網(wǎng)絡(luò)沙盒是一個(gè)隔離的測(cè)試環(huán)境，使安全團(tuán)隊(duì)能夠觀察、分析、檢測(cè)和阻止穿越網(wǎng)絡(luò)的可疑工件。網(wǎng)絡(luò)沙盒為以前未知的攻擊媒介提供了額外的防御層。借助網(wǎng)絡(luò)沙盒，安全團(tuán)隊(duì)可以通過(guò)允許可疑文件在模擬實(shí)際最終用戶操作環(huán)境的隔離環(huán)境中運(yùn)行來(lái)執(zhí)行高級(jí)惡意軟件分析。

網(wǎng)絡(luò)沙盒的好處

網(wǎng)絡(luò)沙盒提供了一個(gè)重要的工具來(lái)揭露其他安全工具可能無(wú)法識(shí)別的惡意代碼。最好的網(wǎng)絡(luò)沙盒提供以下好處：

• 綜合分析：某些網(wǎng)絡(luò)沙盒甚至可以檢測(cè)到最新的惡意軟件，這些惡意軟件旨在擊敗高級(jí)或下一代企業(yè)安全工具——防火墻、入侵防御系統(tǒng)，甚至是不太復(fù)雜的沙箱。
• 完全可見(jiàn)性：安全團(tuán)隊(duì)可以徹底檢查可疑流量，全面了解文件或 URL 中設(shè)計(jì)的每個(gè)行為、程序執(zhí)行的所有指令、所有內(nèi)存內(nèi)容和所有操作系統(tǒng)活動(dòng)。
• 更快的響應(yīng)：通過(guò)在惡意代碼進(jìn)入網(wǎng)絡(luò)之前對(duì)其進(jìn)行揭露，網(wǎng)絡(luò)沙盒使事件響應(yīng)團(tuán)隊(duì)能夠?qū)籼峁┓浅？焖俚捻憫?yīng)。

VMware NSX Advanced Threat Analyzer? 在網(wǎng)絡(luò)沙盒領(lǐng)域處于行業(yè)領(lǐng)先地位，可提供對(duì)未知威脅的無(wú)與倫比的可見(jiàn)性。NSX Advanced Threat Analyzer 的功能遠(yuǎn)遠(yuǎn)超出了傳統(tǒng)沙盒，傳統(tǒng)沙盒通常只能看到操作系統(tǒng)級(jí)別，返回的檢測(cè)率顯著降低，誤報(bào)率更高，并且很容易被高級(jí)惡意軟件識(shí)別和規(guī)避。NSX Advanced Threat Analyzer 具有獨(dú)特的隔離和檢查環(huán)境，可模擬整個(gè)主機(jī)（包括 CPU、系統(tǒng)內(nèi)存和所有設(shè)備），并能夠與潛在惡意軟件交互以引發(fā)和跟蹤每個(gè)惡意行為。

NSX Advanced Threat Analyzer 與 NSX 服務(wù)定義防火墻中的 Advanced Threat Prevention 一起提供，這是一種分布式橫向擴(kuò)展內(nèi)部防火墻，可保護(hù)跨所有工作負(fù)載的數(shù)據(jù)中心流量。

為什么要部署網(wǎng)絡(luò)沙盒？

網(wǎng)絡(luò)沙盒提供了一種評(píng)估可能隱藏惡意內(nèi)容的不熟悉工件的方法。隨著高級(jí)惡意軟件越來(lái)越多地采用復(fù)雜的混淆技術(shù)來(lái)規(guī)避更常見(jiàn)的端點(diǎn)和網(wǎng)絡(luò)安全防御，組織已采用高級(jí)威脅保護(hù)分析解決方案和網(wǎng)絡(luò)沙盒來(lái)應(yīng)對(duì)。網(wǎng)絡(luò)沙盒為組織提供了一個(gè)重要工具，通過(guò)識(shí)別和阻止新威脅來(lái)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。

網(wǎng)絡(luò)沙盒如何工作？

網(wǎng)絡(luò)沙盒攔截進(jìn)入和遍歷網(wǎng)絡(luò)的工件。在潛在惡意軟件看來(lái)，沙箱是一個(gè)功能齊全的最終用戶環(huán)境，它誘使可疑文件運(yùn)行它們的例程——執(zhí)行、下載其他文件、連接到 URL、沙箱分析可疑文件和網(wǎng)絡(luò)行為，并允許文件繼續(xù)進(jìn)入網(wǎng)絡(luò)、阻止它或隔離它以供進(jìn)一步調(diào)查。網(wǎng)絡(luò)沙盒與先進(jìn)的威脅防護(hù)解決方案完美結(jié)合，以完善檢測(cè)和響應(yīng)能力。

如何設(shè)置網(wǎng)絡(luò)沙盒？

設(shè)置沙盒的最簡(jiǎn)單方法是配置虛擬機(jī)。VM 的虛擬化硬件資源將與網(wǎng)絡(luò)上的其他資源隔離開(kāi)來(lái)，為測(cè)試軟件提供了一個(gè)受保護(hù)的空間。請(qǐng)記住，作為攻擊的一部分，惡意行為者通常會(huì)嘗試檢測(cè)和規(guī)避沙盒——或發(fā)現(xiàn)并利用該沙盒中的漏洞。

在其他沙盒選項(xiàng)中，有兩種類型：

• 完整的環(huán)境模擬：這種類型的沙盒復(fù)制了系統(tǒng)的所有物理硬件，可以最大程度地了解惡意軟件的行為。
• 僅限操作系統(tǒng)：這里的沙箱只是模擬最終用戶的操作系統(tǒng)，而不是實(shí)際的硬件。