Gartner發布了一份專注于自動移動目標防御(AMTD)技術的新報告。該公司將其稱為“一種新興的改變游戲規則的技術,用于改善網絡防御……。有效地緩解了許多已知的威脅,并可能在十年內緩解大多數零日漏洞,進一步將風險轉移到人類和業務流程上。“
僅靠靜態防御是不夠的
網絡安全的發展始于反病毒(AV)軟件,該軟件提供對二進制文件和文件的靜態分析,以檢查它們是否與已知的惡意軟件相對應。下一代反病毒(NGAV)軟件和終端保護平臺增加了動態分析,可在沙箱環境中執行文件并觀察該文件。終點檢測和響應(EDR/XDR/MDR)通過行為分析進一步說明了這一點。EDR技術觀察計算機上的執行,連接到重要函數/系統調用以實時了解行為,并不僅分析二進制代碼,還分析圍繞執行的一切。
移動目標防御(MTD)技術是網絡安全的下一步演進,與之前的技術不同,它是預防性的,而不是專注于檢測和反應。MTD基于軍事戰略中的一個基本前提,即運動目標比靜止目標更難攻擊。MTD使用策略來協調整個攻擊面上IT環境的移動或更改,以增加攻擊者的不確定性和復雜性。
根據這份報告,自動化MTD通過引入戰略變化來減少暴露的攻擊面,同時增加對攻擊者的偵察和惡意攻擊的成本。AMTD包括移動、更改、混淆或變形攻擊面,以擾亂對手的網絡殺傷鏈。
AMTD的四要素
根據Gartner的說法,這項技術包括四個主要元素:“主動的網絡防御機制;自動協調攻擊面的移動或變化;欺騙技術的使用,以及執行智能(預先計劃的)變化決策的能力。”
請注意,雖然欺騙是(A)MTD的一個關鍵技術組成部分,但它并不是它的同義詞。虹科摩菲斯的下表概述了欺騙技術、MTD和AMTD之間的區別。
移動目標防御MTD和欺騙
技術 | 優點 | |
虹科摩菲斯自動移動目標防御 | 將自動MTD與欺騙相結合; 自動變形系統資源,使其無法成為目標,并設置變形資源的誘餌陷阱; 任何對誘餌的訪問都會觸發報告和可見性攻擊的通知。 | 確定性攻擊防御; 直接保護資源; 通過全面的攻擊序列可見性,可立即緩解威脅; 擴大并填補NGAV、EPP和EDR/XDR/MDR中的未知威脅/內存中的安全漏洞。 |
“傳統的”移動目標防御 | 該解決方案通過更改不同系統資源的位置使其不能成為目標,從而對不同的系統資源進行變形/隨機化; 通常不包括欺騙因素。 | 直接保護資源; 通過全面的攻擊序列可見性,可立即緩解威脅; 擴大并填補NGAV、EPP和EDR/XDR/MDR中的未知威脅/內存中的安全漏洞。 |
欺騙 | 在整個系統中放置誘餌資源以引誘攻擊者; 接近誘餌會觸發保護機制。 | 獲取誘餌時的確定性攻擊防御; 不直接保護系統資源-因為它們不是變形的,它們仍然容易受到攻擊。 |
例如,虹科摩菲斯的專利自動移動目標防御技術使用系統多態性來創建隨機、動態的運行時內存環境,移動應用程序內存、API和其他操作系統資源,同時保留誘餌陷阱。這使得威脅參與者幾乎不可能找到他們正在尋找的東西--你無法擊中你看不到的東西。
任何試圖在誘餌上執行的代碼都會被自動報告和捕獲以進行取證分析,同時真正的系統資源保持安全并防止攻擊。正如Kentucky Trailer的IT副總裁Rick Schibler所說:“摩菲斯的移動目標防御對于強化我們的攻擊面至關重要。”
AMTD的市場影響
多年來,在現代戰爭戰略中,AMTD在軍事學說中被證明是成功的。然而,Gartner指出,從歷史上看,AMTD在商業網絡安全中的使用一直是有限的,但現在這種情況正在改變。該公司表示,各種新興安全技術迅速轉向安全程序和底層技術,以增加攻擊者的負擔,迫使他們更加努力地工作,否則他們的惡意努力將徹底失敗。
目前,下一代防病毒(NGAV)、終端保護平臺(EPP)以及終端檢測和響應(EDR/XDR/MDR)等反應性、基于檢測的技術主導著網絡安全市場。這些技術的工作原理是,首先檢測惡意文件或行為模式,然后對其進行響應。它們本質上是反應性的。報告建議,預防應該是一個更重要的重點。盡管預防并不是安全技術中的靈丹妙藥,但Gartner認為,有必要鼓勵市場專注于前景看好的與預防相關的新技術。
