标签: 移动目标防御

文章速览： l Linux 难逃高级网络攻击 l 原因分析 ü Linux 自身原因 ü 软件供应链的入口 ü 其他防御机制 l 基于移动目标防御技术的 Morphisec Knigt for Linux 在数字化时代，网络安全已成为企业不可忽视的重要议题。尤其是对于依赖 Linux 服务器的组织，面对日益复杂的网络攻击，传统安全措施已显不足。 Linux 服务器面临着哪些新型网络威胁，有哪些有效的防御策略呢？ 一、 Linux 难逃高级网络攻击 CISO 和 IT 管理员最怕的就是勒索软件和其他恶意软件。我们来看看每年增加了多少新的 Linux 恶意软件家族。这表明威胁者正在转移优先级，表明威胁参与者正在将重点转移到 Linux 漏洞上，而不是传统目标。 2010-2020 年间每年发现的新 Linux 恶意软件系列 ( 来源： Intezer) 再看看 Linux 恶意软件与 Windows 恶意软件增长的比较， Linux 恶意软件的更新现在接近基于 Windows 的恶意软件。 来源： IBM X-Force Threat Intelligence Index 2022, originator Intezer 二、原因分析 （一） Linux 自身原因 1 、 Linux 的开源性质使其具有渗透性，恶意共计软件能够轻易绕过 Linux 的防御工具，然而长期以来人们 并不重视安全防御，最后造成的局面是， 网络服务器、数据库、网络文件共享、 ERP 系统、应用网关等后端系统无法防范安全黑洞 。 2 、 传统的基于签名的防病毒程序和基于机器学习的下一代防病毒 (NGAV) 应用程序已经无法保护组织免受高级网络攻击 。这些攻击的复杂性、数量和影响都在不断增加，网络犯罪分子绕过保护措施，造成了大量的数据泄露和勒索软件攻击。 3 、终端检测和响应 (EDR) 工具是被动的，其中许多解决方案没有针对云或服务器工作负载进行优化。 4 、云工作负载保护平台 (CWPP) 和服务器工作负载保护 (SWP) 安全解决方案价格昂贵，难以实施、操作和维护。 5 、与物联网、大数据、分析、区块链和其他 B2B 应用相关的现代应用也同样缺乏传统的解决方案。它们依赖于昂贵的尖端计算资源，这些资源容易受到伴随传统安全工具的风险的影响。 （二）软件供应链的入口 软件供应链已经成为企业的重要资源。用这样的供应链代替自己开发软件，可以在降低成本的同时提高生产力和效率。但也有一个缺点：软件供应链是网络攻击的主要目标。 Linux 是开放源码，因此在本质上容易受到供应链的攻击。安全团队必须了解遭受攻击的原因，并探索解决方案。 （三）其他防御机制 1 、传统的保护方法是以工作站—终端—为重点，这是与服务器攻击不同的威胁策略和技术。攻击方法已经演变成新的恶意软件且能逃避检测，最终逃过了以检测为中心的解决方案。 2 、在软件依赖性不断变化的开源世界中，很难实现“只安装已签名的版本”。因此，在某些情况下，代码来源和完整性的是不安全的，甚至，即使是从可信来源签名或接收的软件也是不安全的。 3 、“将软件更新到最新的版本”只能给予极少的保护，因为更新后的软件并没有对隐藏的或未知的颠覆性弱点进行加固。在许多关键任务系统中，打补丁和重启是不可能的，只能定期地以协调的方式进行，而这将始终是一个缺口。 4 、“监控软件行为”可能有助于发现问题，但发现问题时，一个隐蔽的攻击已经溜走了，重大损失已经发生，为时已晚。 5 、“审查源代码”只有在源代码的变化被开发人员看到时才有效。虽然 Linus 定律断言“只要有足够的眼球，就可让所有 bug 浮现”，但是现代工作负载服务器中的开源软件和第三方代码的数量超出了任何组织的能力，无法对其进行正确分析。 三、基于移动目标防御技术的 Morphisec Knigt for Linux Morphisec Knight for Linux 使用 MTD 技术主动阻止基于文件的恶意软件、无文件威胁、内存中的高级持续威胁 (APT) ，以及 0Day 攻击。 移动目标防御使用一种简单、有效且经过验证的洞察力来防止网络攻击：移动目标比静止目标更难命中。 