組織應(yīng)開始評估其他安全措施，以取代或補(bǔ)充曾經(jīng)久負(fù)盛名的安全沙箱。

　　本文由安全內(nèi)參社區(qū)翻譯自DarkReading，作者Gilad David Maayan。

　　十年前，沙箱是網(wǎng)絡(luò)安全領(lǐng)域的奇跡。今天，它被安全研究人員廣泛使用，內(nèi)嵌在端點(diǎn)檢測和響應(yīng) （EDR） 和下一代防病毒 （NGAV） 等現(xiàn)代安全解決方案中，用作軟件開發(fā)工作流程的一部分，并被眾多最終用戶用來測試未知或安全環(huán)境中的不受信任軟件。沙箱市場預(yù)計將從 2016 年的 29 億美元增長到2022 年的 90 億美元。

　　然而，沙箱從未真正兌現(xiàn)其承諾：將未知變?yōu)橐阎Ｉ诚浣?jīng)常會漏檢威脅，這樣做會給組織一種虛假的安全感。在本文中，我將討論安全沙箱的工作原理、沙箱如何演變成今天的樣子、沙箱概念有什么問題，以及為什么今天我們不應(yīng)該把沙箱作為可信賴安全解決方案。

　　沙箱如何工作？

　　沙箱可阻止應(yīng)用程序訪問當(dāng)前運(yùn)行環(huán)境的系統(tǒng)資源和用戶數(shù)據(jù)，并提供主動惡意軟件檢測能力。沙箱測試是在安全隔離環(huán)境中執(zhí)行或觸發(fā)代碼，在該環(huán)境中可以安全地觀察代碼運(yùn)行和輸出活動的行為。

　　沙箱解決方案聲稱增加了新一層安全性，可以幫助檢測或規(guī)避未知的威脅。沙箱可以檢測其他工具遺漏的威脅，并幫助管理員快速從生產(chǎn)環(huán)境中刪除這些威脅。

　　有幾種主流的沙箱技術(shù)路線，包括：

　　全系統(tǒng)仿真：模擬主機(jī)物理硬件的沙箱，包括內(nèi)存和 CPU。

　　操作系統(tǒng)仿真：模擬最終用戶操作系統(tǒng)的沙箱。它不模擬機(jī)器硬件。

　　虛擬化：基于虛擬機(jī) （VM） 的沙箱，包含并檢查可疑程序。

　　常見的沙箱解決方案類型包括：

　　瀏覽器沙箱，例如Google Chrome、Firefox 和 Safari 中內(nèi)置的沙箱。

　　瀏覽器 EDR，它使安全團(tuán)隊能夠了解端點(diǎn)瀏覽器上的攻擊，并使用沙箱隔離威脅（一種新興產(chǎn)品類別）。

　　VirtualBox 等通用虛擬機(jī) （VM） 也可用于隔離可疑的惡意軟件。

　　沙箱（幾乎）消亡的 5 個原因

　　在沙箱時代開始時——大約十年前，沙箱被視為解決許多安全問題的神奇解決方案。然而，像任何流行的安全控制一樣，它們已經(jīng)成為攻擊者的必攻點(diǎn)，現(xiàn)在沙箱與它們打算保護(hù)的軟件一樣容易受到攻擊。

　　以下是沙箱不再安全且無法在企業(yè)環(huán)境中用作有效安全控制的五個原因：

　　沙箱可用于調(diào)查，但不能用于檢測。大多數(shù)沙箱技術(shù)需要時間（通常以分鐘為單位）來執(zhí)行和觸發(fā)可疑程序。這使得它們無法檢測安全威脅，因?yàn)闄z測需要分析目標(biāo)系統(tǒng)遇到的所有軟件。沙箱只能用于調(diào)查已經(jīng)可疑的軟件，這意味著必須有一個預(yù)先檢測機(jī)制。

　　攻擊者可以從沙箱中逃逸。有大量的漏洞利用可以實(shí)現(xiàn)特權(quán)提升，其中許多都涉及 Windows 內(nèi)核。攻擊者只需要發(fā)現(xiàn)提權(quán)漏洞，即可突破沙箱控制本地設(shè)備。

　　沙箱容易受到社會工程的影響。幾乎所有情況下，沙箱環(huán)境的某些部分都在用戶控制之下。例如，如果用戶可以通過任何方式手動批準(zhǔn)或拒絕沙箱中的軟件，或授予沙箱中軟件的權(quán)限，則攻擊者可以設(shè)計一種社會工程攻擊，使用戶執(zhí)行該操作，從而令沙箱無用。

　　沙箱界面并不完美。沙箱用戶界面中的一個問題、一個沒有經(jīng)驗(yàn)的用戶，甚至是專家用戶的一次意外點(diǎn)擊，都足以將沙箱中的惡意軟件釋放到生產(chǎn)環(huán)境中。

　　現(xiàn)代惡意軟件大多內(nèi)置規(guī)避功能。多年來，攻擊者一直致力于沙箱規(guī)避。許多類型的惡意軟件使用諸如延遲執(zhí)行、鼠標(biāo)和鍵盤模式分析、硬件環(huán)境評估和其他檢查等技術(shù)，來識別惡意軟件是在沙箱中還是在真實(shí)用戶環(huán)境中。如果惡意軟件能夠躲避沙箱，那么依靠沙箱作為安全控制是不可能的。

　　更高級的沙箱可以解決這些問題嗎？

　　答案是否定的。

　　在攻擊者和沙箱開發(fā)者之間的這場“軍備競賽”中，一方開發(fā)更復(fù)雜的措施來逃避或逃離沙箱，而另一方則改進(jìn)檢測和遏制此類攻擊的措施。但是，沙箱開發(fā)人員處于劣勢。

　　惡意軟件只運(yùn)行一次，理論上可以使用任意數(shù)量的資源來逃避或破壞沙箱。但是，沙箱必須非常高效，因?yàn)樗鼈冃枰獔?zhí)行大量掃描。隨著沙箱變得越來越復(fù)雜，它們也變得越來越重和資源密集型，這使得它們在持續(xù)的生產(chǎn)使用中變得不那么實(shí)用。

　　這場戰(zhàn)斗還沒有失敗，但很快就會失敗。組織應(yīng)該開始評估其他安全措施，以取代或補(bǔ)充曾經(jīng)久負(fù)盛名的安全沙箱。