标签: 移动目标防御技术

导语：在 2023 年 Gartner 终端安全发展规律周期中，自动移动目标防御（ AMTD ）崭露头角，虹科 Morphisec 被誉为 AMTD 领域的样本供应商。该周期呈现出终端安全领域的最新创新，旨在帮助安全领导者更好地规划、采纳和实施新技术。 AMTD 技术的预防性解决方案标志着网络安全迈出了新的一步，它以在攻击开始前预防和阻止攻击为主，不同于传统的检测和响应技术。 自动移动目标防御 (AMTD) 首次被囊括在 2023 年 Gartner Endpoint Security 的发展规律周期中， 作为一项正在崛起的技术 。虹科 Morphisec 被评为 AMTD 类别中的样本供应商。这一发展规律周期展示了终端安全领域最相关的创新，以帮助安全领导者规划、采用和实施新兴技术。终端安全创新 侧重于更快的自动检测和预防，以及威胁的补救 ，为集成的扩展检测和响应 (XDR) 提供动力，以将来自终端、网络、网络、电子邮件和身份识别等解决方案的数据点和遥测关联起来。“。正如 Gartner 所指出的，“ 企业需要尖端的解决方案来保护终端免受攻击和入侵 。” 从历史上看，终端安全一直侧重于检测和响应技术。“ AMTD 从‘检测和响应’转变为‘主动欺骗和不可预测的变化’，使攻击者更难利用目标 IT 环境中的漏洞。”作为一种预防性解决方案，我们认为 AMTD 被纳入报告标志着该行业发生了结构性转变，并重新调整了终端安全最佳实践建议。 威胁正变得更加复杂和难以捉摸 从技术上讲，检测和响应始于反病毒软件的引入。反病毒程序对二进制文件和文件进行静态评估，以确定它们与已知恶意软件的一致性。 下一代反病毒 (NGAV) 软件和终端保护平台随后引入了动态分析，这需要在受限环境中执行文件，同时监控它们的行为。 终端安全方面的下一项创新引入了业界当前级别的 EDR 和扩展检测与响应 (XDR) 技术，并管理检测和响应 (MDR) 服务。这些产品使用行为分析来监控计算机上进程的执行，拦截关键功能，并进行调查以获得对行为的实时洞察。这种方法不仅仔细检查了二进制代码，还仔细检查了围绕执行的上下文因素。 如今， NGAV 、 EDR 和 XDR 为检测和响应基于特征码的已知威胁提供了基准安全。然而， 包括内存、无文件和勒索软件攻击在内的复杂且无法检测的威胁越来越多地绕过了 NGAV 和 EDR 等传统安全控制 ，现在占外部检测到的攻击的 30% 。 最近的例子包括一种针对金融和物流公司的新型 Chaes 恶意软件变种， GuLoader ，一种针对美国法律和投资公司的高级威胁，以及 InvalidPrint ，一种高度隐身的加载程序，在很长一段时间内对病毒 Total 的检测为零。 根据 Gartner 的报告：“ 在过度强调检测和响应策略未能防止入侵的背景下， AMTD 技术已经出现，能够在防御方面提供新的价值 。” AMTD 提供的混淆和多态功能可以抵御攻击 攻击者在侦察方面投入了大量资金，以发现漏洞和利用机会。他们使用无文件恶意软件和内存攻击等复杂技术来隐藏行为并逃避检测。 防守者甚至可以在进攻开始之前就应用类似的战术，使用 AMTD 技术来摧毁攻击。 AMTD 借鉴了成熟的军事战略， 即移动的目标比静止的目标更难“击中” 。在网络安全领域， AMTD 部署的战术可以在 IT 环境中设计跨越攻击面的变化或变化。这种基于多态的方法增加了潜在攻击者面临的不可预测性和复杂性。 在一场永无止境的网络军备竞赛中，攻击者将利用人工智能来生成能够绕过基于人工智能的保护解决方案的威胁。生成性人工智能进一步提高了攻击的复杂性、速度和规模，因此安全领导者必须寻求使用先于反应性和资源密集型检测和响应解决方案的主动和预防性技术来加强防御。正如 Gartner 所指出的，“ AMTD 帮助普通公司应对新出现的人工智能威胁。对于没有预算、人员或时间使用人工智能的组织来说， AMTD 是一种替代方案。” 安全团队的工作必须优先考虑高保真警报 由于复杂且无法检测的威胁向量 ( 如前面提到的无文件、内存和基于零日的技术 ) 绕过了传统的安全控制以及检测和响应技术，漏洞风险和警报随之而来。 未知和无法检测的攻击造成了越来越多的入侵， 超过 30% 的攻击被反病毒和 EDR 系统漏掉 。