MTD 采取预防为主的方法，不断转移和隐藏入口点，以防止罪犯进入。此外，它还设置了一个陷阱来捕捉他们的行动，以进一步保护他们免受未来的攻击。移动目标防御补充了反应性防御，它可以避免更复杂的 0Day 威胁。 大多数攻击都是按照规定的路线图来达到他们的预期目标。因此，如果攻击者不能找到他们期望的东西 ——如进入一个组织的门或窗——他们就会失败。保持动态的入口点，而不是静止的入口点，在本质上是不可预测的和未知的，明显更安全。通过移动目标防御，攻击者必须找到他们的前进道路，并奋力通过。鉴于持续进行这些攻击的努力和成本大大增加，大多数攻击者会转向更容易的目标。 MTD 在不破坏当前 NGAV 、 EPP 或 EDR 功能的情况下，向威胁者隐藏漏洞、弱点和关键资产。这确保了 0Day 、勒索软件和其他高级攻击在造成损害之前就被阻止。 Morphisec Knight for Linux 创建了一个“骨架”或虚假前端来捕获高级规避恶意软件，使合法应用程序能够继续畅通无阻地运行。 Morphisec Knight 采用 MTD 来确保系统之间的差异性——即使是一个系统也会随着时间的推移而不断变化。从专利技术的角度来看，这意味着我们改变（随机化）一些 Linux 内核 API ，为可信应用程序提供修改后的运行时界面。其结果是一个动态的攻击面，威胁参与者无法穿透，导致他们放弃攻击，转移到更容易的目标。 Knight 在内存和预执行中使用可执行修改。这确保了对试图利用受信任但易受攻击的应用程序的攻击者进行“专门处理”。这些执行前的内存修改使得对手不可能在一个地方进行训练，然后在不同的机器、时间等上重用该方法。在主机上安装代理使 Morphisec 能够在不牺牲性能或增加成本和复杂性的情况下进行实时、确定的预防。 Knight for Linux 在这种保护 Linux 设备的方法上有所不同。因为它不需要更新，所以它利用命令验证过程 - 类似于 CPU 操作码（操作）——来确定一个操作是否应该被信任。它在资源负载上是轻量级的，并且与后端系统隔离。

自2023年1月10日起，Windows 7、Windows 8、Windows 8.1及其衍生产品Windows Embedded以及Windows Server 2008 R2将不再收到微软提供的补丁程序。数以百万计的设备现在将成为“遗留”设备，并产生一系列新的遗留安全风险。 Windows 7支持结束，8/8.1被切断 微软的2023年1月发行说明包括了针对微软三种操作系统(OS)的最终补丁：7、8和8.1。这一举动并不令人意外，但仍可能让许多IT团队措手不及。 例如，尽管Windows 7在三年前就进入了EOL (end-of-life)阶段，微软还是为企业用户提供了一个名为扩展安全更新(Extended Security Update, ESU)的扩展支持包。 这种“付费补丁”服务允许运行Windows 7的组织在将系统迁移到较新的操作系统版本时接收关键补丁。 现在，这些操作系统的扩展安全更新已经正式消失，没有扩展支持的可能性。 随着Windows 7、8和8.1及其嵌入式衍生产品失去支持，目前运行的所有Windows计算机中另有15%(根据2022年11月的统计)将不再接收操作系统补丁。 传统操作系统增加了整个软件供应链的风险 如果没有供应商的支持，运行EOL和不受支持的操作系统的设备将成为可利用漏洞的持续来源。例如，在2021年，新发现的漏洞中超过17%是五年以上的漏洞。 威胁参与者还可以从当前操作系统版本中发现的漏洞中恢复工作，以找到新的方法来危害较旧的计算机。但更多的攻击者实际上在等待补丁发布，以开发N天漏洞。 由于OS开发的迭代性质，供应商在较新版本的Windows OS系统中发现并修补的可利用漏洞有时会在较旧版本中发现-在较旧版本中，这些漏洞永远不会得到正式修复。 传统的操作系统以及在其上运行的应用程序也缺乏现代的访问控制。这是入侵风险的一个重要来源。根据微软的研究，97%的成功凭据填充攻击涉及传统身份验证。