标签: 终端安全

传统的微软操作系统(OS)可能会一直伴随着我们，操作系统使用统计数据显示，传统操作系统的总市场份额仍在10%以上。 Windows的总安装基数为13亿，大约有1.5亿个终端仍在运行旧版操作系统。 数十万组织的终端和服务器采用不受支持的操作系统。如果您在制造业、金融业、医疗业或教育业，您可能非常清楚遗留系统带来的安全问题。 SANS Institute最近的一项调查发现， 54.3%的公司报告说，他们最大的安全挑战之一是将传统技术与现代ICS和OT系统集成。 传统IT系统的风险 许多公司也面临着从其环境中删除原有的应用程序的挑战。存在着“如果它没有坏……”的想法。 传统环境可以继续正常地运行，是它们成为遗留环境的首要原因。对于许多考虑迁移成本的企业决策者来说，尽可能长时间地保留过时的系统是有意义的。 不幸的是， 传统IT系统的风险随着时间的推移而变得复杂，废弃操作系统中不断出现的漏洞就是明证。 例如，Windows7在进入“生命周期结束”后，在2023年发布了超过43个CVE，而Windows Server2008有95个CVE。 旧版本的应用程序(如已停用的Microsoft Office版本或自定义业务应用程序)扩展了攻击媒介。旧版本的应用程序是威胁参与者的金矿，它们的漏洞在被发现很长时间后可以被回收到新的漏洞中。例如，一个鲜为人知的2004年的ApacheWeb服务器CVE被利用来进行加密挖掘。旧版本系统的硬件方面，如未打补丁的基本输入输出系统，可能会增加这种风险。 新版本的系统并不完美，但通常情况下，系统或应用程序越旧，破坏就更容易达成。 传统IT安全挑战 传统的Windows系统具有设计限制，缺乏EDR查看操作系统和进程通信所需的安全体系结构。 具体地说，较旧的操作系统具有有限的事件跟踪(ETW)，并且缺乏现代系统常见的高级反利用功能。例如，AMSI、CFG、ACG等。 这种可见性的缺乏极大地限制了它们的探测能力。从预防的角度来看，许多EDR依赖Microsoft Defender AV进行基线保护，包括Microsoft基于签名和机器学习的检测、威胁情报和响应能力。但Defender AV是在2015年才与Windows 10一起发布的，因此在2015年前的Windows系统上运行的EDR提供的预防能力有限。从计算角度来看，传统系统存在操作系统设计限制，通常无法运行终端保护平台(EPPS)和终端检测与响应(EDR)等高级安全解决方案。 因此，传统系统通常只受基本、过时的防病毒(AV)解决方案保护。对于依赖高级EDR来保护其较新系统的组织来说，这会造成高度不一致的攻击面。 为了应对这些挑战，Morphisec与来自ITProTV的微软专家Adam Gordon举行了一次网络研讨会。我们讨论了： 运行遗留系统的安全风险 哪个是更大的传统挑战——终端还是服务器 为什么将传统终端迁移到现代操作系统如此困难？ 为什么传统的EPP和EDR工具难以保护遗留系统？ 改进遗留系统安全状况的实用建议 使用自动移动目标防御保护旧版本IT系统 传统系统是低带宽环境，缺乏操作系统体系结构和计算能力，无法支持基于扫描的安全解决方案，如下一代防病毒(NGAV)、EPP和EDR/XDR。 然而， Morphisec的自动移动目标防御(AMTD)可以保护Windows和Linux传统系统免受高级网络攻击 ，如无文件攻击、内存攻击、勒索软件和供应链攻击。6MB的Morphisec足够轻量，可以在Raspberry PI上运行，不需要更新签名或安全标志，不依赖传统操作系统所缺乏的可见性功能，因为它不需要互联网连接，甚至可以保护系统。 Morphisec的AMTD的工作原理是变形运行时内存环境，移动系统资产，并将诱饵留在原来的位置。 受信任的系统进程可以毫无问题地运行，对攻击者隐藏起来，而任何试图与诱饵接触的代码都会被捕获以进行取证分析。 Gartner称AMTD为“..一种新兴的改变游戏规则的技术，用于提高网络防御能力。” 虹科入侵防御方案 虹科入侵防御解决方案，是移动目标防御技术的领导者，已经证明了这项技术的威力。我们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，摩菲斯目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，摩菲斯客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) 虹科摩菲斯为 关键应用程序 ， windows和linux本地和云服务器提供解决方案 ，2MB大小快速部署。

