當(dāng)類似SolarWinds漏洞事件發(fā)生時(shí)，很多大型企業(yè)組織機(jī)構(gòu)也被發(fā)現(xiàn)存在嚴(yán)重的漏洞暴露，這反映出目前的網(wǎng)絡(luò)安全解決方案并不足以對(duì)抗不斷演變的高級(jí)攻擊威脅。在此背景下，行業(yè)需要像移動(dòng)目標(biāo)防御（MTD）這樣的創(chuàng)新技術(shù)來改善網(wǎng)絡(luò)安全。研究機(jī)構(gòu)Gartner認(rèn)為，MTD已被證明可以有效阻止勒索軟件和其他高級(jí)零日攻擊，將會(huì)成為提高內(nèi)存、網(wǎng)絡(luò)、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù)，讓主動(dòng)安全防護(hù)理念成為現(xiàn)實(shí)。

　　安全防護(hù)技術(shù)的變革

　　網(wǎng)絡(luò)攻擊包括已知和未知兩種形態(tài)，已知攻擊必須被阻止，因此基于簽名技術(shù)等防御措施仍然是任何組織的安全戰(zhàn)略中不可或缺的部分。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了，企業(yè)安全建設(shè)的終極目標(biāo)應(yīng)該是以MTD為起點(diǎn)，實(shí)現(xiàn)零信任（ZTA）戰(zhàn)略架構(gòu)的構(gòu)建與升級(jí)。在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的零信任架構(gòu)框架（800-207）中，明確建議企業(yè)組織對(duì)端點(diǎn)安全采用零信任方法，以確保更加可靠的網(wǎng)絡(luò)安全防護(hù)態(tài)勢(shì)。在ZTA框架內(nèi)，所有的東西都必須經(jīng)過持續(xù)不斷驗(yàn)證和授權(quán)，MTD技術(shù)可以幫助企業(yè)安全團(tuán)隊(duì)更容易的向ZTA架構(gòu)演進(jìn)。

　　由于時(shí)間和資源的限制，大多數(shù)企業(yè)的安全團(tuán)隊(duì)短時(shí)間內(nèi)還難以實(shí)施一個(gè)完整的ZTA框架。他們通常會(huì)優(yōu)先在網(wǎng)絡(luò)的邊界處建立靜態(tài)的防御體系，這種方法不再有效。

　　為什么？一個(gè)熟悉的、固化的攻擊面很容易被攻擊者發(fā)現(xiàn)、到達(dá)并利用，這將導(dǎo)致重大的經(jīng)濟(jì)損失。如果感覺網(wǎng)絡(luò)安全總是在追趕，那么網(wǎng)絡(luò)攻防兩端的平衡將永遠(yuǎn)無法建立。但是，如果企業(yè)能創(chuàng)造一個(gè)靈活的攻擊面，就像一架能夠高速飛行的戰(zhàn)斗機(jī)一樣，結(jié)果將會(huì)大為改善。這就是移動(dòng)目標(biāo)防御背后的理念。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)之一，它正在成為數(shù)字防御的主導(dǎo)范式。

　　什么是MTD？

　　Gartner對(duì)MTD進(jìn)行了正式的定義：MTD通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊，以不可預(yù)測(cè)的方式隱藏應(yīng)用程序、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo)，導(dǎo)致攻擊面大幅減少，安全運(yùn)營(yíng)成本降低。從定義可以看出，MTD是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法，它的運(yùn)作原理是移動(dòng)的目標(biāo)比固定的目標(biāo)更難擊中，因此可以通過動(dòng)態(tài)或靜態(tài)排列、變形、變換或混淆應(yīng)用訪問入口，來達(dá)到轉(zhuǎn)移網(wǎng)絡(luò)攻擊的目的。此外，MTD還可以設(shè)置陷阱，捕捉威脅者的行動(dòng)，以進(jìn)一步防范未來的攻擊。通過MTD技術(shù)的引用，企業(yè)可以將漏洞和弱點(diǎn)隱藏起來，不影響當(dāng)前的NGAV、EPP或EDR等防護(hù)產(chǎn)品的功能。它可以讓勒索軟件和其他高級(jí)攻擊造成損害之前就被發(fā)現(xiàn)并快速得到阻斷。

