网络沙盒是一个隔离的测试环境,使安全团队能够观察、分析、检测和阻止穿越网络的可疑工件。网络沙盒为以前未知的攻击媒介提供了额外的防御层。借助网络沙盒,安全团队可以通过允许可疑文件在模拟实际最终用户操作环境的隔离环境中运行来执行高级恶意软件分析。
网络沙盒的好处
网络沙盒提供了一个重要的工具来揭露其他安全工具可能无法识别的恶意代码。最好的网络沙盒提供以下好处:
- 综合分析:某些网络沙盒甚至可以检测到最新的恶意软件,这些恶意软件旨在击败高级或下一代企业安全工具——防火墙、入侵防御系统,甚至是不太复杂的沙箱。
- 完全可见性:安全团队可以彻底检查可疑流量,全面了解文件或 URL 中设计的每个行为、程序执行的所有指令、所有内存内容和所有操作系统活动。
- 更快的响应:通过在恶意代码进入网络之前对其进行揭露,网络沙盒使事件响应团队能够对攻击提供非常快速的响应。
VMware NSX Advanced Threat Analyzer™ 在网络沙盒领域处于行业领先地位,可提供对未知威胁的无与伦比的可见性。NSX Advanced Threat Analyzer 的功能远远超出了传统沙盒,传统沙盒通常只能看到操作系统级别,返回的检测率显着降低,误报率更高,并且很容易被高级恶意软件识别和规避。NSX Advanced Threat Analyzer 具有独特的隔离和检查环境,可模拟整个主机(包括 CPU、系统内存和所有设备),并能够与潜在恶意软件交互以引发和跟踪每个恶意行为。
NSX Advanced Threat Analyzer 与 NSX 服务定义防火墙中的 Advanced Threat Prevention 一起提供,这是一种分布式横向扩展内部防火墙,可保护跨所有工作负载的数据中心流量。
为什么要部署网络沙盒?
网络沙盒提供了一种评估可能隐藏恶意内容的不熟悉工件的方法。随着高级恶意软件越来越多地采用复杂的混淆技术来规避更常见的端点和网络安全防御,组织已采用高级威胁保护分析解决方案和网络沙盒来应对。网络沙盒为组织提供了一个重要工具,通过识别和阻止新威胁来保护关键基础设施。
网络沙盒如何工作?
网络沙盒拦截进入和遍历网络的工件。在潜在恶意软件看来,沙箱是一个功能齐全的最终用户环境,它诱使可疑文件运行它们的例程——执行、下载其他文件、连接到 URL、沙箱分析可疑文件和网络行为,并允许文件继续进入网络、阻止它或隔离它以供进一步调查。网络沙盒与先进的威胁防护解决方案完美结合,以完善检测和响应能力。
如何设置网络沙盒?
设置沙盒的最简单方法是配置虚拟机。VM 的虚拟化硬件资源将与网络上的其他资源隔离开来,为测试软件提供了一个受保护的空间。请记住,作为攻击的一部分,恶意行为者通常会尝试检测和规避沙盒——或发现并利用该沙盒中的漏洞。
在其他沙盒选项中,有两种类型:
- 完整的环境模拟:这种类型的沙盒复制了系统的所有物理硬件,可以最大程度地了解恶意软件的行为。
- 仅限操作系统:这里的沙箱只是模拟最终用户的操作系统,而不是实际的硬件。