更糟糕的是，对于依赖Microsoft Defender来保护Windows 8和8.1的企业来说，从1月10日起，Defender将不再支持这些平台。 即使一个组织将其所有系统升级到Windows 10或更高版本，从统计上讲，传统设备仍有可能出现在供应链的某个地方。因此，即使您的组织不运行EOL系统，您的第三方和第n方供应商也可能运行。 遗留的安全挑战 微软取消了对Windows 7、8和8.1的补丁支持，停止了对Windows Server 2008 R2的支持，预计将于2023年10月结束对Windows Server 2012的支持，这说明了下线设备带来的令人头疼的问题。 几十年来，企业依赖过时的应用程序和系统已经成为现实。 像医疗保健这样的行业因依赖过时的系统而臭名昭著。2019年，在XP补丁结束五年后，英国医疗保健系统仍在运行数千个Windows XP终端的消息震惊了许多人，但很少有人感到意外。 在SANS研究所进行的一项2022年的调查中，在OT和关键基础设施组织(包括医疗保健)工作的IT专业人员中有54%表示，集成和升级旧系统是他们最大的安全挑战。 对于制造业、医疗保健、金融和教育领域的许多组织来说，让传统设备离线进行升级基本上是不可能的。 另一个熟悉的挑战是，设备(如在过时的专有Windows版本上运行的核磁共振机器工作站)可能会隐藏EOL应用程序或阻止它们的替换。 移除对Windows 7、8、8.1和Windows Server 2008 R2的支持将更多的设备转移到“永远不会被替换或打补丁”的类别中。 不幸的是，即使一个传统设备有计算来运行安全控制，如杀毒系统或EDR，你可以找到一个兼容的保护解决方案，它的扫描仪极不可能能够发现或阻止现代规避恶意软件。这意味着无数依赖遗留设备的组织都处于危险的不安全环境中，这极大地增加了他们遭受攻击的风险。 运行遗留操作系统的机器通常是组织的核心运营骨干的一部分，运行web服务器、金融交易和其他关键业务应用程序，从而放大了风险。由于微软的支持包括嵌入式操作系统，关键的物联网和OT设备，如销售点(POS)系统、ATM、医疗设备和工业控制系统端点也暴露出来。 您能得到有效的遗留安全吗? 任何网络安全从业者都知道，保护遗留系统是一项艰巨的挑战。与当前系统相比，遗留系统缺乏能量，因此需要一个轻量级的安全解决方案。他们还需要与他们的软件兼容——这两个因素排除了当今大多数业界领先的安全解决方案，如EPP、EDR和XDR/MDR。(遗留系统缺乏EDRs使用的基本机制，如通过AMSI的脚本扫描。) Morphisec是一种提供超轻量级保护并兼容Windows 7、8、8.1和Windows 2008 R2设备和服务器的解决方案。Morphisec Guard和Keep分别为遗留环境提供端点和服务器保护，并主动预防已知和未知的高级威胁。使用专利的移动目标防御(MTD)技术，Guard和Keep可以在树莓派上运行，同时防止最具破坏性的网络攻击，包括供应链攻击、零日、无文件/内存攻击、勒索软件和其他隐形和规避攻击。Gartner称MTD是“变革性的”。

传统的微软操作系统(OS)可能会一直伴随着我们，操作系统使用统计数据显示，传统操作系统的总市场份额仍在10%以上。 Windows的总安装基数为13亿，大约有1.5亿个终端仍在运行旧版操作系统。 数十万组织的终端和服务器采用不受支持的操作系统。如果您在制造业、金融业、医疗业或教育业，您可能非常清楚遗留系统带来的安全问题。 SANS Institute最近的一项调查发现， 54.3%的公司报告说，他们最大的安全挑战之一是将传统技术与现代ICS和OT系统集成。 传统IT系统的风险 许多公司也面临着从其环境中删除原有的应用程序的挑战。存在着“如果它没有坏……”的想法。 传统环境可以继续正常地运行，是它们成为遗留环境的首要原因。对于许多考虑迁移成本的企业决策者来说，尽可能长时间地保留过时的系统是有意义的。 不幸的是， 传统IT系统的风险随着时间的推移而变得复杂，废弃操作系统中不断出现的漏洞就是明证。 例如，Windows7在进入“生命周期结束”后，在2023年发布了超过43个CVE，而Windows Server2008有95个CVE。 