误解二：沙盒可以隔离恶意软件

对恶意软件的分析往往是复杂且耗时的，因此沙盒并不是一项实时技术。事实上，大多数沙盒只能对文件复本进行分析，而原始文件则被发送到目标终点。所以即使发现一个可疑文件是恶意的，实际文件早已到达终点并造成损害。

就这一点而言，沙盒只能发现可疑文件是恶意的，但不能真正地阻止它。

此外，沙盒通常是缓慢从一个入口点进入环境，它甚至不会注意到可能还有其它的高级恶意软件溜进了其它入口点。但真正安全的技术必须能够识别和阻止溜进任何入口点的恶意软件，而无需其它额外软件帮助。

那么，我们如何提升安全级别呢？我们需要在每个入口点设置监控，并采用一些技术阻止被列入黑名单的文件。如果沙盒解决方案有一些附加的文件屏蔽功能，并假设这些功能是成熟的，那么将面临两个选择：可以在每个入口点部署这种技术——这需要我们支付高额的费用;或者可以通过使用一个解决方案，对这些入口点现有的安全产品发现的可疑文件进行集中分析。

显然第二种方法能更有效地降低成本并使网络控制更加严格。

总而言之，与传统防御系统实时分析和阻止恶意软件的方式不同，沙盒不能实时操作。为了真正有效地应对高级威胁，必须将沙盒部署为高度集成或综合安全环境的一部分：可处理多个入口点，且能将信息传回操作环境，警告发现新恶意软件，并尽可能地在发现前阻止和修复相应损害。