医疗数据安全面临严峻挑战 01 医疗数据泄露事件愈演愈烈 最近的统计数据 表明：近 三年内，在数据泄露中暴露的 个 人 医疗 信息数量 增加 了 300%。在暗网上， 个 人 医疗 信息（ PHI）的售价高达每条1000美元。根据Critical Insight的一份报告，2021年有超过4500万份 患者资料 在数据泄露中被曝光。这意味着去年约有七分之一 的 美国人 被盗取了 姓名、家庭住址、社会安全号码，甚至生物识别数据等信息。现在，仅 医疗信息泄露 就占了所有大型数据泄露事件的 30%。 20世纪90年代 以来，医疗信息数据化 技术 不断发展， 《 健康保险流通与责任法案 》 ( 下称 HIPAA) 正式立法 ， 最大程度地降低患者信息泄露风险成为医疗服务机构工作的重中之重 。 02网络威胁变得越来越难以发现 2 021年1月23日 ， 克罗格药房的高管接到布洛克团伙入侵的通知 。 一周后，克罗格 又 收到了 500万美元的赎金要求 和 超过 500,000名克罗格客户的 个 人健康信息被盗的证据。 尽管 他们所有系统都是在线的，网络 也 没有 出现 恶意 攻击 的迹象 ， 但 还是发生了这起 规模巨大 的 数据泄露事件。 这场网络攻击到底是如何进行的？ CLOP用了一个已知的Accellion文件共享漏洞作为攻击媒介 ， 来攻击 克罗格制药公司的 网络 。 CLOP使用零日攻击获得入口，然后在设备内存中部署DEWMODE Web外壳来访问和渗透数十万条 个 人健康信息， 但 不会引发任何终端安全解决方案警报。这种情况正变得越来越普遍。随着医疗 服务行业 攻击面的不断扩大，医疗零日攻击达到历史最高水平， 攻击者 有更多的 地方 进入网络， 并在 进入网络 后 就隐藏起来。 根据 IBM的数据，一个医疗机构平均需要329天的时间来检测和控制一 次 数据泄露。 然而 ，威胁者正越来越多地使用不产生签名或依赖磁盘可执行文件的恶意软件。去年，使用 Cobalt Strike beacons等无签名工具的无文件攻击率飙升了900%。这类威胁可能会绕过EDR或AV 等通过 签名和识别已知威胁 行为的工具 。 03 网络攻击 对 医疗机构 造成严重损失 对于小型的医疗机构来说，网络攻击造成的停机成本可能较低。但对一家中等规模的医疗机构来说，一个完整的漏洞所造成的停机时间的平均成本是 45,700美元/h。在这种威胁环境下，医疗服务机构继续依赖反应性策略是极不可取的。 显然，为了应对不断增加的医疗网络攻击，医疗领域的数据安全需要探索新的发展方向。 如何保障医疗领域的数据安全？ 01医疗领域网络安全防御亟待转变方向 改善医疗网络的安全状况需要向零信任环境和深度防御（ DiD）战略迈进。然而，即使是基本的零信任要求，如强制要求多因素认证（MFA）或在特定时间限制后禁用账户，也很难执行。医疗保健人员对影响其生产力或影响生活的安全控制措施的容忍度很小。对安全团队来说，克服这些障碍面临着程序和政治上的挑战。 02 保障医疗数据安全的有效措施 现在，加强零信任和深化 DiD在技术上和经济上都是可行的。Morphisec轻量级、革命性的移动目标防御（MTD）技术可以主动阻止下一代反病毒（NGAV）、终端检测和响应（EDR）无法持续检测的高级无文件和运行时攻击。移动目标防御（MTD）技术在不影响用户体验的同时，为医疗保健服务器和终端带来零信任保护。 03 移动目标防御(MTD)技术如何实现零信任保护？ 移动目标防御（ MTD）技术将应用程序内存变成一个无信任的环境，随机变化受信任的运行时应用程序代码并自动阻止未经授权的代码。它会不断改变真正的入口，留下假的入口，但不会影响任何授权的应用程序和进程。如果未经授权的代码试图在目标上执行，它就会打开一扇“假门”，将其困住，以便进行取证分析。不用先行识别或分析，MTD能在它们部署和造成破坏之前，主动阻止最先进的破坏性攻击。另外，MTD增加了一个超轻量级的主动防御层，填补了其他安全解决方案无法有效弥补的运行时漏洞的安全缺口。因此，MTD对设备性能没有影响，也不需要监控。这对医疗机构网络安全环境来说是非常重要的。 获取更多资讯 敬请联系我们