作为回应， IT 和安全团队将检测系统警报模型设置为最高设置，以标记异常行为。但这些设置对系统性能产生了负面影响，并产生了大量警报，目前约占通知总数的 40% 。 安全团队正被误报警报和耗时的警报调查淹没。全国草坪护理和治疗服务提供商 TruGreen 就是这种情况。 TruGreen 使用了多层安全模型，但他们不相信这能保护他们免受躲避攻击。它的性能开销很大，并且会产生大量的误报警报，每天都需要数小时的团队分析。该团队需要一个运营高效且对性能影响微乎其微的解决方案。 Morphisec 帮助 TruGreen 将误报减少了 95% ；首席安全架构师 Dale Slawinski 指出：“使用我们之前的安全平台，我们过去每天都会收到多达 50 个警报。现在 ( 有了 Morphisec AMTD) ，我们可能只有一两个。 Morphisec 的确定性机制创建高优先级和保真度警报，帮助安全团队确定补救工作的优先顺序。 Morphisec 通过冷阻止攻击并杀死恶意进程来防止攻击，从而为安全团队赢得时间。使用 Morphisec AMTD ，恶意进程不再处于活动状态；相比之下， EDR 技术可能只会在恶意进程仍处于活动状态时创建警报。 使用 AMTD 采取预防性的安全措施 将当前的终端安全解决方案与 AMTD 相结合是网络安全的下一步发展，是组织抵御不断变化的威胁格局的必备条件，尤其是在保护传统系统方面。随着新的集成层覆盖在旧的服务器和设备之上，攻击面扩大，与传统 IT 相关的风险也随之扩大。 在通常无法修补的遗留系统中，即使是众所周知的攻击载体，如 Internet Explorer 漏洞，仍在导致数据泄露。例如，在 2021 年， 18% 的攻击利用了 2013 年或更早披露的漏洞。随着 Windows7 和 Windows 8 从那时起退出支持，这个数字现在可能会高得多。 自动移动目标防御 (AMTD) 是对保护遗留系统的挑战的一种成熟的回应。它通过预防而不是应对威胁来克服终端安全的架构、技术和文化挑战。通过一个极其轻量级 (6MB) 的代理， Morphisec 的 AMTD 可以在系统使用时改变运行时内存。它通过移动系统资产并将诱饵留在原来的位置来减少遗留攻击面。 以下是考虑使用 AMTD 的 IT 或安全领导者的其他优势： ² 深度防御 - 所有组织都面临勒索软件、供应链零日和无文件攻击的风险增加；多态防御隐藏漏洞，使其免受多态攻击。 ² 运营效率 -AMTD 解决了遗留的安全问题，并与您已经使用的 NGAV 、 EDR 和 XDR 技术完全兼容，无需额外的员工或性能资源来运行它。 ² 减少开支 - 通过在攻击开始前停止攻击， AMTD 减少了误报警报，从而减少了对警报进行分类和分析的 IT 支持工单和人员需求。 据美国一家领先的对冲基金的 CISO 表示：“ Morphisec 提供了新型内存保护技术，维护成本低，管理费用少。在我们的技术堆栈中， Morphisec 需要的维护和维护最少，提供卓越的保护。“。 AMTD 技术标志着网络安全的下一步发展。与检测和响应技术不同，它专注于在攻击开始之前预防和阻止攻击。 了解虹科网络安全更多资讯，欢迎前往【虹科网络安全】官方网站： https://haocst.com/

导语：在 2023 年 Gartner 终端安全发展规律周期中，自动移动目标防御（ AMTD ）崭露头角，虹科 Morphisec 被誉为 AMTD 领域的样本供应商。该周期呈现出终端安全领域的最新创新，旨在帮助安全领导者更好地规划、采纳和实施新技术。 AMTD 技术的预防性解决方案标志着网络安全迈出了新的一步，它以在攻击开始前预防和阻止攻击为主，不同于传统的检测和响应技术。 自动移动目标防御 (AMTD) 首次被囊括在 2023 年 Gartner Endpoint Security 的发展规律周期中， 作为一项正在崛起的技术 。虹科 Morphisec 被评为 AMTD 类别中的样本供应商。这一发展规律周期展示了终端安全领域最相关的创新，以帮助安全领导者规划、采用和实施新兴技术。终端安全创新 侧重于更快的自动检测和预防，以及威胁的补救 ，为集成的扩展检测和响应 (XDR) 提供动力，以将来自终端、网络、网络、电子邮件和身份识别等解决方案的数据点和遥测关联起来。“。