IDC 分析师连线 - SonicWall.PDFVIP

I D C 分 析 师 连 线 Robert Ayoub 安全产品研究主管 通过多沙箱选项解决高级威胁 2016年11月 企业正在安全解决方案上进行投资，以为敏感数据提供额外保护及提高网络流量和端点活动的可视性。 根据IDC调查显示，60%的受访企业表示，在未来12个月内，将现代端点和网络安全产品（例如沙箱） 作为优先考虑的事项。 Rob Ayoub注册信息系统安全专家（CISSP），同时也是IDC安全产品服务部门研究主管。SonicWall 代表其合作伙伴和客户向Rob Ayoub提出以下问题： Q. 现在几乎每天都会有媒体报道重大的数据泄露事故，同时我们也看到企业对安全产品和服务的 持续投资。那么，为什么攻击仍然会获得成功？ A. 这些攻击获得成功主要有几个原因。首先，现在有很多向量可供攻击者利用，事实上，这个数 量比以往更多。攻击者正在利用电子邮件、网站和社交媒体，以及大量的用于通信的其他应用 进行攻击。 其次，攻击者可通过很多方式进入企业，例如欺骗用户点击链接以及下载附件等。最重要的 是 ，软件本身并不安全，修复漏洞也十分困难。尽管软件开发人员会定期发布补丁，但企业很 难定期测试补丁以修复机器，也很难让最终用户在其系统中保持更新。而对于零日攻击来说， 攻击发生时甚至都没有任何已经发布的补丁。绝大多数企业都没有足够快速或全面地修复攻击 者所利用的漏洞。 最后，虽然企业已意识到安全的重要性，我们也看到安全预算在不断增加，但抵御最新的威胁 是非常复杂的工作，并需要非常专业的技能才能正确部署安全措施。此外，攻击者受金钱驱 动。美国联邦调查局预测，勒索软件受害者今年支付的赎金将会超过10亿美元，攻击者将会 想方设法提高其攻击水平，领先于企业的安全防御。 1 Q. 沙箱技术已经出现一段时间，它被认为是解决高级威胁的有效方法。为什么如今的沙箱解决方 案可有效捕捉高级威胁？ A. 沙箱作为一种技术已经存在了很长时间，它是将不受信任或未经验证运行程序与受信任程序隔 离开来的安全机制。现在的沙箱技术已经得到优化，能够比以往更快速地运行。开发提供商已 经投入大量精力来确保沙箱的快速运行，使其可有效寻找各种安全隐患指标，让沙箱比以前更 有效。 沙箱的另一个改进是，它们现在可利用各种形式的威胁情报。这可帮助识别最新威胁并减少误 报数量。通常，沙箱还能够将新签名直接发送给网络安全设备，例如统一威胁管理产品和入侵 检测系统，从而在发现新威胁时立即对其进行快速修复。 Q. 传统安全堆栈包含各种层——防火墙、入侵检测和防护、电子邮件和Web安全、端点等。为 什么要将沙箱添加到传统堆栈中？ A. 所有传统安全组件都很重要，但沙箱可增加另一层保护，它能够识别其他技术无法识别的威 胁。正如我们所看到的，威胁向量正在改变，从PC转移到移动设备和基于云的应用，例如文 件共享服务。这种不断扩大的边界意味着攻击者除了通过企业所有的设备入侵外，也能够通 过家庭网络和消费者设备进入企业网络。 对于企业来说，有能力对来自任何地方、通过任何向量以及针对任何企业数据的威胁进行检测 是至关重要的。即使是长期受信任的文件类型也不再安全，因为恶意软件攻击者已经找出在看 似最无害的文件中隐藏恶意代码的方法。企业必须能够在任意网络入口点检测威胁。 Q. 很多报告称攻击者已经找到绕过沙箱的方法。企业如何确保其沙箱策略的有效性？ A. 随着沙箱技术越来越受到欢迎，攻击者确实在想办法企图绕过沙箱。因此，企业在部署沙箱 时应询问供应商其沙箱如何避免检测，以及供应商如何确保其沙箱紧跟最新的规避技术。供 应商应具备发展沙箱方法的能力，例如，以技术来快速解决攻击者新的规避技术。沙箱要能 够找出来自应用、操作系统甚至硬件中的恶意活动。 沙箱供应商应该拥有一支精良的安全工程师团队，可逆向工程恶意软件、查找高级攻击技术 以及确保供应商的沙箱可持续避免检测。供应商的沙箱不应处于静态不变，这一点很重要， 它们必须能够根据威胁的变化而不断更