組織應開始評估其他安全措施，以取代或補充曾經久負盛名的安全沙箱。

　　本文由安全內參社區翻譯自DarkReading，作者Gilad David Maayan。

　　十年前，沙箱是網絡安全領域的奇跡。今天，它被安全研究人員廣泛使用，內嵌在端點檢測和響應 （EDR） 和下一代防病毒 （NGAV） 等現代安全解決方案中，用作軟件開發工作流程的一部分，并被眾多最終用戶用來測試未知或安全環境中的不受信任軟件。沙箱市場預計將從 2016 年的 29 億美元增長到2022 年的 90 億美元。

　　然而，沙箱從未真正兌現其承諾：將未知變為已知。沙箱經常會漏檢威脅，這樣做會給組織一種虛假的安全感。在本文中，我將討論安全沙箱的工作原理、沙箱如何演變成今天的樣子、沙箱概念有什么問題，以及為什么今天我們不應該把沙箱作為可信賴安全解決方案。

　　沙箱如何工作？

　　沙箱可阻止應用程序訪問當前運行環境的系統資源和用戶數據，并提供主動惡意軟件檢測能力。沙箱測試是在安全隔離環境中執行或觸發代碼，在該環境中可以安全地觀察代碼運行和輸出活動的行為。

　　沙箱解決方案聲稱增加了新一層安全性，可以幫助檢測或規避未知的威脅。沙箱可以檢測其他工具遺漏的威脅，并幫助管理員快速從生產環境中刪除這些威脅。

　　有幾種主流的沙箱技術路線，包括：

　　全系統仿真：模擬主機物理硬件的沙箱，包括內存和 CPU。

　　操作系統仿真：模擬最終用戶操作系統的沙箱。它不模擬機器硬件。

　　虛擬化：基于虛擬機 （VM） 的沙箱，包含并檢查可疑程序。

　　常見的沙箱解決方案類型包括：

　　瀏覽器沙箱，例如Google Chrome、Firefox 和 Safari 中內置的沙箱。

　　瀏覽器 EDR，它使安全團隊能夠了解端點瀏覽器上的攻擊，并使用沙箱隔離威脅（一種新興產品類別）。

　　VirtualBox 等通用虛擬機 （VM） 也可用于隔離可疑的惡意軟件。

　　沙箱（幾乎）消亡的 5 個原因

　　在沙箱時代開始時——大約十年前，沙箱被視為解決許多安全問題的神奇解決方案。然而，像任何流行的安全控制一樣，它們已經成為攻擊者的必攻點，現在沙箱與它們打算保護的軟件一樣容易受到攻擊。

　　以下是沙箱不再安全且無法在企業環境中用作有效安全控制的五個原因：

　　沙箱可用于調查，但不能用于檢測。大多數沙箱技術需要時間（通常以分鐘為單位）來執行和觸發可疑程序。這使得它們無法檢測安全威脅，因為檢測需要分析目標系統遇到的所有軟件。沙箱只能用于調查已經可疑的軟件，這意味著必須有一個預先檢測機制。

　　攻擊者可以從沙箱中逃逸。有大量的漏洞利用可以實現特權提升，其中許多都涉及 Windows 內核。攻擊者只需要發現提權漏洞，即可突破沙箱控制本地設備。

　　沙箱容易受到社會工程的影響。幾乎所有情況下，沙箱環境的某些部分都在用戶控制之下。例如，如果用戶可以通過任何方式手動批準或拒絕沙箱中的軟件，或授予沙箱中軟件的權限，則攻擊者可以設計一種社會工程攻擊，使用戶執行該操作，從而令沙箱無用。

　　沙箱界面并不完美。沙箱用戶界面中的一個問題、一個沒有經驗的用戶，甚至是專家用戶的一次意外點擊，都足以將沙箱中的惡意軟件釋放到生產環境中。

　　現代惡意軟件大多內置規避功能。多年來，攻擊者一直致力于沙箱規避。許多類型的惡意軟件使用諸如延遲執行、鼠標和鍵盤模式分析、硬件環境評估和其他檢查等技術，來識別惡意軟件是在沙箱中還是在真實用戶環境中。如果惡意軟件能夠躲避沙箱，那么依靠沙箱作為安全控制是不可能的。

　　更高級的沙箱可以解決這些問題嗎？

　　答案是否定的。

　　在攻擊者和沙箱開發者之間的這場“軍備競賽”中，一方開發更復雜的措施來逃避或逃離沙箱，而另一方則改進檢測和遏制此類攻擊的措施。但是，沙箱開發人員處于劣勢。

　　惡意軟件只運行一次，理論上可以使用任意數量的資源來逃避或破壞沙箱。但是，沙箱必須非常高效，因為它們需要執行大量掃描。隨著沙箱變得越來越復雜，它們也變得越來越重和資源密集型，這使得它們在持續的生產使用中變得不那么實用。

　　這場戰斗還沒有失敗，但很快就會失敗。組織應該開始評估其他安全措施，以取代或補充曾經久負盛名的安全沙箱。