現在的惡意軟件會使用一些巧妙的技術來躲避傳統基于簽名的反惡意軟件的檢測。入侵防御系統、網頁過濾和防病毒產品已經不能夠抵擋新類別的攻擊者，這種新類別會把復雜的惡意軟件與持續性的遠程訪問特性結合，目的是在一段較長的時間內，竊取公司敏感數據。

新的威脅檢測工具試圖通過沙盒(sandboxing)技術提供先進的惡意軟件檢測系統來解決這個問題。很多公司都提供這樣的產品，包括FireEye Inc、Damballa Inc、Palo Alto Networks、NetWitness等，所有這些系統都承諾可以近乎完全抵御惡意軟件威脅。本文中，我們將討論當今先進的惡意軟件和威脅檢測產品所用到的技術，專注于他們目前所提供的優勢和還未解決的挑戰。

威脅檢測：沙盒技術

目前各種先進的惡意軟件檢測產品所用到的主要技術就是沙盒。沙盒是用多種技術來識別潛在的惡意軟件威脅。其首先使用網絡流量分析來發現網絡上的潛在威脅，并分析其行為類型和可疑的文件。然后這些文件會在一個虛擬機環境中被審查和分析，這個虛擬機是使用一套不同的操作系統和軟件版本。最后這些文件對虛擬機環境所作的更改會被記錄下來，生成一個報告，展示虛擬操作系統和軟件各個部分的更改。基于該報告，這些文件可以被確認為惡意軟件。

這種方法好處在于，無論惡意軟件使用哪些技術來隱藏其載體，它總會需要以某種方式來影響操作系統，這樣沙盒軟件就會檢測到它。沙盒技術包含兩個階段：首先檢測到威脅，然后將其送入沙盒。這樣可以很大程度地降低誤報和漏報。

文件在其進入網絡那一瞬間也會被沙盒軟件分析，比如在文件從網站上被下載時。基于沙盒技術的威脅檢測產品會重新集合網頁流量，檢測編碼中的可疑數據并為其分配優先權。在一個特定的閾值內，可疑的數據流量會被送到沙盒中。基于網絡流量分析的防止數據外泄行為會將已經在網絡上的威脅最小化。當惡意軟件最初的感染用于下載更多的惡意軟件時，會被“回調”行為阻止。而且由于沙盒技術并不是基于簽名的，所以它可以發現新品種的惡意軟件。一旦惡意軟件的信息被發現，那么就會共享給所有的設備，這樣可以在最快的時間內檢測到威脅。

威脅檢測產品選擇過程

這些威脅檢測工具并不便宜，所以你需要慎重考慮，以確保你所選擇的威脅檢測系統適合你的組織。花時間去試用廠商所提供的免費檢測產品是有必要的，這樣才能了解系統對你的組織是否有價值。重要的是要注意，一旦你選中一個產品，你需要將其推廣到所有的辦事處。遠程分支機構往往是攻擊的起始目標，你也需要將威脅檢測軟件部署到這些地方。

另外要知道，沒有一款產品是萬能的。這些系統不能分析SSL加密流量，而且在大多數情況下，他們只能分析對于Windows環境的威脅。他們也不能檢測到已經安裝在員工個人設備上的惡意軟件。但是，用于防止數據泄露的網絡流量分析是一個很棒的特性，它可以幫助對付一些弱點。

縱深防御是阻止惡意軟件和先進持續性威脅滲透你的網絡、竊取秘密和機密數據的關鍵。這些新的技術應該被視為一層防御，企業應該建立一支優秀的事件響應專家團隊來研究它們，團隊要采取頻繁的滲透測試來模擬真實攻擊。高度復雜的對手會無視威脅檢測產品所提供的防御，不停地攻擊你。隨著這些產品類型變得越來越受歡迎，堅定的攻擊者會試圖開發技術來騙過沙盒軟件。這就像軍事競賽中的一個步驟，企業需要投資建立多層防御來保證其資產和敏感數據的安全。