在众多现代网络威胁中,针对性攻击是最危险的。 它们也称为ATP(代表高级持续威胁的缩写)。 这些不是由于用户的粗心而意外进入计算机的病毒。 也不试图替换受欢迎站点的地址以欺骗来自轻信用户的账单信息。 有针对性的网络攻击已经准备并经过仔细考虑,并构成了特定的威胁。
攻击者的目标可能同时是许多组织(例如,政府机构)和行业以及某些特定的公司。 IT专业人员非常清楚,这种攻击可以轻松绕过传统的保护手段。 处理它们的主要工具之一是网络沙箱。 在我们的评论中,您将找到有关市场上最先进的沙箱的信息,并能够根据特殊的沙箱比较表中的参数选择最适合您的沙箱
什么是沙盒? 广义上讲,它是一个隔离的安全环境,可以模拟操作系统及其所有组件(驱动程序,设置,通用软件等)。 在沙箱中,您可以运行可疑文件和程序来监视其行为并了解其目的,而不会危及组织网络和端点。 总的来说,更恰当地称呼该技术为“单元”或“隔离器”是正确的,因为这些名称将清楚地传达媒介的含义和目的。 但是我们拥有我们所拥有的。
沙箱为何如此重要? 当进行有针对性的攻击时,网络犯罪分子通常会使用所谓的零时差威胁。 这些病毒和漏洞利用是刚刚出现的(或专门为特定攻击编写的),尚未输入传统防御工具的签名数据库中。 是的,数据库的更新非常频繁,但是有时几个小时足以造成重大破坏。 另外,由于其行为,某些恶意软件可能会在几个月内一直未被检测到。 另一方面,沙箱可让您在安全的环境中检测恶意行为,在这种环境中,恶意程序可能会尝试尽可能多地造成伤害,而没有任何结果。 当然,沙箱本身并不是零日威胁和针对性网络攻击的灵丹妙药。 进行攻击时,将使用攻击者可用的全部工具。 因此,这是每个组织的信息安全系统中的重要元素。 没有它,任何内置的保护都很难称为可靠的。
沙箱既可以用作单独的硬件解决方案,也可以用作虚拟或云服务(也可以使用这些方法的组合)。 同时,人们认为最有效的解决方案是硬件。 硬件解决方案既可以作为独立手段提供,也可以作为复杂产品的一部分提供,以应对有针对性的攻击和其他威胁。 此外,在我们的审查中,我们将考虑市场上流行的领先IT公司的解决方案,这些解决方案已被Gartner专家报告为可靠且可靠的信息保护解决方案。
趋势科技深度发现
该产品是集成的趋势科技威胁发现设备的一部分,该系统旨在保护公司网络免受所有常见类型的威胁,也可以独立使用。 威胁发现设备使用虚拟映像,该映像可以完全复制已安装的系统及其设置,包括驱动程序,实用程序,应用程序,甚至是语言版本(例如沙箱)。 该模块能够检查和分析各种可执行文件,Microsoft Office和PDF文档。 它还处理查看的Internet页面的内容以及从这些页面下载的内容(包括多级下载)。 同时,威胁发现设备可以检测Office文档和使用它们的恶意程序中的常见漏洞。 当今最紧急的功能之一是检测勒索软件程序。 该工具可检测以下威胁和攻击:零日威胁,恶意脚本的隐藏执行,海量文件加密以及勒索软件程序的其他典型操作。 为此,不仅使用了直接的行为分析,而且使用了全球声誉系统以及大量的行为模式。
该解决方案允许您在一台设备上最多部署60个沙箱,并支持虚拟化。 可以对多个威胁发现设备分析仪硬件设备进行集群化以提高生产率。 它还可以与趋势科技产品和第三方防护设备集成。
Fortinet堡垒沙箱
Fortinet的Sandbox是一种高级仿真系统,可使用多种工具来检测未知的零日威胁和有针对性的攻击。 它使用模拟正常操作环境的虚拟机-具有已安装驱动程序和软件的操作系统。 在这种情况下,您可以将标准虚拟机与预安装的OS和程序(Adobe Flash Player,Java运行时等)一起使用,但是还可以选择上传自己工作站的映像。 在FortiSandbox中扫描可疑对象的过程分为几个阶段。 首先,进行常规的防病毒扫描,然后使用FortiGuard云服务扫描对象。 而且只有在进行这些检查期间无法确定对象是危险还是安全时,才将其重定向以在沙箱中进行扫描。 此过程使您可以显着节省资源,因为某些文件被检查了而没有直接使用沙箱机制。 该解决方案适用于单个文件,也可以检查Web链接。
Fortinet FortiSandbox既可以作为单独的设备使用(总共提供了五个型号),也可以作为云服务使用(支持公共云和私有云)。 而且,该解决方案可以在客户端设备上作为虚拟机运行。 该工具与其他Fortinet产品集成,例如FortiGate和FortiWeb安全工具。 这使您可以提高验证质量,包括使用加密流量的能力。