旧版本的应用程序(如已停用的Microsoft Office版本或自定义业务应用程序)扩展了攻击媒介。旧版本的应用程序是威胁参与者的金矿，它们的漏洞在被发现很长时间后可以被回收到新的漏洞中。例如，一个鲜为人知的2004年的ApacheWeb服务器CVE被利用来进行加密挖掘。旧版本系统的硬件方面，如未打补丁的基本输入输出系统，可能会增加这种风险。 新版本的系统并不完美，但通常情况下，系统或应用程序越旧，破坏就更容易达成。 传统IT安全挑战 传统的Windows系统具有设计限制，缺乏EDR查看操作系统和进程通信所需的安全体系结构。 具体地说，较旧的操作系统具有有限的事件跟踪(ETW)，并且缺乏现代系统常见的高级反利用功能。例如，AMSI、CFG、ACG等。 这种可见性的缺乏极大地限制了它们的探测能力。从预防的角度来看，许多EDR依赖Microsoft Defender AV进行基线保护，包括Microsoft基于签名和机器学习的检测、威胁情报和响应能力。但Defender AV是在2015年才与Windows 10一起发布的，因此在2015年前的Windows系统上运行的EDR提供的预防能力有限。从计算角度来看，传统系统存在操作系统设计限制，通常无法运行终端保护平台(EPPS)和终端检测与响应(EDR)等高级安全解决方案。 因此，传统系统通常只受基本、过时的防病毒(AV)解决方案保护。对于依赖高级EDR来保护其较新系统的组织来说，这会造成高度不一致的攻击面。 为了应对这些挑战，Morphisec与来自ITProTV的微软专家Adam Gordon举行了一次网络研讨会。我们讨论了： 运行遗留系统的安全风险 哪个是更大的传统挑战——终端还是服务器 为什么将传统终端迁移到现代操作系统如此困难？ 为什么传统的EPP和EDR工具难以保护遗留系统？ 改进遗留系统安全状况的实用建议 使用自动移动目标防御保护旧版本IT系统 传统系统是低带宽环境，缺乏操作系统体系结构和计算能力，无法支持基于扫描的安全解决方案，如下一代防病毒(NGAV)、EPP和EDR/XDR。 然而， Morphisec的自动移动目标防御(AMTD)可以保护Windows和Linux传统系统免受高级网络攻击 ，如无文件攻击、内存攻击、勒索软件和供应链攻击。6MB的Morphisec足够轻量，可以在Raspberry PI上运行，不需要更新签名或安全标志，不依赖传统操作系统所缺乏的可见性功能，因为它不需要互联网连接，甚至可以保护系统。 Morphisec的AMTD的工作原理是变形运行时内存环境，移动系统资产，并将诱饵留在原来的位置。 受信任的系统进程可以毫无问题地运行，对攻击者隐藏起来，而任何试图与诱饵接触的代码都会被捕获以进行取证分析。 Gartner称AMTD为“..一种新兴的改变游戏规则的技术，用于提高网络防御能力。” 虹科入侵防御方案 虹科入侵防御解决方案，是移动目标防御技术的领导者，已经证明了这项技术的威力。我们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，摩菲斯目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，摩菲斯客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) 虹科摩菲斯为 关键应用程序 ， windows和linux本地和云服务器提供解决方案 ，2MB大小快速部署。

