先前本部落格這篇「啟發式掃描和沙箱防護:雙劍合壁」文章說出了關於APT針對性攻擊和的實情。這文章點出為什麼單靠沙箱技術並無法完全地對抗APT攻擊。
它是一個重要部分,當然沒錯。然而不管是號稱獨門技術或額外特製,不要讓任何供應商說服你相信沙箱分析可以解決一切。它雖然有效,但單靠沙箱解決不了APT 攻擊。因為有過度簡化的風險,這裡有三個原因:
- 跟任何安全技術一樣,沙箱有自己的弱點。沒有兩家廠商的產品是一樣的;但總的來說,沙箱技術可以被攻擊者透過先進的偵察和攻擊準備來閃避掉。
- 正如TrendLabs的文章所說,攻擊者會在他們的進階惡意軟體中建立檢查點,尋找特定的Windows作業系統許可證、語言和其他設定,包括檢查虛擬環境。成熟的廠商會開發對策;然而,很少會提供建立客製化沙箱來模擬攻擊者試圖攻擊的目標桌面環境。
- 由於流量和攻擊載體的數量,很少組織具備足夠的財力和安全資源來建立可擴展的沙箱服務而不會影響到最終使用者的工作效率。
除了有嚴謹的研究來保持領先於攻擊者的沙箱迴避技術,趨勢科技也獨一無二的使用啟發式掃描在網路流量上。透過監視所有的網路端口,超過八十種協定和應用程式,我們可以提供獨特的先進分流技術來偵測進階惡意軟體和零時差漏洞而不用依賴沙箱技術。結合了這兩種技術,會更加有效率的偵測和回應針對性攻擊和進階威脅。
不用只聽我們講,實測是最好的證明:
@原文出處:Get Your Head out of the Sand! 作者:Bob Corson