　　MTD可以應(yīng)用在網(wǎng)絡(luò)、主機(jī)和應(yīng)用層面。這三種類型都有價(jià)值，但應(yīng)用層面是最重要的。這是因?yàn)閼?yīng)用程序、操作系統(tǒng)和端點(diǎn)資源是最受歡迎的攻擊入口。在應(yīng)用層面上阻止攻擊意味著即使他們?cè)谥暗膶用嫔先〉贸晒?，最終仍然會(huì)失敗。這是攻擊變成事件之前的最后一道防線。而且，MTD不需要占用太多的設(shè)備計(jì)算資源，也不需要安全分析師的頻繁干預(yù)，甚至不會(huì)占用太多的網(wǎng)絡(luò)連接帶寬。

　　盡管MTD的概念聽起來很簡(jiǎn)單，但它的影響卻很深遠(yuǎn)：讓網(wǎng)絡(luò)安全防護(hù)真正的動(dòng)起來。當(dāng)防御系統(tǒng)保持移動(dòng)狀態(tài)時(shí)，他們會(huì)比攻擊者領(lǐng)先一步。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對(duì)抗，MTD的應(yīng)用，將改變一直以來的攻防力量態(tài)勢(shì)，處于劣勢(shì)的將會(huì)是攻擊者，而不是防御者。

　　以Morphisec公司的MTD方案為例，其安全防護(hù)主要包括三個(gè)步驟：

　　1）變形和隱蔽

　　當(dāng)一個(gè)應(yīng)用程序加載到內(nèi)存空間時(shí)，Morphisec會(huì)安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對(duì)攻擊者來說始終是不可預(yù)測(cè)的。

　　2） 保護(hù)和欺騙

　　合法的應(yīng)用程序代碼內(nèi)存會(huì)被動(dòng)態(tài)更新以使用變形的資源，應(yīng)用程序照常加載和運(yùn)行。原有的內(nèi)存空間被作為一個(gè)陷阱留下。

　　3） 防止和暴露攻擊

　　如果攻擊以原始內(nèi)存結(jié)構(gòu)為目標(biāo)發(fā)起，將無法找到他們期望和需要的資源。攻擊會(huì)被立即阻止、抓獲，并記錄下完整的取證細(xì)節(jié)。

　　網(wǎng)絡(luò)安全的下一個(gè)時(shí)代

　　網(wǎng)絡(luò)安全的下一個(gè)時(shí)代已經(jīng)到來。安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)注對(duì)安全威脅的反應(yīng)速度而不是安全能力的堆疊。傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個(gè)防御性的外圍，允許任何有授權(quán)的人進(jìn)入。而在ZTA框架中，沒有任何東西具有信任狀態(tài)，包括筆記本電腦和移動(dòng)設(shè)備等端點(diǎn)。很多跡象都表明，ZTA將更可能成為未來網(wǎng)絡(luò)安全建設(shè)的新標(biāo)準(zhǔn)。

　　在過去的一年里，攻擊者在逃避檢測(cè)和預(yù)防方面做的越來越好，攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實(shí)性，其使用的一些關(guān)鍵技術(shù)包括：

　　多態(tài)性 – 更改惡意軟件簽名

　　變形 – 在執(zhí)行時(shí)更改惡意軟件代碼

　　混淆 – 混淆惡意活動(dòng)

　　自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)

　　反虛擬機(jī)/沙盒 – 更改行為以逃避取證分析

　　防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試

　　加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查

　　行為更改 – 在執(zhí)行之前等待使用活動(dòng)

　　事實(shí)證明，這些技術(shù)在規(guī)避檢測(cè)的時(shí)候非常有效，攻擊者的優(yōu)勢(shì)會(huì)隨著時(shí)間的推移而擴(kuò)大。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會(huì)失敗。因此，安全性必須圍繞資產(chǎn)本身。安全團(tuán)隊(duì)?wèi)?yīng)該為MTD技術(shù)應(yīng)用提前做好準(zhǔn)備，它可以幫助企業(yè)更好地保護(hù)資產(chǎn)本身而不是攻擊入口，將防御重點(diǎn)放在應(yīng)用程序運(yùn)行時(shí)所分配內(nèi)存資源上，實(shí)現(xiàn)對(duì)未知威脅的主動(dòng)防御。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<