當(dāng)類似SolarWinds漏洞事件發(fā)生時,,很多大型企業(yè)組織機(jī)構(gòu)也被發(fā)現(xiàn)存在嚴(yán)重的漏洞暴露,,這反映出目前的網(wǎng)絡(luò)安全解決方案并不足以對抗不斷演變的高級攻擊威脅,。在此背景下,,行業(yè)需要像移動目標(biāo)防御(MTD)這樣的創(chuàng)新技術(shù)來改善網(wǎng)絡(luò)安全,。研究機(jī)構(gòu)Gartner認(rèn)為,,MTD已被證明可以有效阻止勒索軟件和其他高級零日攻擊,,將會成為提高內(nèi)存,、網(wǎng)絡(luò),、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù),,讓主動安全防護(hù)理念成為現(xiàn)實(shí)。
安全防護(hù)技術(shù)的變革
網(wǎng)絡(luò)攻擊包括已知和未知兩種形態(tài),,已知攻擊必須被阻止,,因此基于簽名技術(shù)等防御措施仍然是任何組織的安全戰(zhàn)略中不可或缺的部分。然而,,隨著現(xiàn)在的攻擊更加靈活和新穎,,這些工具已經(jīng)不夠用了,企業(yè)安全建設(shè)的終極目標(biāo)應(yīng)該是以MTD為起點(diǎn),,實(shí)現(xiàn)零信任(ZTA)戰(zhàn)略架構(gòu)的構(gòu)建與升級,。在美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布的零信任架構(gòu)框架(800-207)中,明確建議企業(yè)組織對端點(diǎn)安全采用零信任方法,,以確保更加可靠的網(wǎng)絡(luò)安全防護(hù)態(tài)勢,。在ZTA框架內(nèi),所有的東西都必須經(jīng)過持續(xù)不斷驗(yàn)證和授權(quán),,MTD技術(shù)可以幫助企業(yè)安全團(tuán)隊(duì)更容易的向ZTA架構(gòu)演進(jìn),。
由于時間和資源的限制,大多數(shù)企業(yè)的安全團(tuán)隊(duì)短時間內(nèi)還難以實(shí)施一個完整的ZTA框架,。他們通常會優(yōu)先在網(wǎng)絡(luò)的邊界處建立靜態(tài)的防御體系,,這種方法不再有效。
為什么,?一個熟悉的,、固化的攻擊面很容易被攻擊者發(fā)現(xiàn)、到達(dá)并利用,,這將導(dǎo)致重大的經(jīng)濟(jì)損失,。如果感覺網(wǎng)絡(luò)安全總是在追趕,那么網(wǎng)絡(luò)攻防兩端的平衡將永遠(yuǎn)無法建立,。但是,,如果企業(yè)能創(chuàng)造一個靈活的攻擊面,就像一架能夠高速飛行的戰(zhàn)斗機(jī)一樣,,結(jié)果將會大為改善,。這就是移動目標(biāo)防御背后的理念。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)之一,,它正在成為數(shù)字防御的主導(dǎo)范式,。
什么是MTD?