Forcepoint高级恶意软件检测
此Forcepoint产品可作为单独的模块在所有领先的供应商解决方案中使用。 其中包括:云服务Cloud Access Security Broker,Web安全和电子邮件安全,以及专有硬件下一代防火墙(NGFW)。 该模块由单独的订阅激活,可以以相同的方式挂起,而不会影响整个产品的运行。
Forcepoint高级恶意软件检测沙箱不仅模拟操作系统,还模拟整个主机,包括处理器,RAM和其他组件。 同时,该嵌入式深度分析工具可以跟踪已执行程序的所有动作,甚至可以检测非活动代码以进行验证。 这样,您就可以检测到通常在感染后几周甚至几个月后才运行的,隐藏的威胁和脚本,这些威胁和脚本以前没有显示出来。 此外,高级恶意软件检测会监视可疑操作,即使它们是由操作系统或受信任的程序执行的也是如此。 通过这种方法,您可以应对将恶意操作委派给其他工具的特定类别的威胁。
FireEye恶意软件分析
作为专有沙箱,FireEye提供了一种硬件解决方案-一种称为Malware Analysis AX 5550的设备。它允许您运行基于Windows和MacOS的强大,自动可自定义的测试环境。 他们跟踪可能通过电子邮件附件,常规文件和恶意链接进入网络的恶意软件和零时差威胁。 该设备使用专有的多向量虚拟执行引擎,该引擎可以跟踪从恶意代码的最初执行到脚本尝试下载某些缺失组件的最终阶段的攻击。 还监视跨多个协议的所有出站连接尝试。
该平台允许您以两种模式工作:直接在沙箱中和实时运行。 当有针对性的复杂攻击时,最后一个选项很有用。 它允许在安全环境中实时跟踪所有媒介和攻击阶段。 此外,恶意软件分析会与其他专有设备交换有关攻击的信息,以便可以通过网络非常迅速地获得有关新的零日威胁的信息。 反过来,这使得可以预先为这种攻击做准备并减少其潜在危险。
Proofpoint目标攻击防护
电子邮件是在计算机上获取恶意软件的最常见方法之一。 Proofpoint开发了Proofpoint目标攻击防护产品系列,该产品系列与其他产品一起具有电子邮件保护工具。 它是一种云服务,它使用基于云的沙箱来扫描电子邮件附件和链接,以检测目标攻击和零时差威胁。 该工具可以扫描所有常见类型的设备(包括移动设备)上的邮件流量。 它不仅可以保护免受恶意软件攻击,还可以防止网络钓鱼链接(在电子邮件中也很常见)。 在这一点上,不仅邮件本身被扫描,而且帐户的行为也被监视,这允许检测异常活动并阻止它。 如果电子邮件帐户被黑,此功能非常有用。 该工具还分析每个帐户的攻击次数,并告知管理员哪些攻击最受攻击,并可以与特定人员合作。
Proofpoint定向攻击防护支持大多数电子邮件服务,包括Office 365和私人公司服务。 该工具可以快速部署和配置。 它既可以用作独立解决方案,又可以用作另一公司产品-Proofpoint Protection Server的模块。
Zscaler云沙箱
为了抵御零日威胁和有针对性的攻击,Zscaler提供了自己的基于云的沙箱。 该工具可以用作独立解决方案,也可以用作Zscaler Web Security集成产品的一部分。 Zscaler Cloud Sandbox的主要优点之一是能够扫描加密的流量并使用机器学习来识别威胁。 此外,该产品广泛应用了可以由管理员亲自配置的安全策略。 例如,您可以按类型检查文件,还可以特别注意特权用户(主管等)。 正确配置的安全策略可以确定如何处理可疑文件-阻止,隔离或仅通知用户。
由于文件分析是在云内部进行的,因此Zscaler Cloud Sandbox可以非常快速地工作,并且对公司基础架构的影响极小。 它还使您能够保护用户的设备,无论他们身在何处,例如出差和办公室外的办公笔记本电脑和员工的智能手机。
检查点喷砂
Check Point的Sandbox是一项技术,已在许多品牌工具中使用。 其中包括:用于下一代防火墙(NGFW)的SandBlast网络安全,用于保护端点的SandBlast代理以及用于Office 365云服务并保护公司电子邮件的SandBlast Cloud。 该产品可以分析40多种类型的文件和其中的危险内容,从而可以使用这些文件而不会造成任何危害。 SandBlast可以防御已知病毒和零时差威胁。 该产品在处理器指令和系统核心级别分析文件的执行,从而避免了启动受感染对象的可能性。 反过来,这节省了用于验证的资源,并允许您快速处理请求。
