引言

作为云安全领域的先驱，Zscaler运营着一个覆盖全球160多个数据中心的网络，具备必要的基础设施以实现：

• 拦截全球9400多家客户在客户端与服务器之间的数据流
• 每日扫描和分析超过5000亿次交易以查找威胁
• 每日处理500万亿个信号，供其AI/ML云效应持续检测和预防威胁

Zscaler的云沙箱现在为客户提供了一个环境，他们可以在此部署新的虚拟机（VM）类型并应用最新的供应商提供的补丁。云沙箱会在一个完全打补丁的虚拟机上引爆样本二进制文件，根据该二进制文件的行为得出一个评分：分数越高，被利用的风险就越大。本篇博客将探讨Zscaler如何实现这一点，并为安全运营团队减少补丁部署的摩擦。

利用Zscaler云沙箱确定供应商补丁的影响

运营世界上最大的安全云平台意味着我们可以快速评估应用最新第三方供应商补丁后的行为与有效性。Zscaler的基础设施中有多个节点构成了执行数据拦截和检查所需的基础设施——以下是每个边缘组件的功能解析：

• 从客户端的第一个跳转点是云执行节点（CNE），它是一个显式代理，由终端客户端浏览器或其他应用程序指向。
• 从应用程序到应用程序服务器的请求通过CNE节点定向到OCS（原始内容服务器）。
• CNE节点在客户端终端应用程序上被明确配置为代理，并对传入的数据执行内联检查。
• CNE节点根据策略将数据转发给SM行为分析（SMBA）节点。该节点位于云沙箱基础设施的前端。数据可以是各种文件类型，例如.exe、.dll、.pdf等。
• SMBA节点将数据转发给沙箱节点（JSB）进行引爆。
• JSB节点将传入的数据作为文件类型进行引爆，收集行为数据并确定对主机节点的影响。这些数据被发送回SMBA节点。

每个SOC团队的梦想：在应用供应商补丁前知晓其影响

补丁的推出对于IT和安全团队来说，在操作上是一个非常繁琐的过程：他们必须应用并验证补丁是否被正确应用——而且这个过程必须针对多个补丁重复进行。

在应用和推出补丁之前，这些团队理想情况下应该有一个评级，能够表明补丁如何影响组织内的整体数据流，可能的情况包括：

• 修复已知漏洞
• 发现潜在漏洞
• 尽管可能性不大，但引入了额外的漏洞

所有这些结果都可能影响数据流，包括是否检测到新的漏洞，以及该漏洞是否可以被客户在其Zscaler租户中配置和添加的安全策略所阻止。

有了这样的评级，运营团队就可以更好地决定哪些补丁可以立即应用而不会造成中断，哪些补丁则更有可能中断工作流程。

Zscaler的云沙箱现在为客户提供了一个环境，他们可以在此部署新的虚拟机类型并应用最新的供应商提供的补丁。云沙箱会在一个完全打补丁的虚拟机上引爆这些二进制文件，根据其行为得出一个评分：分数越高，被利用的风险就越大。

云沙箱虚拟机评分报告：提供带行为指标的威胁评分

将给定二进制文件在完全打补丁的虚拟机（在本文中以下简称“零日虚拟机”）上的评分进行比较，有助于客户理解补丁的价值。

例如，假设某个二进制文件在常规未打补丁的虚拟机上的评分为X，而在零日虚拟机上的评分为Y，我们可以根据以下潜在影响列表中的最终结果进行判断：

• X > Y：零日虚拟机评分降低：已应用的补丁修复了一些漏洞。
• X < Y：零日虚拟机评分升高：已应用的补丁检测到了潜在漏洞，例如，对漏洞进行了零日检测。
• X = Y：零日虚拟机评分变化可忽略不计：风险抵消了本应解决特定漏洞的补丁价值。

让我们看一个实际运作的例子：客户在两个虚拟机环境中提交了一个疑似零日漏洞利用样本：一个是补丁有限的“常规虚拟机”，另一个是完全打补丁的“零日虚拟机”。

尽管零日虚拟机已完全打补丁，该漏洞利用仍然成功执行，证实了它是一个真正的零日漏洞。下面的报告显示该漏洞利用的威胁评分为100。此外，报告还识别了支持这一发现的行为特征，包括安全绕过、网络攻击和隐匿策略与技巧。

Zscaler的云沙箱有效地缓解了威胁。它不仅准确识别了新型漏洞利用行为，更重要的是，基于行为检测成功拦截了攻击。这证明了云沙箱通过识别底层的漏洞利用技术（例如，异常的系统调用、内存操作），而非依赖特定的签名，从而提供针对新兴威胁的主动防护的能力。

了解更多关于Zscaler云沙箱如何帮助您的SOC团队实现类似这样的更高运营效率，同时增强您的安全态势。