因为能在威胁真正影响到生产环境之前做测试,沙箱一直被标榜为预防网络攻击的高级方法。但这种方法有没有什么代价,又是否像供应商吹嘘的那么有效呢?
普通人眼中的沙箱,就是小孩子在操场上玩耍的地方。同样地,对IT人员而言,沙箱常被当做代码正式应用到生产环境之前的一个可以安全地开发和测试的地方。对安全人员而言,沙箱测试是用来发现零日威胁和隐秘攻击的方法之一。然而,随着入侵者和防御者之间军备竞赛的持续升级,恶意软件开发者也不断地找到能够绕过沙箱检测的各种精妙办法。
很多IT安全人员和CISO还在重度依赖仅凭沙箱策略防护自家资源。同时,网络世界中的暴徒却不断寻找新方法在沙箱中“愉快玩耍”。
迷思 vs. 现实
沙箱确实为你的网络威胁预防策略提供了一层防御,但也随之带来了对大多数公司企业而言难以承受的额外代价。以下3个迷思就常伴沙箱技术左右:
- 迷思1:沙箱很快
现实:沙箱很慢
按照沙箱执行的定义,进入到公司操作系统、网络或应用的所有数据都需流经沙箱,触发执行之后判定其中是否隐含恶意软件。这种机制会给通信带来严重的延迟,尤其是对每天有上百万电子邮件和文件流转的企业而言。
- 迷思2:沙箱性价比高
现实:沙箱是资源密集型的(可以理解为很贵很贵)
创建安全沙箱所需的硬件直接取决于你的应用环境,因为你得复制出每个场景来测试网络入侵的可能性。光从硬件和软件的角度看就已经很贵了,再加上维护和更新这些环境所需的人力资源,那花销可不是一般公司能承受的。
- 迷思3:沙箱本身坚不可摧
现实:沙箱也是可以被愚弄的
有时候,认为有坚不可摧的方法能够防止网络攻击,是个太过美好的幻想。黑客都忍不住公布破解沙箱的方法来嘲弄这种想法了。
今天的企业网络不再局限于其边界,有各种服务横跨公开和私有环境,有各种各样的基础设施布设在底层,还有大量的应用与资源可供选择。
沙箱替代
真心想要预防而非缓解网络攻击的公司企业,需要考虑不需要沙箱的带防绕过方法的平台。这种平台能赋予客户适度的灵活性,可以在不断改变的威胁态势中实现端到端安全。
无论是在现场还是在云端,该平台的操作应保持一致,其安全逻辑中应完全摒除环境变量。同时,该平台还应基础设施无关,无论底层基础设施如何实现,都能执行安全防护职能,应能在包含虚拟、硬件和一切皆服务(XaaS)基础设施的混合环境中运行良好。为提供真正的端到端安全,该平台需要赋予客户不局限于特定垂直领域的灵活性和一致性。