沙箱可谓是近十年来安全人员的神奇解决方案,被广泛的应用到网络、端点上的恶意软件检测。调研机构Markets&Markets的调研报告显示,今年的全球沙箱市场规模预计达到90亿美元,2016年这一数字是29亿美元。
在碎片化尤为突出的安全市场中,90亿美元已经是最大的单品之一了(据数世咨询统计,全球安全市场最大单品是防火墙约150亿美元。估计M&M的数字把集成沙箱的产品也统计在内了)。但这种市场规模的背后,有效性的问题开始显现出来,因为沙箱从未做到某些专家声称的那样,可以“检测未知威胁”。
按照沙箱的仿真环境可分为三种,包含软硬件的全环境仿真、操作系统仿真和虚机化仿真。不管哪种沙箱,都会存在以下两大问题:
1. 沙箱逃逸
有各种各样的逃逸方法来规避沙箱,如满足条件才触发恶意行为、检查自身是否运行在虚拟机环境中、延时运行、漏洞,甚至社会工程、误操作……
2. 调查可以但检测不行
绝大多数沙箱只检测可疑程序,因为执行和触发可疑程序需要时间(通常至少以分钟为单位)。也就是说,不能把所有的软件都丢进沙箱里,确认没问题后再放到真正的执行环境。但是,只有对所有程序的怀疑进行验证才能算得上是真正的检测。否则,只能是针对特定对象的调查而已。
这两大问题可以通过更采用不同的机制或说高级的沙盒来解决吗?显然不行。
如同对抗杀软一样,只要把恶意程序在VirusTotal上跑一遍就能对付99%的杀毒引擎。对于攻击者而言,恶意软件只运行一次,理论上可以利用各种资源来逃避或破坏沙箱。但对于防守者,沙箱的高级意味着需要执行大量扫描,会变得越来越复杂,越来越重,资源也越来越密集,最终的实用性会大打折扣。
沙箱的问题,可能会是所有仿真技术的问题,只能针对可疑对象而不是所有对象,否则成本太高。也许,元宇宙到来的那一天,这个问题会解决。但至少在现在,还是赶紧寻求更加行之有效的安全方案吧。
Markets&Markets的调研报告地址:
https://www.marketsandmarkets.com/Market-Reports/sandboxing-market-266210549.html?_sp=c16701fa-2dae-451b-bffc-564cc2ab39d3.1644832496650
来源:数世咨询
在线咨询
在线咨询
0371-63319761