考慮到攻擊者投入攻擊偵察以發現漏洞和利用受害者系統的正確方式,AMTD的預防性方法尤其重要。許多現代網絡攻擊具有高度的針對性,并為規避和繞過特定的防御層而量身定做。
該報告提到了與運營技術(OT)相關的用例。由于行業的多樣性和行業環境的專業性,惡意攻擊者需要投入時間和資源來收集成功所需的情報。AMTD方法,如模糊和系統變形,在防御這種高度定向的攻擊方面特別有價值。這種預防性方法在保護終端和服務器工作負載(通常是組織最大的攻擊面)方面特別有效。
出于這個原因,Gartner預測“到2025年,25%的云應用程序將利用AMTD功能和概念作為內置預防方法,增強現有的云Web應用程序和API保護(WAAP)技術。”該公司還預測,“到2025年,基于AMTD的解決方案將取代至少15%的只專注于檢測和響應的傳統解決方案,而2023年這一比例不到2%。”Gartner預計,到2030年,基于AMTD的抗利用漏洞的硬件和軟件將出現,“將安全重點進一步轉移到業務流程、身份濫用和社會工程預防上,而不是應用、終端和工作負載安全戰略。”
Gartner提供了AMTD自動化概念的一個例子:
確定目標資產;
選擇變形間隔;
自動進行資產重新配置。
我們相信,虹科摩菲斯的技術融合了所有這三個概念,保護了多個系統資源,并由于欺騙技術而包括了攻擊可見性。
自動化MTD已經出現-而且它被證明是有效的
已有超過5,000家公司在大約900萬個終端以及Windows和Linux服務器上部署了虹科摩菲斯的自動移動目標防御技術。他們使用它來增強NGAV、EPP和EDR/MDR解決方案,并阻止這些解決方案無法檢測到的最高級和不可檢測的攻擊。兩個這樣的例子包括:
TruGreen
總部位于田納西州孟菲斯的TruGreen是美國最大的定制草坪護理和治療服務提供商,擁有超過12,000名員工,年收入超過15億美元。
TruGreen的首席安全架構師Dale Slawinski說,TruGreen部署了摩菲斯的AMTD軟件,并發現“在我們之前的解決方案中,需要7個代理才能完成我們僅用一個虹科摩菲斯代理所做的相同事情。”
該公司實現了2.3倍的投資回報,同時將軟件成本削減了三分之二,并將誤報削減了95%。
TruGreen每年都會引入一個客觀的第三方來進行滲透測試,以確定網絡犯罪分子可以利用的漏洞。TruGreen的網絡安全工程師瑞安·帕根(Ryan Pagan)表示:“今年,我們第一次能夠阻止測試者侵入我們的一個終端。”在實施了摩菲斯后,測試員無法找出是什么阻止了他的破解。他花了幾個小時試圖破解我們的安全系統,但沒能破解。測試人員對我們說,‘通常情況下,我們可以繞過終端安全問題,但我們無法繞過摩菲斯。’“
AltraIndustrial Motion
Altra Industrial Motion(Altra Motion)是一家美國機械動力傳動產品制造商,在17個國家擁有9100名員工,收入17億美元。
Altra Motion首席信息官里克·克洛茨說:“花費的美元與安全價值無關。我們在MDR提供商上花了很多錢,但我們仍然被攻破,不得不自己做很多工作。”
Altra Motion使用摩菲斯 AMTD部署了Microsoft Defender,以保護其關鍵基礎架構免受已知和未知攻擊。
虹科摩菲斯的AMTD技術的預防能力使Klotz的團隊采用了一種全新的安全態勢,具有更高的運營效率。所以現在,“我們沒有花太多時間在檢測和響應上,”Klotz說,“因為我們不需要這樣做。”相反,他們專注于培訓人員、改進流程和規劃新出現的威脅。這些都是他們現在擁有資源的高級別計劃,因為AMTD阻止了他們用來檢測和防止他們用來補救的損害的攻擊。
