返回
社会热点
DARKTRACE:自学习云安全白皮书
2026-04-07 00:46
DARKTRACE:自学习云安全白皮书

即将来临的风暴:云攻击的新时代

企业正在拥抱云基础设施,以期实现更高的效率、灵活性和创新能力。尽管这些业务目标基本能够达成,但往往以牺牲连贯有效的安全方法为代价。
虽然迁移到云端的决策通常由业务领导者做出,但建立和保护这些环境的责任落在了 IT 团队身上,而他们往往缺乏保护这种复杂基础设施所需的专业知识和资源。
吸引企业上云的诸多好处同样吸引了攻击者,他们试图更快地获取最大利润,同时避免被检测到。随着网络威胁的规模和速度不断增长,保护云基础设施变得至关重要。
但当今新时代的网络威胁需要的不仅仅是云安全——企业需要能够以数字业务的速度运行、适应未来威胁、并关联高级攻击的细微迹象的企业级防御。

面向云安全的自学习 AI

自学习 AI 是唯一能够理解您的云环境中“正常”状态的技术,使其能够检测并响应其他工具忽略的、表明威胁的细微偏差。Darktrace for Cloud 实时持续更新这一知识,为您的数字基础设施提供动态且上下文相关的保护,通过单一 AI 系统统一防御。

关键 benefits

  • 阻止混合多云环境中新颖且复杂的网络威胁
  • 在复杂环境中表现出色,覆盖 AWS、Microsoft Azure 和 Google Cloud
  • 以机器速度采取针对性行动遏制威胁
  • 从云端交付,全球覆盖仅需数分钟

云计算的脆弱性

随着远程和混合办公的普及,大规模向云迁移的浪潮激增。但这种出于业务需要而产生的快速转型,带来了新的安全挑战。IT 团队现在不得不迎头赶上,发现其云基础设施中潜在的漏洞和弱点。

 复杂性

云基础设施通常涉及多个独特的提供商、划分的安全责任以及一系列孤立的安防控制措施。团队不仅需要掌握这些技术,还必须定期配置和手动调优——导致云实例被忽视、数据未加密。

互联性

云的可扩展性和互联性使得威胁传播更快——攻击从数周缩短到数天即可完全推进。为了利用这一点,网络犯罪分子开始瞄准底层云主机,然后伪装成合法管理员进入客户端环境。

容错空间小

人为错误是不可避免的。但在云环境中,一个简单的配置错误或凭证泄露就可能对广泛的环境产生重大影响。攻击者随后能够像合法用户一样行动,仅需一个开放端口或公开可访问的密钥,就能轻易逃避检测。
图:防御者在保护云基础设施时面临的挑战

传统防御:复杂的补丁集合

传统的云安全有两种形式:原生控制和第三方工具。但这些工具虽然可能有助于保护组织在“共享责任模型”中的那部分职责,通常是预防性的,侧重于策略执行,而非高级检测与响应——组织不得不使用多家供应商的工具才能获得完整覆盖的感觉。
这种割裂的架构会产生盲点,并给安全团队带来更多的手动工作,导致权限过于宽松、简单错误和攻击被漏过。

原生安全控制

原生安全控制通常专为单一云提供商设计,仅覆盖庞大的混合多云企业的一部分。这极大地限制了检测范围,并为团队增加了另一个需要调优的工具。
虽然这些工具有助于合规性、日志收集和静态策略创建,但它们并非为高级或上下文相关的威胁检测与响应而设计——这意味着复杂、新颖和跨平台的威胁能够穿透防御。

第三方云专用工具

为了解决原生安全工具的孤岛问题,第三方供应商开始开发云专用的安全解决方案,如云访问安全代理(CASB)、云工作负载保护平台(CWPP)和云安全态势管理(CSPM)。
但这些第三方工具往往存在与原生工具相同的缺陷,依赖于历史攻击数据和预先设定的“坏”的概念——这意味着从设计上讲,新颖的威胁无法被检测到。

自学习云安全

学习您的组织,用于阻止威胁

由自学习 AI 驱动,Darktrace for Cloud 从头学习用户、设备和实例的正常“行为模式”,以检测和响应未知且不可预测的网络攻击,完全不依赖训练数据或预先设定的“坏”的概念。