​ 尽管在网络安全方面的投资不断增加，但 网络犯罪仍在激增 。每天的攻击都会使医疗保健提供瘫痪，并扰乱金融/保险服务公司、制造公司、律师事务所和软件公司，以至于有关闭的风险。这在很大程度上是因为攻击一直在变化，而防御没有变化。如今的恶意软件越来越多地在内存中执行运行时攻击。 根据微软的数据，微软产品中70%的漏洞是 内存安全问题 。PurpleSec发现，2022年， 内存崩溃是最常见的零日攻击类型 ，占攻击的67.55%。对于依赖基于检测的解决方案来应对这些类型的攻击的防御者来说，这是一个大问题。 不久前，几乎所有的恶意软件都依赖于可执行文件。威胁参与者在受害者环境中的磁盘上安装了恶意软件。该恶意软件将通过函数调用、系统事件或消息与受感染的计算机交互或与命令和控制(C2)服务器通信。 ​ 编辑 传统网络安全在一定程度上运作良好 但是，无论是在服务器上还是在受攻击的终端上，该恶意软件都会留下其存在的证据。防御者可以依靠端点保护平台(EPP)、端点检测和响应(EDR/XDR)和防病毒(AV)等工具来发现恶意软件部署的迹象。发现这些攻击模式和特征是网络安全技术演变的目的——在威胁造成真正破坏之前检测和隔离威胁。 但随着攻击链现在进入内存，它们在要检测的特征或要分析的行为模式方面提供的东西很少。传统的恶意软件攻击并没有消失。只是更多的威胁在运行时以设备内存为目标，而传统的防御者对此的可见性有限。 内存中攻击可以安装有关联的文件，也可以没有关联的文件，并在最终用户启动和关闭应用程序之间的空间中工作。像Emotet、Jupyter、Cobalt Strike和供应链攻击这样的运行时攻击可以在受害者的环境中移动。 ​ 编辑 这些威胁通常不会在设备磁盘上留下可识别的印记。这些威胁的证据最终可能会在基于签名的解决方案上显示为警报。这包括安全信息和事件管理(SIEM)或安全协调、自动化和响应(SOAR)解决方案。但到那时，后卫们通常已经来不及做任何事情了。 隐蔽而强大的应用程序运行时攻击为勒索软件部署和数据外泄奠定了基础。 内存中的威胁无处不在 作为无文件恶意软件的一项功能，完整的内存中攻击链在2010年代中期开始出现。臭名昭著的 Angler漏洞工具包 以其独特的混淆而闻名，它授权网络犯罪分子每月收取费用来利用网络浏览器漏洞。 仅在2015年，网络犯罪分子就利用Angler从受害者那里窃取和勒索了 3400万美元 。 近年来，在内存方面的泄露激增。威胁参与者使用Cobalt Strike等工具从设备内存恶意加载通信信标。Cobalt Strike是一种合法的五层攻击解决方案。2019至2020年间，使用Cobalt Strike的网络攻击 增加了161% 。它通常被Conti使用，Conti是目前运营中最成功的勒索软件集团，在2021年获得了 1.8亿美元的收入 。 ​ 编辑 为了逃避传统的以签名和行为为重点的安全解决方案，威胁参与者现在创建针对运行时内存中的恶意软件，并劫持合法进程。Picus实验室的2021年红色报告将20多万个恶意软件文件映射到MITRE ATT&CK框架。 “他们发现，去年最流行的五种攻击方式中，有三种是在内存中发生的。” 内存泄露现在是攻击链的典型特征，就像2021年爱尔兰国家医疗服务体系被入侵之前那样。 无法在运行时扫描设备内存 在应用程序运行时期间，设备内存中发生的情况对防御者来说大多是不可见的。若要了解原因，请考虑解决方案如何在有人使用应用程序时尝试扫描应用程序。 解决方案必须 1） 在应用程序的生命周期内多次扫描设备内存，同时 2） 侦听正确的触发操作，以及 3） 查找恶意模式以捕获正在进行的攻击。做这三件事的最大障碍是规模。在典型应用程序的运行时环境中，可能有 4GB 的虚拟内存。不可能足够频繁地扫描如此大量的数据，至少不会减慢应用程序的速度，以至于无法使用。因此，内存扫描程序只能查看特定的内存区域、特定的时间线触发器和非常具体的参数——所有这些都假设内存状态是稳定和一致的。 ​ 编辑 在范围如此有限的情况下，在最好的情况下，专注于内存扫描的解决方案可能会占用3%到4%的应用程序内存。但威胁越来越多地使用多态来混淆他们的存在，甚至在内存中也是如此。这意味着在如此小的设备内存样本中捕获恶意活动将是奇迹。使这一问题雪上加霜的是，攻击现在绕过或篡改了大多数解决方案用来发现正在进行的攻击的挂钩。 毫不奇怪，远程访问特洛伊木马程序(RAT)、信息窃取程序和加载程序现在使用应用程序内存来隐藏更长时间。攻击者在网络中停留的平均时间约为11天。对于老鼠和信息窃取等高级威胁，这个数字更接近45天。 Windows和Linux应用程序都是目标 在内存中，泄露不是一种单一类型的威胁。