藏经阁-The-Adventures-Of-Av-And-The-Leaky-Sandbox.pdf

《藏经阁-The-Adventures-Of-Av-And-The-Leaky-Sandbox.pdf》这份文档探讨了安全领域的一个重要话题：云杀毒软件（AV）如何可能削弱企业端点的安全性。文章由Itzik Kotler和Amit Klein两位安全研究专家撰写，他们拥有丰富的信息安全背景，曾在多个国际知名安全会议上发表演讲。 在高度安全的企业环境中，通常有两种常见的策略来保护终端设备：一是限制或没有直接的互联网访问，仅允许特定服务器如微软更新服务器和杀毒软件更新服务器进行通信；二是设置本地更新服务器和杀毒管理服务器，完全隔离终端与互联网的直接连接。然而，随着云技术的普及，许多企业开始采用云AV，以利用其智能和更新速度。 作者指出，引入云AV可能会带来新的风险。攻击者可以利用云AV的沙箱环境（sandbox）进行数据泄露，即使在高度安全的企业环境中。沙箱通常用于在隔离环境中测试潜在的恶意代码，但若设计不当或存在漏洞，它也可能成为攻击者传递信息的通道。 在讨论相关工作时，文献提到了大量的数据泄露技术研究，如通过TCP/IP协议栈的隐蔽信道、网络协议中的隐蔽信道对策以及使用HTTP Catch Headers的定时隐蔽信道等。这些研究假设了不受限制的互联网连接。然而，针对更复杂情况，即空气隔断（air-gapped）终端的数据泄露，也有新的研究，如通过硬盘LED灯来泄露大量数据。 文章可能进一步详细分析了云AV如何被滥用，可能的攻击向量，以及如何检测和防止这种类型的泄露。它还可能讨论了企业如何在利用云AV带来的好处的同时，维护端点的安全性，可能包括强化沙箱隔离、实施严格的访问控制策略和监控云AV活动等措施。 《The Adventures of AV and the Leaky Sandbox》揭示了一个重要的现实，即安全措施的升级可能同时引入新的脆弱性，提醒企业在采纳新技术时需全面考虑其安全影响，并采取适当的防御措施。