对每个数据包和进程进行巡查,以寻找妥协迹象
2025-11-13 19:36:06网络安全:检测内部攻击的关键技术
关键要点
攻击者通常在组织内部驻留两到三周后才被发现。及时检测攻击迹象需要部署合适的技术。需要对多云环境中的东西内部流量进行有效的监控。利用超虚拟机和沙箱技术提高对恶意软件的检测能力。重要的是要实现网络分段与异常检测,以限制攻击者的活动。在之前的文章中,我们提到一旦威胁行为者进入环境,攻击才刚刚开始。调查表明,攻击者在组织内部通常会驻留两到三周,才会被发现。
本文将详细介绍所需的技术,以识别您的组织内部的这些明显迹象,尤其是在东西内部流量及多云环境中。
缺乏可视性
现代复杂的多云环境使安全团队在攻击模式和流量方面容易失去可视性。因此,安全团队需要对物理、虚拟化和容器化的云工作负载进行全面监控。这些工作负载可能在本地、原生云,或是由公共和私人云托管。
为了有效阻止攻击,企业需要能够在超虚拟机层面分析安全事件。例如,典型情况是企业被点击了恶意制作的电子邮件。之前部署在网络关键位置的VMware NSX沙箱 在检测恶意工件及标识其攻击者尝试传播时至关重要。这些工件可能是勒索软件、远程访问木马、投放器以及VB脚本等。
基于超虚拟机的防御
VMware NSX 能够监测所有这些活动,因为它将沙箱功能集成到超虚拟机内的客户机自检中。即使是在加密流量中,流经超虚拟机的每个有效负载工件都将被NSX沙箱检查。这使得防御者能够从操作系统、CPU和内存的角度解析所有信息。
贝贝云机场这意味着安全团队可以看到威胁行为者的企图,例如通过虚拟化规避检测。威胁者还可能通过调节代码执行时间来规避沙箱检测。然而,借助AI分析,即使是从未见过的代码也能被侦测到。当系统识别到新攻击时,能捕获数据包(PCAP),以便于在未来查找这些妨碍指标。
需要注意的是,一个完整的系统仿真沙箱不仅可以检查恶意工件如何与操作系统互动,还能分析易失性内存和CPU,识别诸如利用内存自我加密或文件加密之类的行为。
这使得VMware NSX能够识别不直接与操作系统交互的恶意软件,以及从未见过的恶意软件。
VMware还根据恶意软件的通信方式进行检测。这通过依赖于入侵检测/预防系统来实现,能够识别攻击者的通信,无论是通过混淆通道、DNS隧道或使用像Cobalt Strike等标准工具的信标活动。防御者需要监测到这些能力和在组织内部外向的数据外泄活动。
虽然有些组织可能仍在使用平面网络或未分段的网络,但网络分段至关重要,这样,当攻击者进入环境时,他们并不会在整个网络无所顾忌,而是限制在较小的网络分段内。在这些分段网络架构中,任何入
最新资讯
首席执行官大卫斯图尔特谈论了Approov的云原生技术如何保护API密钥
2025-11-13 21:16:47
近30万丰田客户受到数据泄露的影响 媒体
2025-11-13 21:05:37
行业为汽车和卡车以及无人驾驶的物品设定网络标准
2025-11-13 20:54:28
美国港口和码头的网络安全仍然是企业领导者关注的问题 媒体
2025-11-13 20:43:15
红色红色团队:威胁行为者雇佣渗透测试人员测试勒索软件的有效性 媒体
2025-11-13 20:31:57
永恒集团推出新款 LilithBot 恶意软件即服务 媒体
2025-11-13 20:20:45
压力和倦怠导致网络专业人员流失率上升
网络安全行业面临人员流失压力关键要点三分之一的网络安全专业人士因压力和疲劳考虑离职。勒索软件攻击对心理健康产生负面影响。安全团队和IT人员招聘面临挑战。公司需要增强网络防御的培训和技术支持。最近的报告...
摩门教会受到数据泄露影响 媒体
摩尔门教会遭遇数据泄露事件文章重点摩尔门教会成员及其生联系信息遭网络攻击泄露涉及的个人信息包括姓名、出生日期、性别、住址和联系方式美国联邦执法机构怀疑此次攻击是有国家支持的网络行动的一部分捐赠历史和线...