SandBlast在工作中积极使用Check Point ThreatCloud系统,该系统是Check Point本身识别的全球威胁数据库。 新威胁的特征在检测到后立即出现在其中,并迅速传递给连接到系统的所有设备。 这使得可以非常迅速地响应零时差威胁,这在传统的防病毒数据库中还不存在,并且在SandBlast中也使用。
帕洛阿尔托网络WildFire
来自著名的保护和控制以及网络流量开发商的综合产品。 沙盒WildFire可以分析所有常见文件类型,还支持处理加密流量。 组合方法用于识别零时差威胁,针对性攻击和其他恶意对象。 例如,除了在沙箱中进行动态和静态分析之外,还使用了防病毒,隐藏的隧道签名,机器学习以及来自全球其他Palo Alto Networks设备的信息。 对WildFire中潜在威胁的分析既可以在本地服务器,虚拟机上进行,也可以在开发人员的云中进行。 这有助于绕过入侵者的一些技巧。 例如,有一种躲闪技术。 它允许恶意对象确定它正在虚拟机上进行测试,而不显示自身(逃避)。 在真实设备上进行测试的能力消除了这些技巧。 当平台确定对象正在逃避支票时,它将其发送到真实的沙箱服务器以进行验证。
Palo Alto Networks WildFire具有称为TRAPS的专有技术,该技术用作端点保护。 它实时监控流量,并且使用已知漏洞之一检测到恶意代码执行后,便会立即为代码创建虚拟陷阱,从而关闭已执行的恶意进程。
迈克菲高级威胁防御
美国公司McAfee将其高级威胁防御产品定位为全面的解决方案,以应对复杂的针对性攻击和零时差威胁。 McAfee Advanced Threat Defense既可以作为本地可部署的硬件(有两种型号的设备)也可以虚拟形式提供。 除此之外,还支持私有和公共云环境。 在该平台使用的所有工具中,有一个专有的沙箱。 当潜在危险对象在其内部受保护的环境中启动时,将完成动态分析。 除了行为分析之外,该工具还使用签名分析和机器学习系统,以验证对象的信誉。 McAfee Advanced Threat Defense允许您自定义系统的图像以进行分析,从而提高了工作的可靠性,威胁检测的准确性和调查的速度。 交互式用户模式使管理员可以独立研究恶意软件样本,而大量的拆包功能则大大减少了调查事件的时间。
McAfee Advanced Threat Defense与公司网络上的其他安全设备无缝集成。 这不仅适用于McAfee品牌的解决方案,还适用于第三方产品。 因此,一旦高级威胁防御确定了威胁,这些设备就可以做出有关威胁的决策。 此功能使您可以真正快速地对威胁做出响应,并且在浪费已被识别为恶意文件的重新扫描文件时,不会浪费资源。 产品集成可以直接进行,也可以通过特殊的连接器进行,例如McAfee Threat Intelligence Exchange或McAfee Advanced Threat Defense电子邮件连接器。
思科高级恶意软件防护
该解决方案是一个全面的系统,可以防御高级攻击和零时差威胁。 该平台由几个旨在执行不同任务的组件组成。 例如,网络高级恶意软件保护可以保护公司网络,端点高级恶意软件保护可以与端点(包括移动设备)配合使用,内容高级恶意软件保护可以扫描网络流量和电子邮件。 但是,所有这些模块都使用专有的Cisco沙箱,该沙箱可以执行对象的静态和动态分析,并使用700多种行为指标来检测恶意代码。
思科高级恶意软件防护中的威胁检测是通过组合使用不同方法来完成的。 除了行为分析之外,还使用签名测试,启发式方法和机器学习。 该系统不仅在文件的入口处检查文件,还监视文件在公司网络中停留期间的行为,无论它们位于何处。 这有助于快速检测到已长期处于非活动状态的威胁,并在数周或数月后才开始进行有害活动。 同样的机制也适用于威胁,只有长期观察才能发现危害。
小后记
网络沙箱非常多样化,但是它们追求的是一个目标-保护网络和端点免受传统方法无法识别的攻击。 这是公司信息安全系统的重要组成部分,没有它,您将无法100%确保基础架构受到保护。 市场上有足够的解决方案,包括硬件和云,都可以应付任务。 我们的
沙盒比较表将帮助您选择最佳选择。
作者:Vladyslav Myronovych,针对
ROI4CIO