在复杂环境中表现出色

自学习 AI 与不同数据形式无关,并实时持续修订其对多个云工作负载中“正常”状态的理解。
这种整体方法意味着 AI 能够识别出那些单独看似良性的行为可能指向更大的威胁图景。

完全可见性

Darktrace for Cloud 在一个统一视图中提供您组织的全面可见性。这种全面的视图意味着,例如,AI 可以理解 AWS 中的用户登录如何与几分钟前同一用户的 Microsoft 365 账户上的高度异常登录活动相关联。在这种情况下,Darktrace 会立即意识到发生了账户接管,并自主阻止威胁。

通过自动化威胁调查增强安全团队

为了为安全团队争取时间,Cyber AI Analyst 自主地对云中攻击的每个部分进行分类、调查和报告,连接跨技术和基础设施的恶意活动信号。然后自动生成一份自然语言报告,使您的团队能够采取行动:详细说明初始入口点、列出受影响的资产和环境,并提供修复建议。
借助 Cyber AI Analyst,即使在最复杂的云环境中,您也可以快速了解安全事件的完整范围。

自主响应

预编程响应机制

当今的攻击速度持续超越即使最有经验的网络分析师——其发生的速度、规模和复杂程度是人力根本无法对抗的。此外,网络犯罪分子越来越多地在非工作时间发动攻击,此时无人能够执行响应。这导致了对自动化响应解决方案的需求激增。
然而,这些工具通常使用预定义的威胁列表,导致机械且反应过度的响应。而且预编程的操作需要由人工团队专门配置——这是一个繁琐的手动过程。
但如今大多数成功的攻击在某种程度上都是新颖的。如果威胁是未知的,防御者不可能提前计划好适当的响应。

自主:快速且精准

自主响应采用了一种根本不同的方法。通过使用理解企业“正常”状态的自学习 AI,它能够计算在正确的时间采取的最佳行动,以有效遏制针对您云环境的不可预测的攻击。
至关重要的是,AI 自行决定如何反应以阻止正在进行的攻击。Darktrace for Cloud 的工作原理是专门针对“坏”行为,并持续监控事件,以防攻击者改变策略而需要进一步干预。
因此,Darktrace 的响应具有针对性和相称性,采取精准行动中断攻击,同时不干扰您的业务。

案例研究:Mainstream Renewable Power

Microsoft 与 Darktrace:强强联合

Mainstream Renewable Power 是全球领先的专注于可再生能源开发的开发商之一。
2014 年,该团队开始向云过渡,以支持其向新市场的扩张。Mainstream 采用了全套 Microsoft 产品,并于 2019 年成为首批实施 MS Sentinel 以监控其云基础设施的公司之一。
但这段上云之旅带来了新的安全挑战。面对网络威胁的激增,Mainstream 选择 Darktrace 的自学习 AI 来补充 Microsoft 的原生安全产品,增强安全团队,并保护其关键数字资产。
Darktrace 的自学习 AI 和自主响应能力提供了额外的防御层,覆盖了全范围的威胁,包括那些在野外从未见过的“未知的未知”。
借助自主响应技术,新兴攻击在数秒内被阻止——在造成损害之前——无论威胁何时何地出现,都能保护团队的云基础设施、用户和数据的安全。

真实威胁案例

针对未加密密码的 SharePoint 攻击

在一家欧洲银行,网络犯罪分子侵入了企业云实例。Darktrace 在恶意活动一出现时就识别出来,使安全团队能够迅速采取行动,阻止攻击者利用多个企业密码进行不法活动。
虽然确切的入侵方法尚不清楚,但很可能是一名 IT 团队成员无意中将其访问密钥公开。鉴于云的复杂性和很小的容错空间,这样的错误非常容易发生。
Darktrace for Cloud 首先观察到公司 Microsoft 365 SharePoint 文件上发生异常活动。一名企业用户正在访问未加密的密码,考虑到该用户及其同组用户以及整个组织的正常“行为模式”,这一行为高度可疑。
Darktrace 对整个组织“正常”状态的广泛理解使 AI 能够将其识别为高保真攻击,确保安全团队能够在威胁演变成危机之前进行补救。
如果攻击未被阻止,明文密码将被网络犯罪分子用来提升权限并进一步渗透组织。

账户入侵绕过 Azure Active Directory

Darktrace for Cloud 在一家国际非营利组织检测到一次绕过了 Microsoft Azure AD 静态“不可能旅行”规则的账户接管。攻击者随后渗透了用户的电子邮件环境并设置了新的处理规则。如果自主响应技术被激活,该攻击在初始登录后就会被阻止,永远不会到达收件箱。
攻击始于一名用户从一个不常见的 IP 地址和位置登录。虽然该公司在全球运营,但该用户及其同组用户此前从未从该位置登录过。一旦进入系统,攻击者便转向用户的电子邮件环境,并设置了一条新的处理规则,该规则会删除传入和传出的电子邮件。
有了这条规则,攻击者可以与该企业中其他员工发起大量邮件往来,而合法用户却毫不知情。这是网络犯罪分子常用的策略,旨在获得持久访问权限并在组织内建立多个据点,可能是为大规模攻击做准备。
幸运的是,Darktrace 的早期检测意味着安全团队能够在新的处理规则实施后锁定该账户,防止了任何损害。

由于协议误解导致 AWS 中的未加密 PII

当美国某市政府将其数据库外包到 AWS 时,未能正确检查服务器用于下载信息的协议。结果,其市民的地址、电话号码和车辆登记号码都通过未加密的连接上传到了外部数据库。
虽然这可能导致严重的网络攻击,更不用说数据隐私罚款了,但 Darktrace for Cloud 能够检测到该配置错误并帮助团队补救威胁。
该组织最初并未意识到该配置错误,它一直隐藏在整个安全堆栈的雷达之下。然而,当 Darktrace 检测到公司内部一台桌面设备与一个罕见的外部 IP 地址之间存在异常连接时,它确认了该通信正在泄露敏感的公共数据,攻击者可能利用这些数据收集用于未来鱼叉式网络钓鱼攻击甚至身份欺诈的材料。
如果自主响应技术被激活,这个异常连接将被精准中断——意味着无论是内部还是外部都不会发生未经授权的数据访问。事实上,Darktrace 的全面实时可见性揭示了这一危险的盲点,安全团队得以在危机发生前纠正了配置错误。
加密货币挖矿恶意软件在 15 秒内感染 20 台服务器
Darktrace 检测到一家跨国组织内一名初级 DevOps 工程师的错误,该错误导致安装了加密货币挖矿恶意软件。借助自学习 AI,感染在其最早阶段就被识别出来,使团队能够迅速补救威胁。
攻击始于该工程师意外下载了一个包含加密货币挖矿恶意软件的更新。一旦进入云基础设施,该恶意软件开始向外部命令与控制服务器发送信标,Darktrace for Cloud 立即检测到这一异常行为,并高度表明正在发生攻击。
如果部署了自主响应技术,恶意软件在此时就会被阻止。但实际上攻击被允许继续。
随着外部连接建立和攻击任务指令下达,感染随后以机器速度迅速在该组织庞大的云基础设施中传播。不到 15 秒内,20 台云服务器受到影响。
由于在 AWS 和 Azure 上有大量工作负载,并利用了 Docker 和 Kubernetes 等容器化系统,这次攻击本可能使公司的业务运营陷入停滞。但 Darktrace 的全面实时可见性和自主威胁检测能力使得安全团队在数分钟内(而不是数小时或数天)就控制住了攻击——防止了最严重的损害。
即使这次攻击以机器速度进行,Darktrace 在足够早的阶段就捕获了它,远在成本开始累积之前。

技术概览:云中的 AI 防御

AWS

通过将来自 AWS VPC 流量镜像的数据包级数据与来自 PaaS 和 SaaS 使用的 API 日志相结合,Darktrace 能够从原始数据中提取数百个特征,并为每个组织独特的 AWS 云环境构建丰富的行为模型。
自学习 AI 利用这种对云中“正常”状态的深入理解,为所有 AWS 服务提供全面的覆盖和防御,包括:

• Certificate Manager 

• RDS

• Athena

• Route 53

• EC2 

• S3

• IAM 

• VPC

• Lambda

• DynamoDB

Microsoft Azure
自学习 AI 通过 Darktrace osSensors(轻量级、基于主机的服务器代理)持续监控所有 Azure 云流量。
每个 osSensor 将数据包级数据馈送到本地 Darktrace vSensor,然后 vSensor 将相关元数据馈送到 Darktrace 主探针进行分析。这些数据与从 API 审计日志生成的数据一起分析,使 Darktrace for Cloud 能够为管理活动、用户访问和资源创建提供 AI 驱动的监控,从而获得额外的可见性。
这种全面的视图使 Darktrace 的自学习 AI 能够为所有 Azure 服务提供防御,包括:

    • Azure DevOps  

    • Azure SQL

    • Virtual Machines

    • Blob Storage

    • CosmosDB

    • Queue Storage

    • Azure Active Directory

    • File Storage

    • Azure Function

    • Table Storage

    Google Cloud

    Darktrace 将 Google 的数据包镜像服务与来自 PaaS 和 SaaS 使用的 API 审计日志数据相结合,以监控组织 Google Cloud 环境中的所有流量。这使 AI 能够分析整个数据包,包括头部和有效负载。
    借助 Darktrace 的 Google Workspace 模块,组织可以获得通过 Google Workspace 平台认证的 Google Cloud 中登录和其他用户活动的可见性。为安全团队提供了对云审计日志兼容服务中的管理活动和系统事件的全面感知,并额外支持数据访问日志,以更深入地了解特定组件的活动。
    Darktrace 为所有 Google Cloud 服务提供全面覆盖,包括:
    图 :Darktrace 实时保护用户、数据和基础设施,无论它们位于何处

    云端交付的防御

    无论您的组织是完全拥抱混合多云基础设施,主要在本地上并正在向云过渡,还是介于两者之间,Darktrace for Cloud 都将满足您的需求,提供可从云端、本地或两者混合交付的自学习 AI,在数分钟内实现全球覆盖。

    部署场景

    根据部署场景和 CSP,云环境中的 Darktrace 覆盖可以包括 vSensor 和/或 osSensor,它们摄取实时云流量,以及摄取事件日志并突出管理活动(如登录和资源创建)的安全模块。
    Darktrace 的 vSensor 直接从 AWS、Google Cloud 和 Microsoft Azure 捕获实时流量。接收 vSensor 处理数据并将其馈送回中央 Darktrace 主云探针进行分析。
    为了覆盖其他 IaaS 环境,osSensor 安装在每个云端点上,并配置为将云流量的智能副本发送到本地 vSensor,进而发送到中央 Darktrace 探针。
    Darktrace 还可以通过专门的 osSensor 捕获 Docker 和 Kubernetes 中的容器流量,该传感器同样将数据馈送到本地 vSensor 和 Darktrace 主云探针进行分析。
    同时,Darktrace 的自学习 AI 监控从云使用中其他地方生成的所有 API 日志,以提供跨 IaaS、PaaS 和 SaaS 的整体覆盖。
    图 :Darktrace 的纯云部署为您的整个基础设施提供自主保护

    关于 Darktrace

    Darktrace(DARK:L)是全球网络安全 AI 的领导者,提供世界级技术,保护全球超过 5,000 名客户免受高级威胁(包括勒索软件、云和 SaaS 攻击)。该公司根本不同的方法应用自学习 AI,使机器能够理解业务,从而自主防御。总部位于英国剑桥,公司在全球拥有 1,500 名员工和 30 多个办事处。Darktrace 被《时代》杂志评为 2021 年“最具影响力公司”之一。
    Darktrace © 版权所有 2021 Darktrace Holdings Limited。保留所有权利。Darktrace 是 Darktrace Holdings Limited 的注册商标。Enterprise Immune System 和 Threat Visualizer 是 Darktrace Holdings Limited 的未注册商标。本文中包含的其他商标是其各自所有者的财产。
      打赏
      发表评论
      0评