謹慎選擇惡意軟件分析環境

從技術方面看，網絡攻擊的環境如今可謂越來越好。由于有大量的常見攻擊工具，當今的惡意攻擊者并不需要在技術上知道如何開發惡意軟件。惡意攻擊者可以簡單地租用漏洞利用工具、僵尸網絡及其需要的其他攻擊工具，甚至利用所謂的“攻擊即服務（TaaS）”。除了工具的普及化，在惡意技術中，最受人關注的發展之一是能夠在虛擬機的分析環境中避免檢測的威脅。此處指的是能夠感知虛擬機的惡意軟件。

為發現未知的惡意軟件，安全供應商已經創建了在虛擬環境中作惡的樣本，以觀察其行為，并且決定其是否惡意，這種技術常被稱為“沙盒”。攻擊者被激勵著逃避檢測，開發了反虛擬機技術從而使惡意軟件可以識別是否在虛擬機中運行并無法啟動，這意味著對系統或威脅的分析無法從樣本中作出決定或取得情報。使得反虛擬機分析問題更嚴重的一個事實是，由安全廠商創建的幾乎每個虛擬環境都是基于相同的常見的源代碼。這使得網絡攻擊者可以創建一種可以避免所有重要供應商的檢測，從而使得逃避檢測也成為了商品。因此，企業需要在選擇惡意軟件分析環境時做出一些努力。具體說來，企業可以詢問潛在的環境廠商如下問題：首先，企業要尋求哪種虛擬機逃避技術，如何應對之？其次，企業的環境是基于開源的虛擬化組件還是完全定制開發的？再次，企業是否能夠在硬件上觸發未知樣本，以此作為自動檢測工作的一部分？

對開源問題的回答尤其重要。在同樣一種技術被多種環境共享時，就可以使攻擊者編寫一套代碼，從而便捷地逃避檢測，而攻擊者僅針對一種環境開發代碼幾乎是得不償失的。

另一個關鍵的問題時，在真實的硬件系統上運行可疑樣本的可用性和可能性，這與在虛擬機環境中不同。雖然虛擬分析可能很高效，但即使最高級的環境也有可能被足夠聰明的攻擊者攻克。在樣本表現出逃避的證據時，這種功能必須自動運行，因為在硬件系統上人工觸發惡意軟件會給安全團隊帶來太高的運維負擔。

在不斷發展的網絡安全戰中，如果企業能夠明白惡意軟件的分析環境的局限性，就能夠使它成為極有價值的武器。根據上述標準來選擇環境，安全團隊不但可以更好地確認和分析惡意軟件，而且還可以處理更多的惡意軟件分析。