當(dāng)類似SolarWinds漏洞事件發(fā)生時(shí),,很多大型企業(yè)組織機(jī)構(gòu)也被發(fā)現(xiàn)存在嚴(yán)重的漏洞暴露,,這反映出目前的網(wǎng)絡(luò)安全解決方案并不足以對(duì)抗不斷演變的高級(jí)攻擊威脅,。在此背景下,,行業(yè)需要像移動(dòng)目標(biāo)防御(MTD)這樣的創(chuàng)新技術(shù)來(lái)改善網(wǎng)絡(luò)安全,。研究機(jī)構(gòu)Gartner認(rèn)為,,MTD已被證明可以有效阻止勒索軟件和其他高級(jí)零日攻擊,,將會(huì)成為提高內(nèi)存,、網(wǎng)絡(luò),、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù),,讓主動(dòng)安全防護(hù)理念成為現(xiàn)實(shí)。
安全防護(hù)技術(shù)的變革
網(wǎng)絡(luò)攻擊包括已知和未知兩種形態(tài),已知攻擊必須被阻止,,因此基于簽名技術(shù)等防御措施仍然是任何組織的安全戰(zhàn)略中不可或缺的部分,。然而,隨著現(xiàn)在的攻擊更加靈活和新穎,,這些工具已經(jīng)不夠用了,,企業(yè)安全建設(shè)的終極目標(biāo)應(yīng)該是以MTD為起點(diǎn),實(shí)現(xiàn)零信任(ZTA)戰(zhàn)略架構(gòu)的構(gòu)建與升級(jí),。在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布的零信任架構(gòu)框架(800-207)中,,明確建議企業(yè)組織對(duì)端點(diǎn)安全采用零信任方法,以確保更加可靠的網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì),。在ZTA框架內(nèi),,所有的東西都必須經(jīng)過(guò)持續(xù)不斷驗(yàn)證和授權(quán),MTD技術(shù)可以幫助企業(yè)安全團(tuán)隊(duì)更容易的向ZTA架構(gòu)演進(jìn),。
由于時(shí)間和資源的限制,,大多數(shù)企業(yè)的安全團(tuán)隊(duì)短時(shí)間內(nèi)還難以實(shí)施一個(gè)完整的ZTA框架。他們通常會(huì)優(yōu)先在網(wǎng)絡(luò)的邊界處建立靜態(tài)的防御體系,,這種方法不再有效,。
為什么?一個(gè)熟悉的,、固化的攻擊面很容易被攻擊者發(fā)現(xiàn),、到達(dá)并利用,這將導(dǎo)致重大的經(jīng)濟(jì)損失,。如果感覺網(wǎng)絡(luò)安全總是在追趕,,那么網(wǎng)絡(luò)攻防兩端的平衡將永遠(yuǎn)無(wú)法建立。但是,,如果企業(yè)能創(chuàng)造一個(gè)靈活的攻擊面,,就像一架能夠高速飛行的戰(zhàn)斗機(jī)一樣,結(jié)果將會(huì)大為改善,。這就是移動(dòng)目標(biāo)防御背后的理念,。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)之一,它正在成為數(shù)字防御的主導(dǎo)范式,。
什么是MTD,?