正如 Gartner 所指出的，“ 企业需要尖端的解决方案来保护终端免受攻击和入侵 。” 从历史上看，终端安全一直侧重于检测和响应技术。“ AMTD 从‘检测和响应’转变为‘主动欺骗和不可预测的变化’，使攻击者更难利用目标 IT 环境中的漏洞。”作为一种预防性解决方案，我们认为 AMTD 被纳入报告标志着该行业发生了结构性转变，并重新调整了终端安全最佳实践建议。 威胁正变得更加复杂和难以捉摸 从技术上讲，检测和响应始于反病毒软件的引入。反病毒程序对二进制文件和文件进行静态评估，以确定它们与已知恶意软件的一致性。 下一代反病毒 (NGAV) 软件和终端保护平台随后引入了动态分析，这需要在受限环境中执行文件，同时监控它们的行为。 终端安全方面的下一项创新引入了业界当前级别的 EDR 和扩展检测与响应 (XDR) 技术，并管理检测和响应 (MDR) 服务。这些产品使用行为分析来监控计算机上进程的执行，拦截关键功能，并进行调查以获得对行为的实时洞察。这种方法不仅仔细检查了二进制代码，还仔细检查了围绕执行的上下文因素。 如今， NGAV 、 EDR 和 XDR 为检测和响应基于特征码的已知威胁提供了基准安全。然而， 包括内存、无文件和勒索软件攻击在内的复杂且无法检测的威胁越来越多地绕过了 NGAV 和 EDR 等传统安全控制 ，现在占外部检测到的攻击的 30% 。 最近的例子包括一种针对金融和物流公司的新型 Chaes 恶意软件变种， GuLoader ，一种针对美国法律和投资公司的高级威胁，以及 InvalidPrint ，一种高度隐身的加载程序，在很长一段时间内对病毒 Total 的检测为零。 根据 Gartner 的报告：“ 在过度强调检测和响应策略未能防止入侵的背景下， AMTD 技术已经出现，能够在防御方面提供新的价值 。” AMTD 提供的混淆和多态功能可以抵御攻击 攻击者在侦察方面投入了大量资金，以发现漏洞和利用机会。他们使用无文件恶意软件和内存攻击等复杂技术来隐藏行为并逃避检测。 防守者甚至可以在进攻开始之前就应用类似的战术，使用 AMTD 技术来摧毁攻击。 AMTD 借鉴了成熟的军事战略， 即移动的目标比静止的目标更难“击中” 。在网络安全领域， AMTD 部署的战术可以在 IT 环境中设计跨越攻击面的变化或变化。这种基于多态的方法增加了潜在攻击者面临的不可预测性和复杂性。 在一场永无止境的网络军备竞赛中，攻击者将利用人工智能来生成能够绕过基于人工智能的保护解决方案的威胁。生成性人工智能进一步提高了攻击的复杂性、速度和规模，因此安全领导者必须寻求使用先于反应性和资源密集型检测和响应解决方案的主动和预防性技术来加强防御。正如 Gartner 所指出的，“ AMTD 帮助普通公司应对新出现的人工智能威胁。对于没有预算、人员或时间使用人工智能的组织来说， AMTD 是一种替代方案。” 安全团队的工作必须优先考虑高保真警报 由于复杂且无法检测的威胁向量 ( 如前面提到的无文件、内存和基于零日的技术 ) 绕过了传统的安全控制以及检测和响应技术，漏洞风险和警报随之而来。 未知和无法检测的攻击造成了越来越多的入侵， 超过 30% 的攻击被反病毒和 EDR 系统漏掉 。作为回应， IT 和安全团队将检测系统警报模型设置为最高设置，以标记异常行为。但这些设置对系统性能产生了负面影响，并产生了大量警报，目前约占通知总数的 40% 。 安全团队正被误报警报和耗时的警报调查淹没。全国草坪护理和治疗服务提供商 TruGreen 就是这种情况。 TruGreen 使用了多层安全模型，但他们不相信这能保护他们免受躲避攻击。它的性能开销很大，并且会产生大量的误报警报，每天都需要数小时的团队分析。该团队需要一个运营高效且对性能影响微乎其微的解决方案。 Morphisec 帮助 TruGreen 将误报减少了 95% ；首席安全架构师 Dale Slawinski 指出：“使用我们之前的安全平台，我们过去每天都会收到多达 50 个警报。现在 ( 有了 Morphisec AMTD) ，我们可能只有一两个。 Morphisec 的确定性机制创建高优先级和保真度警报，帮助安全团队确定补救工作的优先顺序。 Morphisec 通过冷阻止攻击并杀死恶意进程来防止攻击，从而为安全团队赢得时间。