《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 沙箱已死!?

沙箱已死???

2021-11-14
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 沙箱

  組織應(yīng)開始評估其他安全措施,以取代或補充曾經(jīng)久負盛名的安全沙箱

  本文由安全內(nèi)參社區(qū)翻譯自DarkReading,作者Gilad David Maayan。

  十年前,沙箱是網(wǎng)絡(luò)安全領(lǐng)域的奇跡。今天,它被安全研究人員廣泛使用,內(nèi)嵌在端點檢測和響應(yīng) (EDR) 和下一代防病毒 (NGAV) 等現(xiàn)代安全解決方案中,用作軟件開發(fā)工作流程的一部分,并被眾多最終用戶用來測試未知或安全環(huán)境中的不受信任軟件。沙箱市場預(yù)計將從 2016 年的 29 億美元增長到2022 年的 90 億美元。

  然而,沙箱從未真正兌現(xiàn)其承諾:將未知變?yōu)橐阎?。沙箱?jīng)常會漏檢威脅,這樣做會給組織一種虛假的安全感。在本文中,我將討論安全沙箱的工作原理、沙箱如何演變成今天的樣子、沙箱概念有什么問題,以及為什么今天我們不應(yīng)該把沙箱作為可信賴安全解決方案。

  沙箱如何工作?

  沙箱可阻止應(yīng)用程序訪問當前運行環(huán)境的系統(tǒng)資源和用戶數(shù)據(jù),并提供主動惡意軟件檢測能力。沙箱測試是在安全隔離環(huán)境中執(zhí)行或觸發(fā)代碼,在該環(huán)境中可以安全地觀察代碼運行和輸出活動的行為。

  沙箱解決方案聲稱增加了新一層安全性,可以幫助檢測或規(guī)避未知的威脅。沙箱可以檢測其他工具遺漏的威脅,并幫助管理員快速從生產(chǎn)環(huán)境中刪除這些威脅。

  有幾種主流的沙箱技術(shù)路線,包括:

  全系統(tǒng)仿真:模擬主機物理硬件的沙箱,包括內(nèi)存和 CPU。

  操作系統(tǒng)仿真:模擬最終用戶操作系統(tǒng)的沙箱。它不模擬機器硬件。

  虛擬化:基于虛擬機 (VM) 的沙箱,包含并檢查可疑程序。

  常見的沙箱解決方案類型包括:

  瀏覽器沙箱,例如Google Chrome、Firefox 和 Safari 中內(nèi)置的沙箱。

  瀏覽器 EDR,它使安全團隊能夠了解端點瀏覽器上的攻擊,并使用沙箱隔離威脅(一種新興產(chǎn)品類別)。

  VirtualBox 等通用虛擬機 (VM) 也可用于隔離可疑的惡意軟件。

  沙箱(幾乎)消亡的 5 個原因

  在沙箱時代開始時——大約十年前,沙箱被視為解決許多安全問題的神奇解決方案。然而,像任何流行的安全控制一樣,它們已經(jīng)成為攻擊者的必攻點,現(xiàn)在沙箱與它們打算保護的軟件一樣容易受到攻擊。

  以下是沙箱不再安全且無法在企業(yè)環(huán)境中用作有效安全控制的五個原因:

  沙箱可用于調(diào)查,但不能用于檢測。大多數(shù)沙箱技術(shù)需要時間(通常以分鐘為單位)來執(zhí)行和觸發(fā)可疑程序。這使得它們無法檢測安全威脅,因為檢測需要分析目標系統(tǒng)遇到的所有軟件。沙箱只能用于調(diào)查已經(jīng)可疑的軟件,這意味著必須有一個預(yù)先檢測機制。

  攻擊者可以從沙箱中逃逸。有大量的漏洞利用可以實現(xiàn)特權(quán)提升,其中許多都涉及 Windows 內(nèi)核。攻擊者只需要發(fā)現(xiàn)提權(quán)漏洞,即可突破沙箱控制本地設(shè)備。

  沙箱容易受到社會工程的影響。幾乎所有情況下,沙箱環(huán)境的某些部分都在用戶控制之下。例如,如果用戶可以通過任何方式手動批準或拒絕沙箱中的軟件,或授予沙箱中軟件的權(quán)限,則攻擊者可以設(shè)計一種社會工程攻擊,使用戶執(zhí)行該操作,從而令沙箱無用。

  沙箱界面并不完美。沙箱用戶界面中的一個問題、一個沒有經(jīng)驗的用戶,甚至是專家用戶的一次意外點擊,都足以將沙箱中的惡意軟件釋放到生產(chǎn)環(huán)境中。

  現(xiàn)代惡意軟件大多內(nèi)置規(guī)避功能。多年來,攻擊者一直致力于沙箱規(guī)避。許多類型的惡意軟件使用諸如延遲執(zhí)行、鼠標和鍵盤模式分析、硬件環(huán)境評估和其他檢查等技術(shù),來識別惡意軟件是在沙箱中還是在真實用戶環(huán)境中。如果惡意軟件能夠躲避沙箱,那么依靠沙箱作為安全控制是不可能的。

  更高級的沙箱可以解決這些問題嗎?

  答案是否定的。

  在攻擊者和沙箱開發(fā)者之間的這場“軍備競賽”中,一方開發(fā)更復(fù)雜的措施來逃避或逃離沙箱,而另一方則改進檢測和遏制此類攻擊的措施。但是,沙箱開發(fā)人員處于劣勢。

  惡意軟件只運行一次,理論上可以使用任意數(shù)量的資源來逃避或破壞沙箱。但是,沙箱必須非常高效,因為它們需要執(zhí)行大量掃描。隨著沙箱變得越來越復(fù)雜,它們也變得越來越重和資源密集型,這使得它們在持續(xù)的生產(chǎn)使用中變得不那么實用。

  這場戰(zhàn)斗還沒有失敗,但很快就會失敗。組織應(yīng)該開始評估其他安全措施,以取代或補充曾經(jīng)久負盛名的安全沙箱。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。