Gartner對(duì)MTD進(jìn)行了正式的定義:MTD通過(guò)使用系統(tǒng)多態(tài)性來(lái)防止未知和零日攻擊,以不可預(yù)測(cè)的方式隱藏應(yīng)用程序,、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo),,導(dǎo)致攻擊面大幅減少,安全運(yùn)營(yíng)成本降低,。從定義可以看出,,MTD是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法,它的運(yùn)作原理是移動(dòng)的目標(biāo)比固定的目標(biāo)更難擊中,因此可以通過(guò)動(dòng)態(tài)或靜態(tài)排列,、變形,、變換或混淆應(yīng)用訪問入口,來(lái)達(dá)到轉(zhuǎn)移網(wǎng)絡(luò)攻擊的目的,。此外,,MTD還可以設(shè)置陷阱,捕捉威脅者的行動(dòng),,以進(jìn)一步防范未來(lái)的攻擊,。通過(guò)MTD技術(shù)的引用,企業(yè)可以將漏洞和弱點(diǎn)隱藏起來(lái),,不影響當(dāng)前的NGAV,、EPP或EDR等防護(hù)產(chǎn)品的功能。它可以讓勒索軟件和其他高級(jí)攻擊造成損害之前就被發(fā)現(xiàn)并快速得到阻斷,。
MTD可以應(yīng)用在網(wǎng)絡(luò),、主機(jī)和應(yīng)用層面。這三種類型都有價(jià)值,,但應(yīng)用層面是最重要的,。這是因?yàn)閼?yīng)用程序、操作系統(tǒng)和端點(diǎn)資源是最受歡迎的攻擊入口,。在應(yīng)用層面上阻止攻擊意味著即使他們?cè)谥暗膶用嫔先〉贸晒?,最終仍然會(huì)失敗。這是攻擊變成事件之前的最后一道防線,。而且,,MTD不需要占用太多的設(shè)備計(jì)算資源,也不需要安全分析師的頻繁干預(yù),,甚至不會(huì)占用太多的網(wǎng)絡(luò)連接帶寬,。
盡管MTD的概念聽起來(lái)很簡(jiǎn)單,但它的影響卻很深遠(yuǎn):讓網(wǎng)絡(luò)安全防護(hù)真正的動(dòng)起來(lái),。當(dāng)防御系統(tǒng)保持移動(dòng)狀態(tài)時(shí),,他們會(huì)比攻擊者領(lǐng)先一步。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對(duì)抗,,MTD的應(yīng)用,,將改變一直以來(lái)的攻防力量態(tài)勢(shì),處于劣勢(shì)的將會(huì)是攻擊者,,而不是防御者。
以Morphisec公司的MTD方案為例,,其安全防護(hù)主要包括三個(gè)步驟:
1)變形和隱蔽
當(dāng)一個(gè)應(yīng)用程序加載到內(nèi)存空間時(shí),,Morphisec會(huì)安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對(duì)攻擊者來(lái)說(shuō)始終是不可預(yù)測(cè)的。
2) 保護(hù)和欺騙
合法的應(yīng)用程序代碼內(nèi)存會(huì)被動(dòng)態(tài)更新以使用變形的資源,,應(yīng)用程序照常加載和運(yùn)行,。原有的內(nèi)存空間被作為一個(gè)陷阱留下。
3) 防止和暴露攻擊
如果攻擊以原始內(nèi)存結(jié)構(gòu)為目標(biāo)發(fā)起,,將無(wú)法找到他們期望和需要的資源,。攻擊會(huì)被立即阻止、抓獲,,并記錄下完整的取證細(xì)節(jié),。
網(wǎng)絡(luò)安全的下一個(gè)時(shí)代
網(wǎng)絡(luò)安全的下一個(gè)時(shí)代已經(jīng)到來(lái)。安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)注對(duì)安全威脅的反應(yīng)速度而不是安全能力的堆疊,。傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個(gè)防御性的外圍,,允許任何有授權(quán)的人進(jìn)入。而在ZTA框架中,,沒有任何東西具有信任狀態(tài),,包括筆記本電腦和移動(dòng)設(shè)備等端點(diǎn)。很多跡象都表明,,ZTA將更可能成為未來(lái)網(wǎng)絡(luò)安全建設(shè)的新標(biāo)準(zhǔn),。
在過(guò)去的一年里,攻擊者在逃避檢測(cè)和預(yù)防方面做的越來(lái)越好,,攻擊可以通過(guò)多種方式隱藏惡意意圖并掩蓋自己的真實(shí)性,,其使用的一些關(guān)鍵技術(shù)包括:
多態(tài)性 – 更改惡意軟件簽名
變形 – 在執(zhí)行時(shí)更改惡意軟件代碼
混淆 – 混淆惡意活動(dòng)
自加密 – 使用加密來(lái)隱藏惡意代碼和數(shù)據(jù)
反虛擬機(jī)/沙盒 – 更改行為以逃避取證分析
防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試
加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查
行為更改 – 在執(zhí)行之前等待使用活動(dòng)
事實(shí)證明,這些技術(shù)在規(guī)避檢測(cè)的時(shí)候非常有效,,攻擊者的優(yōu)勢(shì)會(huì)隨著時(shí)間的推移而擴(kuò)大,。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會(huì)失敗。因此,,安全性必須圍繞資產(chǎn)本身,。安全團(tuán)隊(duì)?wèi)?yīng)該為MTD技術(shù)應(yīng)用提前做好準(zhǔn)備,它可以幫助企業(yè)更好地保護(hù)資產(chǎn)本身而不是攻擊入口,,將防御重點(diǎn)放在應(yīng)用程序運(yùn)行時(shí)所分配內(nèi)存資源上,,實(shí)現(xiàn)對(duì)未知威脅的主動(dòng)防御。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