Gartner對MTD進(jìn)行了正式的定義:MTD通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊,,以不可預(yù)測的方式隱藏應(yīng)用程序,、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo),導(dǎo)致攻擊面大幅減少,,安全運(yùn)營成本降低,。從定義可以看出,,MTD是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法,它的運(yùn)作原理是移動的目標(biāo)比固定的目標(biāo)更難擊中,,因此可以通過動態(tài)或靜態(tài)排列,、變形、變換或混淆應(yīng)用訪問入口,,來達(dá)到轉(zhuǎn)移網(wǎng)絡(luò)攻擊的目的。此外,,MTD還可以設(shè)置陷阱,,捕捉威脅者的行動,以進(jìn)一步防范未來的攻擊,。通過MTD技術(shù)的引用,,企業(yè)可以將漏洞和弱點(diǎn)隱藏起來,不影響當(dāng)前的NGAV,、EPP或EDR等防護(hù)產(chǎn)品的功能,。它可以讓勒索軟件和其他高級攻擊造成損害之前就被發(fā)現(xiàn)并快速得到阻斷。
MTD可以應(yīng)用在網(wǎng)絡(luò),、主機(jī)和應(yīng)用層面,。這三種類型都有價值,但應(yīng)用層面是最重要的,。這是因?yàn)閼?yīng)用程序,、操作系統(tǒng)和端點(diǎn)資源是最受歡迎的攻擊入口。在應(yīng)用層面上阻止攻擊意味著即使他們在之前的層面上取得成功,,最終仍然會失敗,。這是攻擊變成事件之前的最后一道防線。而且,,MTD不需要占用太多的設(shè)備計(jì)算資源,,也不需要安全分析師的頻繁干預(yù),甚至不會占用太多的網(wǎng)絡(luò)連接帶寬,。
盡管MTD的概念聽起來很簡單,,但它的影響卻很深遠(yuǎn):讓網(wǎng)絡(luò)安全防護(hù)真正的動起來。當(dāng)防御系統(tǒng)保持移動狀態(tài)時,,他們會比攻擊者領(lǐng)先一步,。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對抗,MTD的應(yīng)用,,將改變一直以來的攻防力量態(tài)勢,,處于劣勢的將會是攻擊者,而不是防御者,。
以Morphisec公司的MTD方案為例,,其安全防護(hù)主要包括三個步驟:
1)變形和隱蔽
當(dāng)一個應(yīng)用程序加載到內(nèi)存空間時,,Morphisec會安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對攻擊者來說始終是不可預(yù)測的,。
2) 保護(hù)和欺騙
合法的應(yīng)用程序代碼內(nèi)存會被動態(tài)更新以使用變形的資源,,應(yīng)用程序照常加載和運(yùn)行。原有的內(nèi)存空間被作為一個陷阱留下,。
3) 防止和暴露攻擊
如果攻擊以原始內(nèi)存結(jié)構(gòu)為目標(biāo)發(fā)起,,將無法找到他們期望和需要的資源。攻擊會被立即阻止,、抓獲,,并記錄下完整的取證細(xì)節(jié)。
網(wǎng)絡(luò)安全的下一個時代
網(wǎng)絡(luò)安全的下一個時代已經(jīng)到來,。安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)注對安全威脅的反應(yīng)速度而不是安全能力的堆疊,。傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個防御性的外圍,允許任何有授權(quán)的人進(jìn)入,。而在ZTA框架中,,沒有任何東西具有信任狀態(tài),包括筆記本電腦和移動設(shè)備等端點(diǎn),。很多跡象都表明,,ZTA將更可能成為未來網(wǎng)絡(luò)安全建設(shè)的新標(biāo)準(zhǔn)。
在過去的一年里,,攻擊者在逃避檢測和預(yù)防方面做的越來越好,,攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實(shí)性,其使用的一些關(guān)鍵技術(shù)包括:
多態(tài)性 – 更改惡意軟件簽名
變形 – 在執(zhí)行時更改惡意軟件代碼
混淆 – 混淆惡意活動
自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)
反虛擬機(jī)/沙盒 – 更改行為以逃避取證分析
防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試
加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查
行為更改 – 在執(zhí)行之前等待使用活動
事實(shí)證明,,這些技術(shù)在規(guī)避檢測的時候非常有效,,攻擊者的優(yōu)勢會隨著時間的推移而擴(kuò)大。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會失敗,。因此,,安全性必須圍繞資產(chǎn)本身。安全團(tuán)隊(duì)?wèi)?yīng)該為MTD技術(shù)應(yīng)用提前做好準(zhǔn)備,,它可以幫助企業(yè)更好地保護(hù)資產(chǎn)本身而不是攻擊入口,,將防御重點(diǎn)放在應(yīng)用程序運(yùn)行時所分配內(nèi)存資源上,實(shí)現(xiàn)對未知威脅的主動防御,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
