此刻的歹意软件会利用一些奇妙的手艺来遁藏传统基于签名的反歹意软件的检测。进侵防御系统、网页过滤和防病毒产品已不克不及够抵当新类别的报复打击者，这类新类别会把复杂的歹意软件与延续性的长途拜候特点连络，目标是在一段较长的时候内，盗取公司敏感数据。

　　新的威胁检测东西试图经由过程沙盒(sandboxing)手艺供给进步前辈的歹意软件检测系统来解决这个标题问题。良多公司都供给如许的产品，包含FireEye Inc、Damballa Inc、Palo Alto Networks、NetWitness等，所有这些系统都承诺可以近乎完全抵抗歹意软件威胁。本文中，我们将会商当今进步前辈的歹意软件和威胁检测产品所用到的手艺，专注于他们今朝所供给的优势和还未解决的挑战。

　　威胁检测：沙盒手艺

　　今朝各类进步前辈的歹意软件检测产品所用到的首要手艺就是沙盒。沙盒是用多种手艺来辨认暗藏的歹意软件威胁。其起首利用收集流量阐发来发现收集上的暗藏威胁，并阐发其行动类型和可疑的文件。然后这些文件会在一个虚拟机环境中被审查和阐发，这个虚拟机是利用一套不合的把持系统和软件版本。最后这些文件对虚拟机环境所作的更改会被记实下来，生成一个陈述，揭示虚拟把持系统和软件各个部门的更改。基于该陈述，这些文件可以被确觉得歹意软件。

　　这类编制好处在于，不管歹意软件利用哪些手艺来隐躲其载体，它总会需要以某种编制来影响把持系统，如许沙盒软件就会检测到它。沙盒手艺包含两个阶段：起首检测到威胁，然后将其送进沙盒。如许可以很大年夜程度地降落误报和漏报。

　　文件在其进进收集那一刹时也会被沙盒软件阐发，好比在文件从网站上被下载时。基于沙盒手艺的威胁检测产品会从头调集网页流量，检测编码中的可疑数据并为其分派优先权。在一个特定的阈值内，可疑的数据流量会被送到沙盒中。基于收集流量阐发的避免数据外泄行动会将已在收集上的威胁最小化。当歹意软件最初的传染用于下载更多的歹意软件时，会被“回调”行动禁止。并且因为沙盒手艺其实不是基于签名的，所以它可以发现新品种的歹意软件。一旦歹意软件的信息被发现，那么就会共享给所有的设备，如许可以在最快的时候内检测到威胁。

　　威胁检测产品选择过程

　　这些威胁检测东西其实不便宜，所以你需要慎重考虑，以确保你所选择的威胁检测系统合适你的组织。花时候往试用厂商所供给的免费检测产品是有需要的，如许才能体味系统对你的组织是不是有价值。首要的是要寄望，一旦你选中一个产品，你需要将其奉行到所有的处事处。长途分支机构常常是报复打击的肇端方针，你也需要将威胁检测软件摆设到这些处所。

　　别的要知道，没有一款产品是全能的。这些系统不克不及阐发SSL加密流量，并且在大年夜大都环境下，他们只能阐发对Windows环境的威胁。他们也不克不及检测到已安装在员工小我设备上的歹意软件。可是，用于避免数据泄漏的收集流量阐发是一个很棒的特点，它可以帮忙对一些弱点。

　　纵深防御是禁止歹意软件和进步前辈延续性威胁渗入你的收集、盗取奥秘和奥秘数据的关头。这些新的手艺应当被视为一层防御，企业应当成立一支优良的事务响应专家团队来研究它们，团队要采纳频繁的渗入测试来摹拟真实报复打击。高度复杂的敌手会疏忽威胁检测产品所供给的防御，不断地报复打击你。跟着这些产品类型变得愈来愈受欢迎，果断的报复打击者会试图开辟手艺来骗过沙盒软件。这就像军事比赛中的一个步调，企业需要投资成立多层防御来包管其资产和敏感数据的安然。