网络安全：检测内部攻击的关键技术

关键要点

在之前的中，我们提到一旦威胁行为者进入环境，攻击才刚刚开始。调查表明，攻击者在组织内部通常会驻留两到三周，才会被发现。

本文将详细介绍所需的，以识别您的组织内部的这些明显迹象，尤其是在东-西（内部）流量及中。

现代复杂的多云环境使安全团队在攻击模式和流量方面容易失去可视性。因此，安全团队需要对物理、虚拟化和容器化的云工作负载进行全面监控。这些工作负载可能在本地、原生云，或是由公共和私人云托管。

为了有效阻止攻击，企业需要能够在超虚拟机层面分析安全事件。例如，典型情况是企业被点击了。之前部署在网络关键位置的
在检测恶意工件及标识其攻击者尝试传播时至关重要。这些工件可能是、远程访问木马、投放器以及VB脚本等。

能够监测所有这些活动，因为它将沙箱功能集成到超虚拟机内的客户机自检中。即使是在加密流量中，流经超虚拟机的每个有效负载工件都将被NSX沙箱检查。这使得防御者能够从操作系统、CPU和内存的角度解析所有信息。

这意味着安全团队可以看到威胁行为者的企图，例如通过虚拟化规避检测。威胁者还可能通过调节代码执行时间来规避沙箱检测。然而，借助AI分析，即使是从未见过的代码也能被侦测到。当系统识别到新攻击时，能捕获数据包(PCAP)，以便于在未来查找这些妨碍指标。

需要注意的是，一个完整的系统仿真沙箱不仅可以检查恶意工件如何与操作系统互动，还能分析易失性内存和CPU，识别诸如利用内存自我加密或文件加密之类的行为。

这使得VMware NSX能够识别不直接与操作系统交互的恶意软件，以及从未见过的恶意软件。

VMware还根据恶意软件的通信方式进行检测。这通过依赖于来实现，能够识别攻击者的通信，无论是通过混淆通道、DNS隧道或使用像CobaltStrike等标准工具的信标活动。防御者需要监测到这些能力和在组织内部外向的数据外泄活动。

虽然有些组织可能仍在使用平面网络或未分段的网络，但，这样，当攻击者进入环境时，他们并不会在整个网络无所顾忌，而是限制在较小的网络分段内。在这些分段网络架构中，任何入