從技術(shù)方面看，網(wǎng)絡(luò)攻擊的環(huán)境如今可謂越來越好。由于有大量的常見攻擊工具，當(dāng)今的惡意攻擊者并不需要在技術(shù)上知道如何開發(fā)惡意軟件。惡意攻擊者可以簡單地租用漏洞利用工具、僵尸網(wǎng)絡(luò)及其需要的其他攻擊工具，甚至利用所謂的“攻擊即服務(wù)（TaaS）”。除了工具的普及化，在惡意技術(shù)中，最受人關(guān)注的發(fā)展之一是能夠在虛擬機的分析環(huán)境中避免檢測的威脅。此處指的是能夠感知虛擬機的惡意軟件。

為發(fā)現(xiàn)未知的惡意軟件，安全供應(yīng)商已經(jīng)創(chuàng)建了在虛擬環(huán)境中作惡的樣本，以觀察其行為，并且決定其是否惡意，這種技術(shù)常被稱為“沙盒”。攻擊者被激勵著逃避檢測，開發(fā)了反虛擬機技術(shù)從而使惡意軟件可以識別是否在虛擬機中運行并無法啟動，這意味著對系統(tǒng)或威脅的分析無法從樣本中作出決定或取得情報。使得反虛擬機分析問題更嚴(yán)重的一個事實是，由安全廠商創(chuàng)建的幾乎每個虛擬環(huán)境都是基于相同的常見的源代碼。這使得網(wǎng)絡(luò)攻擊者可以創(chuàng)建一種可以避免所有重要供應(yīng)商的檢測，從而使得逃避檢測也成為了商品。因此，企業(yè)需要在選擇惡意軟件分析環(huán)境時做出一些努力。具體說來，企業(yè)可以詢問潛在的環(huán)境廠商如下問題：首先，企業(yè)要尋求哪種虛擬機逃避技術(shù)，如何應(yīng)對之？其次，企業(yè)的環(huán)境是基于開源的虛擬化組件還是完全定制開發(fā)的？再次，企業(yè)是否能夠在硬件上觸發(fā)未知樣本，以此作為自動檢測工作的一部分？

對開源問題的回答尤其重要。在同樣一種技術(shù)被多種環(huán)境共享時，就可以使攻擊者編寫一套代碼，從而便捷地逃避檢測，而攻擊者僅針對一種環(huán)境開發(fā)代碼幾乎是得不償失的。

另一個關(guān)鍵的問題時，在真實的硬件系統(tǒng)上運行可疑樣本的可用性和可能性，這與在虛擬機環(huán)境中不同。雖然虛擬分析可能很高效，但即使最高級的環(huán)境也有可能被足夠聰明的攻擊者攻克。在樣本表現(xiàn)出逃避的證據(jù)時，這種功能必須自動運行，因為在硬件系統(tǒng)上人工觸發(fā)惡意軟件會給安全團隊帶來太高的運維負(fù)擔(dān)。

在不斷發(fā)展的網(wǎng)絡(luò)安全戰(zhàn)中，如果企業(yè)能夠明白惡意軟件的分析環(huán)境的局限性，就能夠使它成為極有價值的武器。根據(jù)上述標(biāo)準(zhǔn)來選擇環(huán)境，安全團隊不但可以更好地確認(rèn)和分析惡意軟件，而且還可以處理更多的惡意軟件分析。