移动目标防御技术保护你的网络终端安全 近年来，各个组织机构无时无刻都在进行着网络安全斗争，但并不是所有都能做到完善的网络安全防护。网络犯罪分子利用多态性、混淆性、加密和自我修改来武装他们的恶意软件以逃避检测，并且不断改变攻击形式和技术，以保持不可预测性。然而，安全代理有攻击者已知的共同技术前身，形成了一个可预测的、脆弱的全球攻击面。 移动目标防御（MTD）取代了这种不对称的优势。 MTD动态地改变攻击面，使其更加不确定和复杂，使得敌方的攻击更具挑战性。使用移动目标防御系统保护企业免受零日和逃避的高级威胁，而Morphisec保护您的应用程序和网络浏览器，阻止任何访问企图。终端得到了强大的保护，但操作起来却非常简单。 移动目标防御技术的功能 01 弥补安全漏洞 长恶意行为者每年都会发布数百万次的威胁。敌方利用他们对目标环境的深刻了解，开发出隐蔽的、高度针对性的攻击，采用多态性、混淆性、加密和其他先进技术来逃避安全机制，但 移动目标防御（MTD）技术始终保持领先一步。 02 降低安全风险和成本 MTD技术使预防为先的方法成为可能 。 其他解决方案先识别，后阻止攻击。 这使企业暴露在未知的攻击或那些没有留下任何迹象的攻击之下。 MTD技术先阻止，后识别攻击。 不需要猜测，不需要寻找错过的攻击，不需要补救损失。MTD技术在任何损害发生之前，不依靠IOCs，确定性地阻止漏洞、逃避性恶意软件和无漏洞攻击的执行。它很容易部署到现有的安全基础设施中，不会产生假阳性反应，也不会损害系统或网络性能。 03 专为击败无文件攻击而诞生 无文件、内存中的攻击通过占用合法的系统资源来逃避检测它们的可能性大10倍以上。 移动目标防御技术 的优势 01 最早阶段的主动式威胁预防 基于移动目标防御的平台，MTD技术可在攻击生命周期的最早阶段防止已知和未知的威胁。 ① 立即和完全防止高级威胁和零日攻击。 不需要检测、猜测或搜索错过的攻击。 ② 非侵入性代理，性能零下降，不需要更新。 ③ 减少假阳性反应。 没有警报疲劳症或在从未发生的攻击上浪费资源。 ④ 用更安全的杀毒软件取代传统的杀毒软件。 通过Morphisec的 Defender AV的集成，将传统的防病毒软件替换为更安全的替代品，而不需要额外的费用。 02 让IT界更满意的安全 削减安全风险，而不削减业务运作或生产力。 Morphisec 是从头开始建立的，以协调业务和安全需求。 ①防止威胁，而不需要持续监测或产生大量的数据 ②减少IT复杂性，保护业务连续性。 ③在补丁周期之间进行保护；作为Windows 7的补偿控制。 ④获得对所有端点攻击的可见性，包括Microsoft Defender AV事件。 ⑤查看完整的攻击时间线，并将事件关联起来，以做出更明智、更快速的决策。 ⑥轻松地跨虚拟、物理或混合IT环境进行部署。 移动目标防御技术如何工作？ 01 变形和隐蔽性 ： 将终端变成不可预测的目标。 当一个应用程序加载到内存空间时，Morphisec会改变进程结构，以一种可控的方式重新定位和转换库、函数，变量和其他数据段。每次运行都是独一无二的，每个进程实例都是如此，这使得内存不断地对攻击者来说是不可预测的。 02 保护和欺骗： 对变形后的结构进行控制性访问 合法的应用程序代码内存被动态更新以使用变形的资源。应用程序继续加载并照常运行，原有结构的轻量级骨架被作为一个陷阱留下。 03 预防和揭露： 化解和暴露攻击 攻击的目标是原来的结构，但却失败了，无法访问他们期望和需要的资源，以便执行。 攻击被立即阻止，被限制住，并记录下完整的取证细节。 获取更多资讯 敬请联系我们