相反，这是导致广泛后果的攻击链的一个特征。例如，勒索软件不一定与内存运行时攻击相关联。但要部署勒索软件，威胁参与者通常必须渗透网络并提升权限。这些过程往往在运行时在内存中发生。 ​ 编辑 网络安全的标准方法是检测正在进行的攻击或被破坏后的攻击。这使每种类型的组织和 IT 资产都面临“隐形”运行时攻击的风险。Morphisec的事件响应团队已经看到内存中入侵被用于从金融机构的服务器到医院的端点以及介于两者之间的所有情况。 这些威胁不仅针对 Windows 服务器和设备上的内存进程，它们还针对Linux。去年，由威胁行为者创建的恶意版本的Cobalt Strike专门用于Linux服务器。在金融等行业，Linux被用来为虚拟化平台和网络服务器提供动力，攻击激增。攻击通常会破坏内存中的业务关键型服务器，从而为信息盗窃和数据加密奠定基础。 防止内存中运行时攻击 内存中运行时攻击是一些最先进的破坏性攻击。他们不仅针对企业，现在还把整个政府都扣为人质。因此，防御者必须专注于在运行时阻止对应用程序内存的威胁。只专注于检测是不好的;内存中和无文件的恶意软件实际上是不可见的。传统的安全技术在受保护资产周围竖起一堵墙，并依赖于检测恶意活动，无法阻止多态和动态威胁。 ​ 编辑 相反，应通过安全层确保有效的深度防御，从而首先防止内存受损。这就是移动目标防御（MTD）技术的作用。 MTD 通过在运行时变形（随机化）应用程序内存、API 和其他操作系统资源，创建即使是高级威胁也无法穿透的动态攻击面。 实际上，它不断地移动房屋的门，同时将假门留在原处，从而捕获恶意软件以进行取证分析。即使威胁行为者能找到通往建筑物的门，当他们返回时，它也不会在那里。因此，他们不能在同一端点上重用攻击，更不用说在其他端点上了。 MTD 技术不是在攻击发生后检测到攻击，而是先发制人地阻止攻击，而无需签名或可识别的行为。 而且它不会影响系统性能、生成误报警报或需要增加员工人数才能运行。 扩展阅读 Morphisec（摩菲斯） Morphisec（摩菲斯）作为移动目标防御的领导者，已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，Morphisec客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) Morphisec（摩菲斯）为 关键应用程序 ， windows和linux本地和云服务器提供解决方案 ，2MB大小快速部署。 免费的Guard Lite解决方案 ，将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取！ ​

Gartner发布了关于移动目标防御（动态防御，MTD）的新研究，希望引起您的注意。他们的发现表明，为什么MTD是预防为主的网络安全战略的重要组成部分。同样，他们的预测也预示着MTD在不久的将来会被供应商和安全团队迅速采用。最重要的是，Gartner关于MTD的发现验证了Morphisec所肩负的使命：利用移动目标防御的力量来击败现代网络攻击，特别是那些以前没有见过的攻击，从而为IT和安全专家带来安心。 GARTNER 如何定义移动目标防御（动态防御） “移动目标防御(动态防御，MTD)是一种技术趋势，通过动态或静态排列组合、变形、变换或混淆来转移攻击者攻击技术。” 这个定义还描述了Morphisec的工作。 Morphisec的漏洞预防解决方案利用其获专利的移动目标防御技术的力量，通过边界内的零信任方法阻止高级攻击-我们实施MTD，通过隐藏攻击面来转移对应用程序运行时的攻击。 Morphisec的MTD还通过并行调整凭证结构在终端上提供凭证保护。 在应用程序资源上应用互补的MTD技术，以最大限度地减少对用户帐户管理的攻击面。 为什么移动目标防御（动态防御）有效？ “假设一个行窃专家能够撬开任何一扇门的锁。MTD的目标不是要建造一把更好的锁。毫无疑问，这是提高门的安全性的一个值得称赞和必要的目标，但这个任务要留给其他安全解决方案。相反，MTD安全战略的目标是使门和门的锁难以或不可能被盗贼找到”。 