使用 Morphisec AMTD ，恶意进程不再处于活动状态；相比之下， EDR 技术可能只会在恶意进程仍处于活动状态时创建警报。 使用 AMTD 采取预防性的安全措施 将当前的终端安全解决方案与 AMTD 相结合是网络安全的下一步发展，是组织抵御不断变化的威胁格局的必备条件，尤其是在保护传统系统方面。随着新的集成层覆盖在旧的服务器和设备之上，攻击面扩大，与传统 IT 相关的风险也随之扩大。 在通常无法修补的遗留系统中，即使是众所周知的攻击载体，如 Internet Explorer 漏洞，仍在导致数据泄露。例如，在 2021 年， 18% 的攻击利用了 2013 年或更早披露的漏洞。随着 Windows7 和 Windows 8 从那时起退出支持，这个数字现在可能会高得多。 自动移动目标防御 (AMTD) 是对保护遗留系统的挑战的一种成熟的回应。它通过预防而不是应对威胁来克服终端安全的架构、技术和文化挑战。通过一个极其轻量级 (6MB) 的代理， Morphisec 的 AMTD 可以在系统使用时改变运行时内存。它通过移动系统资产并将诱饵留在原来的位置来减少遗留攻击面。 以下是考虑使用 AMTD 的 IT 或安全领导者的其他优势： ² 深度防御 - 所有组织都面临勒索软件、供应链零日和无文件攻击的风险增加；多态防御隐藏漏洞，使其免受多态攻击。 ² 运营效率 -AMTD 解决了遗留的安全问题，并与您已经使用的 NGAV 、 EDR 和 XDR 技术完全兼容，无需额外的员工或性能资源来运行它。 ² 减少开支 - 通过在攻击开始前停止攻击， AMTD 减少了误报警报，从而减少了对警报进行分类和分析的 IT 支持工单和人员需求。 据美国一家领先的对冲基金的 CISO 表示：“ Morphisec 提供了新型内存保护技术，维护成本低，管理费用少。在我们的技术堆栈中， Morphisec 需要的维护和维护最少，提供卓越的保护。“。 AMTD 技术标志着网络安全的下一步发展。与检测和响应技术不同，它专注于在攻击开始之前预防和阻止攻击。 了解虹科网络安全更多资讯，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 扫码加入虹科网络安全技术交流群或微信公众号，及时获取更多技术咨询/应用案例。

介绍--Chae$4 随着网络威胁的世界以惊人的速度发展，保持领先于这些数字危险对企业来说变得越来越关键。2023年1月， Morphisec 发现了一个令人震惊的趋势，许多客户，主要是物流和金融部门的客户，受到了 Chaes 恶意软件的新的高级变体的攻击。据观察，从2023年4月到6月，威胁的复杂程度在多次迭代中增加。 由于 Morphisec 的尖端AMTD(自动移动目标防御)技术，这些攻击中的许多都在造成重大破坏之前被阻拦。 这不是普通的 Chaes 变种。它经历了重大的改革：从完全用Python语言重写，这导致传统防御系统的检测率较低，到全面重新设计和增强的通信协议。此外，它 现在还拥有一套 新模块，进一步增强了它的恶意能力。 该恶意软件的目标不是随机的。它特别关注知名平台和银行的客户，如Mercado Libre、Mercado Pago、WhatsApp Web、 Itau Bank、Caixa Bank，甚至MetaMask.。此外，许多内容管理(CMS)服务也未能幸免，包括WordPress、Joomla、Drupal和Magento。值得注意的是， Chaes 恶意软件在网络安全领域并不是全新的。它的首次亮相可以追溯到2020年11月，当时Cybereason的研究人员强调了它的业务主要针对拉丁美洲的电子商务客户。 新的 Chaes 变体已被 Morphisec 命名为“Chae$4”(Chae$4)，因为它是第四个主要变体，而且核心模块中的调试打印显示“Chae$4”。 Chaes 历史记录和概述 2020年11月，Cybereason发布了对 Chaes 恶意软件的初步研究。该报告强调，该恶意软件至少自2020年年中以来一直活跃，主要针对拉丁美洲的电子商务客户，特别是巴西。 该恶意软件主要针对 MercadoLibre 用户，其特点是多阶段感染过程，能够窃取与 MercadoLibre 相关的敏感和财务数据，以及利用多种编程语言和 LOLbins 。 