电脑装配网

沙箱已死!?

 人阅读 | 作者pangding | 时间:2022-08-17 23:54

十年前,沙箱是网络安全领域的奇迹。今天,它被安全研究人员广泛使用,内嵌在端点检测和响应 (EDR) 和下一代防病毒 (NGAV) 等现代安全解决方案中,用作软件开发工作流程的一部分,并被众多最终用户用来测试未知或安全环境中的不受信任软件。沙箱市场预计将从 2016 年的 29 亿美元增长到2022 年的 90 亿美元。

然而,沙箱从未真正兑现其承诺:将未知变为已知。沙箱经常会漏检威胁,这样做会给组织一种虚假的安全感。在本文中,我将讨论安全沙箱的工作原理、沙箱如何演变成今天的样子、沙箱概念有什么问题,以及为什么今天我们不应该把沙箱作为可信赖安全解决方案。

沙箱如何工作?

沙箱可阻止应用程序访问当前运行环境的系统资源和用户数据,并提供主动恶意软件检测能力。沙箱测试是在安全隔离环境中执行或触发代码,在该环境中可以安全地观察代码运行和输出活动的行为。

沙箱解决方案声称增加了新一层安全性,可以帮助检测或规避未知的威胁。沙箱可以检测其他工具遗漏的威胁,并帮助管理员快速从生产环境中删除这些威胁。

有几种主流的沙箱技术路线,包括:

全系统仿真:模拟主机物理硬件的沙箱,包括内存和 CPU。

操作系统仿真:模拟最终用户操作系统的沙箱。它不模拟机器硬件。

虚拟化:基于虚拟机 (VM) 的沙箱,包含并检查可疑程序。

常见的沙箱解决方案类型包括:

浏览器沙箱,例如Google Chrome、Firefox 和 Safari 中内置的沙箱。

浏览器 EDR,它使安全团队能够了解端点浏览器上的攻击,并使用沙箱隔离威胁(一种新兴产品类别)。

VirtualBox 等通用虚拟机 (VM) 也可用于隔离可疑的恶意软件。

沙箱(几乎)消亡的 5 个原因

在沙箱时代开始时——大约十年前,沙箱被视为解决许多安全问题的神奇解决方案。然而,像任何流行的安全控制一样,它们已经成为攻击者的必攻点,现在沙箱与它们打算保护的软件一样容易受到攻击。

以下是沙箱不再安全且无法在企业环境中用作有效安全控制的五个原因:

沙箱可用于调查,但不能用于检测。大多数沙箱技术需要时间(通常以分钟为单位)来执行和触发可疑程序。这使得它们无法检测安全威胁,因为检测需要分析目标系统遇到的所有软件。沙箱只能用于调查已经可疑的软件,这意味着必须有一个预先检测机制。

攻击者可以从沙箱中逃逸。有大量的漏洞利用可以实现特权提升,其中许多都涉及 Windows 内核。攻击者只需要发现提权漏洞,即可突破沙箱控制本地设备。

沙箱容易受到社会工程的影响。几乎所有情况下,沙箱环境的某些部分都在用户控制之下。例如,如果用户可以通过任何方式手动批准或拒绝沙箱中的软件,或授予沙箱中软件的权限,则攻击者可以设计一种社会工程攻击,使用户执行该操作,从而令沙箱无用。

沙箱界面并不完美。沙箱用户界面中的一个问题、一个没有经验的用户,甚至是专家用户的一次意外点击,都足以将沙箱中的恶意软件释放到生产环境中。

现代恶意软件大多内置规避功能。多年来,攻击者一直致力于沙箱规避。许多类型的恶意软件使用诸如延迟执行、鼠标和键盘模式分析、硬件环境评估和其他检查等技术,来识别恶意软件是在沙箱中还是在真实用户环境中。如果恶意软件能够躲避沙箱,那么依靠沙箱作为安全控制是不可能的。

更高级的沙箱可以解决这些问题吗?

答案是否定的。

在攻击者和沙箱开发者之间的这场“军备竞赛”中,一方开发更复杂的措施来逃避或逃离沙箱,而另一方则改进检测和遏制此类攻击的措施。但是,沙箱开发人员处于劣势。

恶意软件只运行一次,理论上可以使用任意数量的资源来逃避或破坏沙箱。但是,沙箱必须非常高效,因为它们需要执行大量扫描。随着沙箱变得越来越复杂,它们也变得越来越重和资源密集型,这使得它们在持续的生产使用中变得不那么实用。

这场战斗还没有失败,但很快就会失败。组织应该开始评估其他安全措施,以取代或补充曾经久负盛名的安全沙箱。


文章标签:

本文链接:『转载请注明出处』