移动目标防御的工作原理是将资产从黑客认为会出现的地方转移到一个未知位置。当攻击无法找到它打算利用的东西时，它就会变得良性。通过颠覆预期并将敏感资产隐藏起来，MTD成功地转移了攻击并防止（而不是减轻）损害。 除防御能力外，MTD还能对付未知的零日和无文件恶意软件攻击、内存中的漏洞以及其他即使是最先进的终端检测和预防工具也无法捕捉的威胁。由于MTD不像下一代防病毒（NGAV）工具那样依赖攻击签名来识别威胁，也不需要检测恶意意图来消除这些威胁，如终端检测和响应（EDR）解决方案，它能以同样的熟练程度阻止新旧威胁。 为什么移动目标防御（动态防御）很重要？ “攻击者的利用技术在执行攻击时依赖于软件、系统、系统服务或应用程序中漏洞的可预测性。例如，攻击者必须编写利用代码，以内存中存储数据的特定区域为目标，使用已知的应用程序运行时参数，或利用对网络应用程序代码的解析来执行对这些元素的利用”。 几乎所有的网络攻击都有一个共同点，那就是依赖于一个精确的攻击计划。在网络风险快速上升之际，给这些计划制造麻烦是一种合理而有力的防御策略。随着公司技术足迹的增长和攻击形势的恶化，公司比以往任何时候都更容易受到伤害，随着网络入侵成为每月的头条新闻，只有一个结论：现在是对网络安全工具和技术进行新思考的时候了。MTD对这两种情况都提出了新的视角。 事实上，在最近的一份报告中，Gartner确定了推动安全市场创新的最具影响力的新兴技术，并指出移动目标防御作是提高内存、网络、应用程序和操作系统安全性的关键技术。(参考下面的图1) 什么让MTD与众不同？ Gartner强调，与其他漏洞评估和管理方法相比，MTD有三个明显的优势： 可访问性 –实施MTD几乎不需要重构或中断，特别是当应用于终端或应用层面时，”MTD技术的使用可以立即实现”。 补充性 – MTD工具不是现有安全解决方案的替代，而是在不造成冗余或性能问题的情况下增加重要防御的补充。 可扩展 性–由于MTD工具可以抵御攻击，安全团队需要检测和应对的情况就会减少，因此可以更轻松地扩展系统，而不会被安全要求压垮。 除了MTD的技术优势外，它还代表了一种新的（早该出现的）网络安全方法，它基于这样一个现实，即没有人可以修复每个安全漏洞或阻止每个威胁。相反，他们必须用Gartner所说的“转移攻击的务实性质”来补充这些努力，以跟上现代网络威胁的水平。 今天的安全团队不能指望看到或阻止防御边界上的每一次攻击，因此他们需要在该边界内设置安全层，来保护常受到攻击的敏感资产（如应用程序内存）。这样一来，即使攻击在随后的安全层中成功，但由于移动目标防御所应用的回避手法，它在到达最终目标时也会失败。 Gartner预测的MTD的未来 “到2025年，至少30%的商业网络、主机和软件安全解决方案将采用移动目标防御技术，而现在还不到5%。 Gartner预计MTD将快速传播，原因有二。首先，安全厂商可能会将MTD整合到现有的和新兴的安全平台中，既是为了升级这些平台，也是为了将它们从竞争中区分出来。其次，像Morphisec这样的公司将继续在这一领域进行创新，使移动目标防御变得越来越容易获得和强大。在任何一种情况下，客户都会涌向这些解决方案，寻求先进的防御措施，以应对咄咄逼人的复杂网络攻击。 Morhpisec——在网络安全的前沿 Morphisec作为移动目标防御的领导者，已经证明了这项技术的威力。我们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，Morphisec目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，Morphisec客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) 阅读Gartner的《新兴技术和趋势影响雷达：安全》，更多地了解移动目标防御的威力。 要了解有关Morphisec如何使用移动目标防御来提供端到端保护以抵御最具破坏性的网络攻击的更多信息，请访问：https://hongwangle.com/breach-prevention/