到2022年1月，Avast发表了一项随后的研究，表明 Chaes 的活动在2021年第四季度激增。Avast深入研究了该恶意软件的不同组件，揭示了其最新更新：完善的感染链、增强的与C2的通信、新集成的模块(他们称之为“扩展”)，以及关于每个感染阶段和模块的细粒度细节。 几周后，也就是2022年2月，这位威胁人员发布了对阿瓦斯特研究的回应，如下图所示： 事实证明，确定威胁参与者的性质--无论是个人还是团体--是难以捉摸的。红色的高亮部分暗示了小组的可能性，而绿色的高亮部分反映了个人的注释。鉴于这位人员身份的模棱两可，因此为这位威胁性人员选择了名为《路西法》的片名。这一决定 受到博客名称 和标识符“Lucifer6”的影响，该标识符用于加密与C2服务器的通信。 总结了一系列的发展，2022年12月标志着另一个关键时刻，暴风雨的研究小组 SideChannel 公布了进一步的见解，介绍了该恶意软件采用WMI来收集系统数据。 正在升级到版本4 这些先前提到的研究出版物涵盖了CHAES恶意软件的版本1-3。 Chaes 的这一最新版本推出了重大的转换和增强，并被 Morphisec 称为版本4。 重大变化包括： -改进的代码体系结构和改进的模块化。 -增加了加密层和增强的隐形功能。 -主要转移到经历解密和动态内存中执行的Python。 -用一种定制的方法来监控和拦截Chromium浏览器的活动，以取代Puppeteer。 -针对凭据窃取的扩展服务目录。 -采用 WebSockets 进行模块与C2服务器之间的主要通信。 -动态解析C2服务器地址的DGA实现。 鉴于本评论 内容的深度和广度，分析的结构旨在迎合广泛的读者，从SOC和CISO到检测工程师、研究人员和安全爱好者。 分析首先概述了感染链， 这保持 了相对一致，然后对恶意软件的每个模块进行了简洁的总 结。后续各节将更深入地探讨每个阶段/模块的具体内容。 由于恶意软件在各个阶段/模块中使用重复机制，因此我们指定了一个标题为“附加组件”的部分。在这里，读者可以找到整个帖子中引用的每种机制的复杂细节。 这种结构化的方法确保读者可以快速收集恶意软件的概述，或者沉浸在其复杂的组件中。 注：由于以前的分析和研究笔记(前面提到)在交付方法上没有重大更新，本次审查将集中在最近的发展。对于那些不熟悉感染方法的人，请参考参考研究。 感染是通过执行恶意的、几乎未被检测到的MSI安装程序开始的，该安装程序通常伪装成Java JDE安装程序或防病毒软件安装程序。执行恶意安装程序将导致恶意软件在 %APPDATA%/ 文件夹下的专用硬编码文件夹中部署和下载所需文件。 该文件夹包含Python库、具有不同名称的Python可执行文件、加密文件和稍后将使用的Python脚本。接下来，恶意软件解包核心模块，我们将其称为 ChaesCore ，该模块负责使用计划任务设置持久性并迁移到目标进程。在初始化阶段之后， ChaesCore 开始其恶意活动并与C2地址通信，以便下载外部模块并将其加载到受感染的系统中。 在整个调查过程中，确定了七个不同的模块，它们可以在不更改核心功能的情况下独立更新： 1.init模块-攻击者发送的第一个模块用作身份识别/新受害者注册。它收集有关受感染系统的大量数据。 2.在线模块-将在线消息发送回攻击者。就像一个信标模块，监控哪些受害者仍在活动。 3.Chronod模块-一个凭证窃取和剪贴器。此模块负责拦截浏览器活动以窃取用户的信息，如登录过程中发送的凭据、与银行网站通信时的银行信息，并具有尝试窃取BTC、ETH和PIX传输的剪辑功能。 4.Appita模块-在结构和用途上与 Chronod 模块非常相似，但看起来它专门针对 Itau 银行的应用程序(itauplicativo.exe)。 5.Chrautos模块--在 Chronod 和 Appita 模块的基础上改进的模块。它提供了更好的代码体系结构，能够轻松扩展模块完成的目标和任务。目前的版本侧重于银行和WhatsApp数据，但仍在开发中。 6.窃取模块-负责从基于Chromium的浏览器窃取数据。被盗数据包括登录数据、信用卡、 Cookie和自动填充。 7.文件上传模块-能够从受感染的系统搜索文件并将文件上传到C2服务器。在当前版本中，该模块只上传与 MetaMASK 的Chrome扩展相关的数据。 大多数模块在以前的版本中已经以某种形式存在，但这个版本为那些具有改进的功能、不同的代码库和实现其目标的独特技术的模块提供了重新实现。 另一件需要注意的事情是威胁参与者对加密货币的浓厚兴趣，这由使用 剪贴器 窃取BTC和ETH以及窃取MetaMask凭据和文件的文件上传模块来表示。 了解虹科 网络安全更多技术干货/应用案例，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

