如今的惡意軟件正利用各種獨具創新的技術回避傳統簽名類反惡意軟件的搜捕。入侵防御系統、Web過濾及殺毒產品在對抗將精密惡意軟件與持久性遠程訪問相結合的新型攻擊方面有點力不從心。一些惡意人士正虎視眈眈，想利用先進的技術，通過持久戰拿下企業敏感業務數據這一重要城池。

這種情況下，新型威脅檢測工具呼之欲出，它利用沙箱技術實現高級惡意軟件識別以加固安全防線。目前已經有多家企業開發這類產品，其中包括FireEye有限公司、Damballa有限公司、Pal Alto網絡以及NetWitness等等，他們承諾提供無懈可擊的惡意軟件保護效果。在本文中，我們將一同探討當前高級惡意軟件及威脅檢測產品中所采用的新興技術，關注其工作原理、優勢以及應用中存在的問題和注意事項。

高級威脅檢測產品的秘籍：沙箱機制

各類高級惡意軟件檢測產品中的主干技術就是近年來聲名大噪的沙箱機制。在沙箱機制的幫助下，我們可以通過一系列技術和流程揪出潛在的惡意軟件威脅。

利用網絡流量分析功能識別網絡環境下的潛在威脅，利用行為模式功能將可疑文件發往沙箱環境當中，這些文件隨后將在一套類似于虛擬機的獨立環境中接受檢查。具體來說，這套機制能夠提供不同操作系統及軟件版本搭配并能夠了解其具體行為方式：文件在不同配置環境下的表現將被一一記錄，并為技術人員提供一份不同系統與軟件引發的文件變化報告。基于這份報告，我們能夠準確判斷對應文件是否屬于惡意軟件。

這套機制的可行性在于：無論惡意軟件利用哪種技術來隱藏自己的形跡，都必然需要以某種方式影響操作系統來實現自己的惡意目的，而沙箱軟件則負責全程監督這一流程。沙箱機制共分為兩步：第一、檢測威脅，第二、將其發送至沙箱環境(它的出現能夠顯著降低錯誤主、被動反應的出現機率)。

文件在進入網絡環境之前也將被加以分析——最常見的例子就是從網站中下載文件。安全產品會匯總網絡流量并檢測其中的異常代碼以及指定優先級。一旦分析結果達到特定臨界值，這部分流量就會被定義為“可疑”并被發送至沙箱環境中。

網絡流量分析技術阻斷了數據泄露的通路，從而將網絡威脅的出現機率降至最低。這樣一來，惡意軟件就無法發出所謂“回叫信號”(即：初步感染成功后發起的進一步惡意代碼下載活動)了。由于沙箱技術并非以簽名機制為基礎，因此能夠檢測出最新惡意軟件類型。惡意軟件的識別結果信息往往會被共享至所有設備端，從而加快對同類威脅的后續識別速度。

如何選擇威脅檢測產品

由于這類安全方案往往價格不菲，因此對于企業而言必須在購買之前認真考量方案的可行性與適用性，從而確保自己選擇正確的威脅檢測系統。選擇時要注意以下幾點：

免費試用了解產品

很明顯，大家應該拿出一部分時間體驗產品的免費試用版本，借此機會了解該系統是否能為企業帶來切實收益。

制定一致的安全方案

需要注意的是：一旦產品選擇流程結束，我們需要將其推廣至企業中的每一個分支機構。異地分支機構往往會成為攻擊者們的首選目標，因此這些機構需要具備與企業其它部門相一致的保護方案。

接受產品的優缺點

因為沒有哪種安全產品是面面俱到的，所以在選擇高級威脅監測產品時一定要明確到底需要解決什么問題。CSO要清楚這些系統無法分析SSL加密流量，而且在大多數情況下只能針對Windows環境實現威脅分析;它們也無法檢測出已經安裝在員工個人設備當中的惡意軟件。但是，用于預防數據泄露的網絡流量分析功能卻非常有效，的確能夠幫助企業對抗某些安全短板。

深度防御是防止惡意軟件及高級持久性威脅通過網絡竊取我們重要信息與機密數據的關鍵所在。這些新技術應當成為防御體系中的一部分，并與優秀的事故響應專家團隊及頻繁入侵測試相結合，通過模擬真實攻擊強化自身保護能力。

結語：即使已經把防御產品部署到位，狡猾的攻擊者仍然會不斷向我們發起攻勢。隨著此類安全產品日趨流行，經驗老道的攻擊者終將開發出足以愚弄這些方案的新型技術。這相當于新一輪軍備競賽，企業必須加大投資力度、建立多種安全防御層，從而保證自己的資產與敏感數據遠離惡意困擾。