組織應開始評估其他安全措施，以取代或補充曾經久負盛名的安全沙箱。

　　本文由安全內參社區(qū)翻譯自DarkReading，作者Gilad David Maayan。

　　十年前，沙箱是網絡安全領域的奇跡。今天，它被安全研究人員廣泛使用，內嵌在端點檢測和響應 （EDR） 和下一代防病毒 （NGAV） 等現代安全解決方案中，用作軟件開發(fā)工作流程的一部分，并被眾多最終用戶用來測試未知或安全環(huán)境中的不受信任軟件。沙箱市場預計將從 2016 年的 29 億美元增長到2022 年的 90 億美元。

　　然而，沙箱從未真正兌現其承諾：將未知變?yōu)橐阎Ｉ诚浣洺z威脅，這樣做會給組織一種虛假的安全感。在本文中，我將討論安全沙箱的工作原理、沙箱如何演變成今天的樣子、沙箱概念有什么問題，以及為什么今天我們不應該把沙箱作為可信賴安全解決方案。

　　沙箱如何工作？

　　沙箱可阻止應用程序訪問當前運行環(huán)境的系統(tǒng)資源和用戶數據，并提供主動惡意軟件檢測能力。沙箱測試是在安全隔離環(huán)境中執(zhí)行或觸發(fā)代碼，在該環(huán)境中可以安全地觀察代碼運行和輸出活動的行為。

　　沙箱解決方案聲稱增加了新一層安全性，可以幫助檢測或規(guī)避未知的威脅。沙箱可以檢測其他工具遺漏的威脅，并幫助管理員快速從生產環(huán)境中刪除這些威脅。

　　有幾種主流的沙箱技術路線，包括：

　　全系統(tǒng)仿真：模擬主機物理硬件的沙箱，包括內存和 CPU。

　　操作系統(tǒng)仿真：模擬最終用戶操作系統(tǒng)的沙箱。它不模擬機器硬件。

　　虛擬化：基于虛擬機 （VM） 的沙箱，包含并檢查可疑程序。

　　常見的沙箱解決方案類型包括：

　　瀏覽器沙箱，例如Google Chrome、Firefox 和 Safari 中內置的沙箱。

　　瀏覽器 EDR，它使安全團隊能夠了解端點瀏覽器上的攻擊，并使用沙箱隔離威脅（一種新興產品類別）。

　　VirtualBox 等通用虛擬機 （VM） 也可用于隔離可疑的惡意軟件。

　　沙箱（幾乎）消亡的 5 個原因

　　在沙箱時代開始時——大約十年前，沙箱被視為解決許多安全問題的神奇解決方案。然而，像任何流行的安全控制一樣，它們已經成為攻擊者的必攻點，現在沙箱與它們打算保護的軟件一樣容易受到攻擊。

　　以下是沙箱不再安全且無法在企業(yè)環(huán)境中用作有效安全控制的五個原因：

　　沙箱可用于調查，但不能用于檢測。大多數沙箱技術需要時間（通常以分鐘為單位）來執(zhí)行和觸發(fā)可疑程序。這使得它們無法檢測安全威脅，因為檢測需要分析目標系統(tǒng)遇到的所有軟件。沙箱只能用于調查已經可疑的軟件，這意味著必須有一個預先檢測機制。

　　攻擊者可以從沙箱中逃逸。有大量的漏洞利用可以實現特權提升，其中許多都涉及 Windows 內核。攻擊者只需要發(fā)現提權漏洞，即可突破沙箱控制本地設備。

　　沙箱容易受到社會工程的影響。幾乎所有情況下，沙箱環(huán)境的某些部分都在用戶控制之下。例如，如果用戶可以通過任何方式手動批準或拒絕沙箱中的軟件，或授予沙箱中軟件的權限，則攻擊者可以設計一種社會工程攻擊，使用戶執(zhí)行該操作，從而令沙箱無用。

　　沙箱界面并不完美。沙箱用戶界面中的一個問題、一個沒有經驗的用戶，甚至是專家用戶的一次意外點擊，都足以將沙箱中的惡意軟件釋放到生產環(huán)境中。

　　現代惡意軟件大多內置規(guī)避功能。多年來，攻擊者一直致力于沙箱規(guī)避。許多類型的惡意軟件使用諸如延遲執(zhí)行、鼠標和鍵盤模式分析、硬件環(huán)境評估和其他檢查等技術，來識別惡意軟件是在沙箱中還是在真實用戶環(huán)境中。如果惡意軟件能夠躲避沙箱，那么依靠沙箱作為安全控制是不可能的。

　　更高級的沙箱可以解決這些問題嗎？

　　答案是否定的。

　　在攻擊者和沙箱開發(fā)者之間的這場“軍備競賽”中，一方開發(fā)更復雜的措施來逃避或逃離沙箱，而另一方則改進檢測和遏制此類攻擊的措施。但是，沙箱開發(fā)人員處于劣勢。

　　惡意軟件只運行一次，理論上可以使用任意數量的資源來逃避或破壞沙箱。但是，沙箱必須非常高效，因為它們需要執(zhí)行大量掃描。隨著沙箱變得越來越復雜，它們也變得越來越重和資源密集型，這使得它們在持續(xù)的生產使用中變得不那么實用。

　　這場戰(zhàn)斗還沒有失敗，但很快就會失敗。組織應該開始評估其他安全措施，以取代或補充曾經久負盛名的安全沙箱。