随着 ChatGPT 、 Copilot 、 Bard 等人工智能 (AI) 工具的复杂性持续增长，它们给安全防御者带来了更大的风险，并给采用 AI 驱动的攻击技术的攻击者带来了更大的回报。 作为一名安全专业人员，您必须维护一个由多个操作系统 (OS) 组成的多样化的生态系统，以便在采用新的、现代的 B2B 和 B2C 超大规模、超高速、数据丰富的接口。您寻找并依赖最新和最好的安全产品来帮助您抵御攻击者。 然而，当与复杂的人工智能驱动的技术对抗时，现有的安全产品和实践缺少一个关键的防御元素：一种能够击败下一代机器驱动的、启用人工智能的对手的技术，这些对手擅长机器学习，以惊人的速度和规模创造新的自适应漏洞。 随着人们对生成 AI 系统及其违反检测和预防技术的能力的关注，一个明确的模式开始出现。 信息安全专业人员关心的是——生成式人工智能可以被利用来： u 增加攻击面：创建传统安全工具不易检测到的新攻击载体。 u 逃避检测：生成专门用于逃避安全工具检测的恶意代码。 u 增加复杂性：创建更难防御的日益复杂的攻击或技术变体。 u 更快的速度和更大的规模：以安全团队难以跟上的规模和速度发动攻击。 防御者的视角 人工智能 (AI) 及其机器学习 (ML) 和深度学习 (DL) 子集是现代端点保护平台 (EPP) 和端点检测与响应 (EDR) 产品不可或缺的一部分。 这些技术通过学习大量已知的恶意和良性行为或代码模式的数据来工作。这种学习使他们能够创建可以预测和识别以前未见过的威胁的模型。 具体地说，人工智能可用于： u 检测异常：识别终端行为中的异常，如不寻常的文件访问模式或系统设置的更改。这些异常可能表明有恶意活动，即使安全产品不知道具体的行为。 u 行为分类：将终端行为分为恶意行为和良性行为。这使得安全产品可以将注意力集中在最有可能的威胁上。 u 判断：判断特定行为或代码模式是恶意的还是良性的。这使安全产品可以采取措施减轻威胁，例如阻止访问文件或终止进程。 人工智能的使用现在正在成为事实上的标准，通过识别事件的背景和理解终端的行为来帮助减少误报，以消除警报，并使用以前发送的大量遥测数据追溯纠正错误分类的信息。 攻击者的视角 随着人工智能的发展和变得越来越复杂，攻击者将找到新的方法来利用这些技术为自己带来好处，并加速开发能够绕过基于人工智能的终端保护解决方案的威胁。 攻击者可以利用人工智能攻击目标的方法包括： u 自动化漏洞扫描：攻击者可以使用人工智能自动扫描大量代码和系统中的漏洞。使用机器学习算法，攻击者可以识别模式代码本身、相关配置甚至是独立的服务，以发现潜在的漏洞，并据此确定攻击的优先级。它们训练以寻找绕过检测的方法。 u 对抗性机器学习：对抗性机器学习是一种使用人工智能在其他人工智能系统中寻找弱点的技术。通过利用基于人工智能的安全系统中使用的算法中的漏洞，攻击者可以绕过这些防御措施并获得敏感数据的访问权。 u 漏洞生成：攻击者可以利用人工智能生成绕过传统安全措施的新漏洞。通过分析目标系统和识别漏洞， AI 算法可以生成新的代码，这些代码可以利用这些弱点并获得对系统的访问权限。 u 社会工程：攻击者可以使用人工智能生成有说服力的钓鱼电子邮件或社交媒体消息，诱骗受害者泄露敏感信息或下载恶意软件。利用自然语言处理和其他人工智能技术，攻击者可以使这些消息高度个性化，更具说服力。 u 密码破解：攻击者可以使用人工智能使用暴力破解密码。使用机器学习算法从之前的尝试中学习，攻击者可以在更短的时间内增加他们破解密码的机会。 我们预计攻击者将积极使用人工智能来自动化漏洞扫描，生成引人注目的钓鱼消息，在基于人工智能的安全系统中找到弱点，生成新的漏洞并破解密码。随着人工智能和机器学习的发展，组织必须保持警惕，并跟上基于人工智能的攻击的最新发展，以保护自己免受这些威胁。 