AMTD擴大了30%的關鍵安全差距
虹科摩菲斯使用自動移動目標防御來主動阻止最復雜和最具破壞性的網絡攻擊,而不需要事先了解它們——甚至不需要檢測它們。
像NGAV這樣的網絡安全工具需要來自以前攻擊的惡意軟件文件簽名,以便它們可以識別惡意文件來檢測和響應它們。像EPP和EDR/XDR/MDR這樣的工具需要以前攻擊的可識別的行為模式來檢測和響應它們。而這些工具在這種情況下工作得很好。
但它們有一個安全漏洞-未知攻擊、躲避攻擊和那些針對運行時內存的攻擊,這些工具無法有效地掃描這些攻擊。為了量化這一差距,虹科摩菲斯分析了Picus Labs 2021 Red Report,該報告基于對200,000個惡意軟件樣本的分析。Red Report根據觀察到的惡意軟件樣本的百分比確定了最流行的10種MITRE ATT&CK技術。兩個主要發現是:
逃避防御是最常見的攻擊和攻擊戰術:在TA005中,觀察到的十大攻擊和攻擊技術中有五個被歸類為逃避防御戰術
內存是現在攻擊者更喜歡攻擊的地方:觀察到的前六種攻擊和攻擊技術中有四種是在內存中
防御逃避和運行時內存攻擊是當今以檢測為重點的解決方案的關鍵弱點。虹科摩菲斯將這些發現與現實世界的分析相結合,涵蓋5,000多個客戶,900萬個端點和30,000個日常事件。基于檢測的解決方案努力阻止十大最流行、最具破壞性的MITRE攻擊和攻擊技術中的至少三種,這是一個關鍵的30%的安全漏洞。而虹科摩菲斯的預防優先,終端和服務器的AMTD軟件始終可以防止這些攻擊和更多。
威脅行為者非常清楚這一差距。這正是供應鏈攻擊、無文件攻擊、內存攻擊、勒索軟件和零日攻擊等最先進的網絡攻擊存在的原因。這就是為什么如此多的攻擊不斷成為頭條新聞的原因,盡管組織表面上有基于檢測的工具來保護。這些攻擊成功地逃避了檢測。
虹科摩菲斯的AMTD專門用于解決這一安全漏洞,并阻止未知的、逃避性的攻擊,以及針對運行時內存的攻擊。同時,它還大幅削減了誤報警報,減少了分析師對其進行調查的需要。AMTD是一種超輕量級的代理,不會導致性能下降,易于部署,易于技術堆棧集成,不需要維護或更新,因此大大降低了總擁有成本。
自動化MTD提供深度防御,以阻止NGAV、EPP和EDR/XDR/MDR不具備的最復雜和最具破壞性的攻擊。
虹科入侵防御方案
虹科終端安全解決方案,針對最高級的威脅提供了以預防為優先的安全,阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標防御(AMTD)技術為支持。AMTD是一項提高網絡防御水平并改變游戲規則的新興技術,能夠阻止勒索軟件、供應鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明,AMTD是網絡的未來,其提供了超輕量級深度防御安全層,以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下,針對無法檢測的網絡攻擊縮小他們的運行時內存安全漏洞。超過5,000家組織信任摩菲斯來保護900萬臺Windows和Linux服務器、工作負載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫療中心等數千次高級攻擊。
虹科摩菲斯的自動移動目標防御ATMD做到了什么?
1、主動進行預防(簽名、規則、IOCs/IOA);
2、主動自動防御運行時內存攻擊、防御規避、憑據盜竊、勒索軟件;
3、在執行時立即阻止惡意軟件;
4、為舊版本操作系統提供全面保護;
5、可以忽略不計的性能影響(CPU/RAM);
6、無誤報,通過確定警報優先級來減少分析人員/SOC的工作量。
-
網絡安全
+關注
關注
10文章
3155瀏覽量
59702 -
虹科電子
+關注
關注
0文章
601瀏覽量
14340
發布評論請先 登錄
相關推薦
評論