效,,因?yàn)樗鼈冃枰獔?zhí)行大量掃描,。隨著沙箱變得越來越復(fù)雜,它們也變得越來越重和資源密集型,,這使得它們?cè)诔掷m(xù)的生產(chǎn)使用中變得不那么實(shí)用,。

  這場(chǎng)戰(zhàn)斗還沒有失敗,但很快就會(huì)失敗。組織應(yīng)該開始評(píng)估其他安全措施,,以取代或補(bǔ)充曾經(jīng)久負(fù)盛名的安全沙箱,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。