使用基于人工智能系统的组织必须质疑其基础数据集、训练集和实现此学习过程的机器的鲁棒性和安全性，并保护系统免受未经授权和可能武器化的恶意代码。发现的弱点，或注入到基于人工智能的安全解决方案的模型中，可能导致它们的保护被全局绕过。 Morphisec 之前曾观察到由高技能和资源丰富的威胁行为者发起的复杂攻击，如国家行为者、有组织的犯罪集团或先进的黑客集团。基于人工智能的技术的进步，通过自动化多态和规避恶意软件的创造，可以降低创建复杂威胁的进入门槛。 这不仅仅是对未来的担忧 利用人工智能并不需要绕过今天的终端安全解决方案。逃避 EDR 和 EPP 检测的策略和技术有很好的记录，特别是在内存操作和无文件恶意软件中。根据 Picus Security 的数据，在恶意软件中使用的顶级技术中，逃避和内存技术占了 30% 以上。 另一个重要的问题是 EPP 和 EDR 的反应性，因为它们的检测通常是在违反之后进行的，并且补救不是完全自动化的。根据 2023 年 IBM 数据泄露报告，检测和控制入侵的平均时间增加到 322 天。安全人工智能和自动化的广泛使用将这一时间缩短到 214 天，这在攻击者建立持久性并能够潜在地窃取有价值的信息之后仍然很长时间。 是时候考虑一种不同的范式 在无休止的军备竞赛中，攻击者将利用人工智能来产生能够绕过基于人工智能的保护解决方案的威胁。然而，要使所有攻击成功，它们必须破坏目标系统上的资源。 如果目标资源不存在，或者不断被改变 ( 移动 ) ，那么目标系统的机会就会降低一个数量级。 举个例子，假设一名训练有素且极其聪明的狙击手试图攻破目标。如果目标隐藏起来，或者不断移动，狙击手的成功机会就会降低，甚至会因为在错误的位置反复射击而危及狙击手。 利用 AMTD 阻止生成性 AI 攻击 进入自动移动目标防御 (AMTD) 系统，旨在通过变形——随机化系统资源——移动目标来防止复杂的攻击。 Morphisec 的预防优先安全 ( 由 AMTD 提供支持 ) 使用获得专利的零信任执行技术来主动阻止规避攻击。当应用程序加载内存空间时，该技术会变形并隐藏进程结构和其他系统资源，部署轻量级骨架陷阱来欺骗攻击者。无法访问原始资源，恶意代码失败，从而停止并记录具有完整取证详细信息的攻击。 这种预防优先的方法可以冷酷地阻止攻击，即使它们绕过了现有的基于人工智能的端点保护工具。因此， AMTD 系统提供了针对复杂攻击的额外一层防御层。由于防止了攻击，信息安全团队获得了关键的时间来调查威胁，同时知道他们的系统是安全的。 AMTD 的确定性还意味着该解决方案会生成高保真警报，这有助于确定安全团队工作的优先顺序，从而减少警报疲劳。 Morphisec 的 AMTD 技术可保护 5,000 个组织中的 900 多万个终端，每天可防止绕过现有终端安全解决方案的数以万计的规避攻击和内存攻击，包括零日攻击、勒索软件、供应链攻击等。 Morphisec 阻止的攻击通常是未知的，该公司的威胁实验室团队首先在野外观察到了这些攻击。 Morphisec 最近阻止的规避威胁的例子： -GuLoader ——一种针对美国法律和投资公司的先进变体。 -InvalidPrinter ——一个高度隐蔽的加载器，在 Morphisec 披露的时候对病毒总数没有检测。 -SYS01 Stealer ——瞄准政府和关键基础设施。 -ProxyShellMiner—— 针对 MS-Exchange 中的 ProxyShell 漏洞的一个新变体。 -Babuk 勒索软件 —— 被 Morphisec 阻止的泄漏的 Babuk 勒索软件的一个新的未知变体，但观察到需要两周以上的主要 EPPs 和 EDRs 来调整他们的检测逻辑。 - 遗留系统 —— 为 windows 和 Linux 遗留操作系统提供强大的保护。 Morphisec 阻止了数百个针对 windows 7 、 8 、 2008r2 、 2012 和遗留 Linux 发行版的恶意软件家族。 AMTD 的威力已经证明，它与多波终端保护解决方案一起证明了其有效性，攻击者已开发出绕过它们的策略。从基于签名的 AV 、 ML-Powered NextGen AVs(NGAV) 到目前的 EDR 和 XDR 。 AMTD 是终端保护的自然演变，提供真正的安全保护，免受人工智能攻击。 联系我们 Tel: 13533491614 邮箱：network@hcaco.com 官网：haocst.com

