從技術(shù)方面看，網(wǎng)絡(luò)攻擊的環(huán)境如今可謂越來(lái)越好。由于有大量的常見(jiàn)攻擊工具，當(dāng)今的惡意攻擊者并不需要在技術(shù)上知道如何開(kāi)發(fā)惡意軟件。惡意攻擊者可以簡(jiǎn)單地租用漏洞利用工具、僵尸網(wǎng)絡(luò)及其需要的其他攻擊工具，甚至利用所謂的“攻擊即服務(wù)（TaaS）”。除了工具的普及化，在惡意技術(shù)中，最受人關(guān)注的發(fā)展之一是能夠在虛擬機(jī)的分析環(huán)境中避免檢測(cè)的威脅。此處指的是能夠感知虛擬機(jī)的惡意軟件。

為發(fā)現(xiàn)未知的惡意軟件，安全供應(yīng)商已經(jīng)創(chuàng)建了在虛擬環(huán)境中作惡的樣本，以觀察其行為，并且決定其是否惡意，這種技術(shù)常被稱為“沙盒”。攻擊者被激勵(lì)著逃避檢測(cè)，開(kāi)發(fā)了反虛擬機(jī)技術(shù)從而使惡意軟件可以識(shí)別是否在虛擬機(jī)中運(yùn)行并無(wú)法啟動(dòng)，這意味著對(duì)系統(tǒng)或威脅的分析無(wú)法從樣本中作出決定或取得情報(bào)。使得反虛擬機(jī)分析問(wèn)題更嚴(yán)重的一個(gè)事實(shí)是，由安全廠商創(chuàng)建的幾乎每個(gè)虛擬環(huán)境都是基于相同的常見(jiàn)的源代碼。這使得網(wǎng)絡(luò)攻擊者可以創(chuàng)建一種可以避免所有重要供應(yīng)商的檢測(cè)，從而使得逃避檢測(cè)也成為了商品。因此，企業(yè)需要在選擇惡意軟件分析環(huán)境時(shí)做出一些努力。具體說(shuō)來(lái)，企業(yè)可以詢問(wèn)潛在的環(huán)境廠商如下問(wèn)題：首先，企業(yè)要尋求哪種虛擬機(jī)逃避技術(shù)，如何應(yīng)對(duì)之？其次，企業(yè)的環(huán)境是基于開(kāi)源的虛擬化組件還是完全定制開(kāi)發(fā)的？再次，企業(yè)是否能夠在硬件上觸發(fā)未知樣本，以此作為自動(dòng)檢測(cè)工作的一部分？

對(duì)開(kāi)源問(wèn)題的回答尤其重要。在同樣一種技術(shù)被多種環(huán)境共享時(shí)，就可以使攻擊者編寫(xiě)一套代碼，從而便捷地逃避檢測(cè)，而攻擊者僅針對(duì)一種環(huán)境開(kāi)發(fā)代碼幾乎是得不償失的。

另一個(gè)關(guān)鍵的問(wèn)題時(shí)，在真實(shí)的硬件系統(tǒng)上運(yùn)行可疑樣本的可用性和可能性，這與在虛擬機(jī)環(huán)境中不同。雖然虛擬分析可能很高效，但即使最高級(jí)的環(huán)境也有可能被足夠聰明的攻擊者攻克。在樣本表現(xiàn)出逃避的證據(jù)時(shí)，這種功能必須自動(dòng)運(yùn)行，因?yàn)樵谟布到y(tǒng)上人工觸發(fā)惡意軟件會(huì)給安全團(tuán)隊(duì)帶來(lái)太高的運(yùn)維負(fù)擔(dān)。

在不斷發(fā)展的網(wǎng)絡(luò)安全戰(zhàn)中，如果企業(yè)能夠明白惡意軟件的分析環(huán)境的局限性，就能夠使它成為極有價(jià)值的武器。根據(jù)上述標(biāo)準(zhǔn)來(lái)選擇環(huán)境，安全團(tuán)隊(duì)不但可以更好地確認(rèn)和分析惡意軟件，而且還可以處理更多的惡意軟件分析。