近年来，各种网络攻击的数量和频率都在增加，尤其是经历了极速演变的勒索软件。五年前，勒索软件对于大多数组织来说是一个相对遥远的问题。但如今，每分钟都会发生数次勒索软件的攻击入侵。很少会有高管会轻视这种恶意软件对其组织所构成的威胁，但并没有多少人知道如何去防止勒索软件的攻击。 更加危险的勒索软件 近年来勒索软件入侵次数上升，勒索软件入侵作为一种犯罪商业活动的增长也催化了其深刻的技术转变。 值得注意的是，一方面，今天的第三代勒索软件已经成为一种勒索与拒绝访问相结合的多层次威胁；另一个方面，恶意软件开发人员继续完善勒索软件的交付和部署方法。因此，勒索软件正变得更加危险，并且常常能够完全避开安全机制的控制。 目前最令人担忧的发展可能是基于文件的勒索软件部署方式的转变。现在，一个有效载荷交付的攻击链往往在设备运行时的内存中开始和结束。这对大多数组织来说是一个极其脆弱的攻击媒介。为了应对这种攻击部署的深刻变化，需要重新评估终端组织的防御措施是否有效。 如何防御勒索软件01 勒索软件防御的困境？ 在防御勒索软件时，安全专业人员通常依靠威胁情报的反馈来关联和分析信息，从而评估安全防御措施，并优先采取减少风险的行动。 不幸的是，威胁情报源监测的环境和攻击发生的地方之间存在着严重的差距。由于扫描监测解决方案通常专注于静态文件和网络行为，这些资料提供的静态入侵指标（IOC）往往导致安全团队落后于攻击者一步。这意味着绝大多数组织都没有对一个关键的威胁载体进行防御的设备内存。 大多数网络安全解决方案难以覆盖这一漏洞，原因很简单：在运行期间扫描内存和进程会使一切都变慢,设备和服务器的使用很少能与持续地扫描设备的内存的设施兼容。因此，大多数安全解决方案只在运行开始和结束时扫描设备。他们依赖威胁留下的可检测的特征，这些特征是经过训练的，可以识别的。然而，现代勒索软件使用内存攻击链，无情地利用了这种方法的弱点。 02 内存攻击是如何进行的？ 第一阶段: 下载器被下载到受害者的设备上 。在这一点上，任何基于静态IOC的威胁情报 反馈都是多余的。例如，无论诱饵是通过恶意的Excel安装的，还是通过远程代码执行的无文件安装的，高度混淆的攻击都不会出现在威胁情报反馈中，直到攻击被了解和分类。 第二阶段: 加载器部署威胁。 通过运行时下载或代码注入等过程获得对设备运行时内存的访问。到现在，攻击已经完全脱离了传统终端防御的监测。 第三阶段: 有效载荷部署。 可能是像RAT或内存中的反向外壳，同样发生在设备运行时内存中。这意味着攻击又是不可见的，只有在造成破坏后才能被静态地检测到。从这里，威胁可以在网络中横向移动，关闭解决方案的控制，并部署勒索软件。当勒索软件攻击引起防御者的注意时，游戏已经结束。 我们注意到，内存攻击链往往涉及像Cobalt Strike这样的恶意软件或像Conti这样的内存勒索软件菌株部署。在像这样的攻击中，在使用API调用下载恶意的.dll文件之前，一个shellcode通常被分配到设备内存的动态空间。 这类威胁具有高度规避性，主要存在于设备内存中，因此任何级别的NGAV或最佳EDR都无法可靠地检测和阻止它们。网络安全界必须通过升级威胁情报并专注于内存检测来应对这些类型的攻击。 03 如何抵御勒索软件的攻击？ 如何防止勒索软件攻击的答案是 使用虹科Morphisec移动目标防御（MTD）技术。 它提供了针对零和内存攻击的主动、轻量级保护。 ·什么是移动目标防御（MTD）技术？ 移动目标防御（MTD）技术是业界领先的高级攻击的解决方案。它为每一个面临内存攻击的组织提供了一种低影响、高效力的防御性解决方案。 ·移动目标防御（MTD）技术如何抵御勒索软件的攻击？ 1.通过在运行期间对设备内存进行变形，移动目标防御（MTD）技术增强了企业现有的安全堆栈，以阻止和归因于无文件的攻击，否则就无法检测到其入侵。 2.客户通常会增强他们现有的解决方案，包括AV和EDR，以创建深度防御。而将MTD技术与操作系统原生的Windows Defender配对，可以创造出一个极具成本效益的安全堆栈，能够击败高级威胁。 ·虹科Morphisec移动目标防御（MTD)技术的优势 在安全行业中独一无二的是，虹科Morphisec的MTD技术利用多态性，以不可预测的方式向对手隐藏应用程序和操作系统目标。这导致了攻击面的急剧减少，使目标无法找到。它提出的诱饵，在不影响可用性的情况下欺骗和诱捕入侵威胁。虹科Morphisec的MTD依靠内存中动态变化阻止并使得隐蔽性的攻击者暴露出来。