医疗数据安全面临严峻挑战 01 医疗数据泄露事件愈演愈烈 最近的统计数据 表明：近 三年内，在数据泄露中暴露的 个 人 医疗 信息数量 增加 了 300%。在暗网上， 个 人 医疗 信息（ PHI）的售价高达每条1000美元。根据Critical Insight的一份报告，2021年有超过4500万份 患者资料 在数据泄露中被曝光。这意味着去年约有七分之一 的 美国人 被盗取了 姓名、家庭住址、社会安全号码，甚至生物识别数据等信息。现在，仅 医疗信息泄露 就占了所有大型数据泄露事件的 30%。 20世纪90年代 以来，医疗信息数据化 技术 不断发展， 《 健康保险流通与责任法案 》 ( 下称 HIPAA) 正式立法 ， 最大程度地降低患者信息泄露风险成为医疗服务机构工作的重中之重 。 02网络威胁变得越来越难以发现 2 021年1月23日 ， 克罗格药房的高管接到布洛克团伙入侵的通知 。 一周后，克罗格 又 收到了 500万美元的赎金要求 和 超过 500,000名克罗格客户的 个 人健康信息被盗的证据。 尽管 他们所有系统都是在线的，网络 也 没有 出现 恶意 攻击 的迹象 ， 但 还是发生了这起 规模巨大 的 数据泄露事件。 这场网络攻击到底是如何进行的？ CLOP用了一个已知的Accellion文件共享漏洞作为攻击媒介 ， 来攻击 克罗格制药公司的 网络 。 CLOP使用零日攻击获得入口，然后在设备内存中部署DEWMODE Web外壳来访问和渗透数十万条 个 人健康信息， 但 不会引发任何终端安全解决方案警报。这种情况正变得越来越普遍。随着医疗 服务行业 攻击面的不断扩大，医疗零日攻击达到历史最高水平， 攻击者 有更多的 地方 进入网络， 并在 进入网络 后 就隐藏起来。 根据 IBM的数据，一个医疗机构平均需要329天的时间来检测和控制一 次 数据泄露。 然而 ，威胁者正越来越多地使用不产生签名或依赖磁盘可执行文件的恶意软件。去年，使用 Cobalt Strike beacons等无签名工具的无文件攻击率飙升了900%。这类威胁可能会绕过EDR或AV 等通过 签名和识别已知威胁 行为的工具 。 03 网络攻击 对 医疗机构 造成严重损失 对于小型的医疗机构来说，网络攻击造成的停机成本可能较低。但对一家中等规模的医疗机构来说，一个完整的漏洞所造成的停机时间的平均成本是 45,700美元/h。在这种威胁环境下，医疗服务机构继续依赖反应性策略是极不可取的。 显然，为了应对不断增加的医疗网络攻击，医疗领域的数据安全需要探索新的发展方向。 如何保障医疗领域的数据安全？ 01医疗领域网络安全防御亟待转变方向 改善医疗网络的安全状况需要向零信任环境和深度防御（ DiD）战略迈进。然而，即使是基本的零信任要求，如强制要求多因素认证（MFA）或在特定时间限制后禁用账户，也很难执行。医疗保健人员对影响其生产力或影响生活的安全控制措施的容忍度很小。对安全团队来说，克服这些障碍面临着程序和政治上的挑战。 02 保障医疗数据安全的有效措施 现在，加强零信任和深化 DiD在技术上和经济上都是可行的。Morphisec轻量级、革命性的移动目标防御（MTD）技术可以主动阻止下一代反病毒（NGAV）、终端检测和响应（EDR）无法持续检测的高级无文件和运行时攻击。移动目标防御（MTD）技术在不影响用户体验的同时，为医疗保健服务器和终端带来零信任保护。 03 移动目标防御(MTD)技术如何实现零信任保护？ 移动目标防御（ MTD）技术将应用程序内存变成一个无信任的环境，随机变化受信任的运行时应用程序代码并自动阻止未经授权的代码。它会不断改变真正的入口，留下假的入口，但不会影响任何授权的应用程序和进程。如果未经授权的代码试图在目标上执行，它就会打开一扇“假门”，将其困住，以便进行取证分析。不用先行识别或分析，MTD能在它们部署和造成破坏之前，主动阻止最先进的破坏性攻击。另外，MTD增加了一个超轻量级的主动防御层，填补了其他安全解决方案无法有效弥补的运行时漏洞的安全缺口。因此，MTD对设备性能没有影响，也不需要监控。这对医疗机构网络安全环境来说是非常重要的。 获取更多资讯 敬请联系我们