跳转到主要内容

沙箱

本文约需 2 分钟阅读

沙箱 (Sandbox) 是一种在隔离环境中运行程序、防止其影响整个系统的安全技术。它用于安全地分析可疑的文件和程序,即使恶意软件被执行,沙箱之外的系统也不会受到危害。这一概念也应用于浏览器的标签页隔离和移动应用的权限管理。

现场使用案例

“我们在邮件网关引入了附件的沙箱分析。仅上周就确认有 12 个可疑附件在沙箱内尝试与 C&C 服务器通信,并在投递前成功拦截。”

沙箱的概念

沙箱 (隔离环境)
运行可疑程序
监视并记录行为
↕ 访问限制
主机 OS、文件系统、网络 (保护对象)

沙箱的原理

沙箱利用虚拟化技术或容器技术来创建隔离的执行环境。程序只能访问沙箱内的资源,对文件系统和网络的访问受到限制。安全厂商在沙箱中分析恶意软件的行为,并创建检测特征码。沙箱与恶意软件分析书籍 (Amazon)可供深入学习。

具体的应用场景

一个常见的误解是“沙箱是只有安全专家才使用的工具”。实际上,我们日常使用的浏览器 (如 Chrome、Edge) 会对每个标签页应用沙箱,防止恶意网站影响其他标签页或系统。

在企业的安全团队中,一种常见的做法是自动在沙箱中运行邮件附件,确认其没有可疑行为 (如加密文件、与外部服务器通信等) 后再进行投递。不过,一些高级恶意软件具有检测沙箱环境并改变行为的“沙箱规避”技术,因此不依赖沙箱单一手段的纵深防御非常重要。

日常中的应用

打开可疑文件时,在沙箱环境中确认更为安全。使用 Windows 10/11 的“Windows Sandbox”功能,可以在隔离环境中安全地打开文件。将强密码的管理与基于沙箱的防御结合使用,便能实现多层次的安全防护。纵深防御实践书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena