虚拟机自身也是一个威胁面,Haletky说道。传统的反恶意软件能够扫描内存,但是它通常是基于特征的并可以被攻击者绕过。
Edward L. Haletky是AstroArch咨询公司总裁和首席顾问,他赞同保护虚拟系统应从传统方法开始。将虚拟网络分隔成不同的部分并通过入侵防御和入侵预防系统来运行敏感虚拟机流量。他说,应用程序和底层运算系统应该被修补和更新。
虚拟机自身也是一个威胁面,Haletky说道。传统的反恶意软件能够扫描内存,但是它通常是基于特征的并可以被攻击者绕过。攻击者可以利用零日漏洞或者新的恶意软件变种来绕过反恶意软件技术,他补充道。
“从本质上讲,这是一个与总是名列前茅的黑客的军备竞赛” Haletky说。
研究人员继续研究虚拟机逃逸,这种逃逸指一个精明的攻击者能够突破虚拟机,获得管理程序并控制在主机上运行的其他虚拟机。“目前所有公开的逃逸对用于服务器虚拟化的主要管理程序都是无效的,比如vSphere,XenServer和Hyper-V,” Haletky说道。另一种技术叫做虚拟机失窃,通过这种技术,攻击者可以窃取一个虚拟机文件,然后查看服务器的内容。
“这里有许多不同的攻击途径,” Haletky说,“管理程序可以以某种方式自我保护,但是企业需要对它进行加强,并且应该像他们会在物理环境中做的那样,添加安全层。”
不过,Haletky认为攻击者很可能选择快速的效果。“当攻击者可以突破管理网络并得到所有东西时,为什么还费心的去窃取虚拟机并做困难的事情呢?”他说,“由于虚拟机和管理环境很容易被突破,所以当前的管理网络规则要将它从其余所有部分分隔出来。”
现有的工具可以帮助企业获得对虚拟网络和文件子系统的可视性,但是没有一个单一的工具可以做所有的事情,Haletky说。虚拟环境的审核也是一个需要改进的领域。传统的日志分析工具不能得到完整的情况。“你需要将谁做了什么事情,在哪里,是何时以及如何做的相联系起来,但在虚拟环境中这一点仍然是很难做到的。”他说道。
