當類似SolarWinds漏洞事件發(fā)生時，很多大型企業(yè)組織機構也被發(fā)現(xiàn)存在嚴重的漏洞暴露，這反映出目前的網(wǎng)絡安全解決方案并不足以對抗不斷演變的高級攻擊威脅。在此背景下，行業(yè)需要像移動目標防御（MTD）這樣的創(chuàng)新技術來改善網(wǎng)絡安全。研究機構Gartner認為，MTD已被證明可以有效阻止勒索軟件和其他高級零日攻擊，將會成為提高內(nèi)存、網(wǎng)絡、應用程序和操作系統(tǒng)安全性的關鍵技術，讓主動安全防護理念成為現(xiàn)實。

　　安全防護技術的變革

　　網(wǎng)絡攻擊包括已知和未知兩種形態(tài)，已知攻擊必須被阻止，因此基于簽名技術等防御措施仍然是任何組織的安全戰(zhàn)略中不可或缺的部分。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了，企業(yè)安全建設的終極目標應該是以MTD為起點，實現(xiàn)零信任（ZTA）戰(zhàn)略架構的構建與升級。在美國國家標準與技術研究所（NIST）發(fā)布的零信任架構框架（800-207）中，明確建議企業(yè)組織對端點安全采用零信任方法，以確保更加可靠的網(wǎng)絡安全防護態(tài)勢。在ZTA框架內(nèi)，所有的東西都必須經(jīng)過持續(xù)不斷驗證和授權，MTD技術可以幫助企業(yè)安全團隊更容易的向ZTA架構演進。

　　由于時間和資源的限制，大多數(shù)企業(yè)的安全團隊短時間內(nèi)還難以實施一個完整的ZTA框架。他們通常會優(yōu)先在網(wǎng)絡的邊界處建立靜態(tài)的防御體系，這種方法不再有效。

　　為什么？一個熟悉的、固化的攻擊面很容易被攻擊者發(fā)現(xiàn)、到達并利用，這將導致重大的經(jīng)濟損失。如果感覺網(wǎng)絡安全總是在追趕，那么網(wǎng)絡攻防兩端的平衡將永遠無法建立。但是，如果企業(yè)能創(chuàng)造一個靈活的攻擊面，就像一架能夠高速飛行的戰(zhàn)斗機一樣，結果將會大為改善。這就是移動目標防御背后的理念。這也是ZTA網(wǎng)絡安全的目標之一，它正在成為數(shù)字防御的主導范式。

　　什么是MTD？

　　Gartner對MTD進行了正式的定義：MTD通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊，以不可預測的方式隱藏應用程序、操作系統(tǒng)和其他關鍵資產(chǎn)目標，導致攻擊面大幅減少，安全運營成本降低。從定義可以看出，MTD是一種預防為主的網(wǎng)絡攻擊方法，它的運作原理是移動的目標比固定的目標更難擊中，因此可以通過動態(tài)或靜態(tài)排列、變形、變換或混淆應用訪問入口，來達到轉(zhuǎn)移網(wǎng)絡攻擊的目的。此外，MTD還可以設置陷阱，捕捉威脅者的行動，以進一步防范未來的攻擊。通過MTD技術的引用，企業(yè)可以將漏洞和弱點隱藏起來，不影響當前的NGAV、EPP或EDR等防護產(chǎn)品的功能。它可以讓勒索軟件和其他高級攻擊造成損害之前就被發(fā)現(xiàn)并快速得到阻斷。

　　MTD可以應用在網(wǎng)絡、主機和應用層面。這三種類型都有價值，但應用層面是最重要的。這是因為應用程序、操作系統(tǒng)和端點資源是最受歡迎的攻擊入口。在應用層面上阻止攻擊意味著即使他們在之前的層面上取得成功，最終仍然會失敗。這是攻擊變成事件之前的最后一道防線。而且，MTD不需要占用太多的設備計算資源，也不需要安全分析師的頻繁干預，甚至不會占用太多的網(wǎng)絡連接帶寬。

　　盡管MTD的概念聽起來很簡單，但它的影響卻很深遠：讓網(wǎng)絡安全防護真正的動起來。當防御系統(tǒng)保持移動狀態(tài)時，他們會比攻擊者領先一步。網(wǎng)絡安全的本質(zhì)是攻與防的對抗，MTD的應用，將改變一直以來的攻防力量態(tài)勢，處于劣勢的將會是攻擊者，而不是防御者。

　　以Morphisec公司的MTD方案為例，其安全防護主要包括三個步驟：

　　1）變形和隱蔽

　　當一個應用程序加載到內(nèi)存空間時，Morphisec會安全地改變進程結構。這使得內(nèi)存對攻擊者來說始終是不可預測的。

　　2） 保護和欺騙

　　合法的應用程序代碼內(nèi)存會被動態(tài)更新以使用變形的資源，應用程序照常加載和運行。原有的內(nèi)存空間被作為一個陷阱留下。

　　3） 防止和暴露攻擊

　　如果攻擊以原始內(nèi)存結構為目標發(fā)起，將無法找到他們期望和需要的資源。攻擊會被立即阻止、抓獲，并記錄下完整的取證細節(jié)。

　　網(wǎng)絡安全的下一個時代

　　網(wǎng)絡安全的下一個時代已經(jīng)到來。安全團隊應該關注對安全威脅的反應速度而不是安全能力的堆疊。傳統(tǒng)的網(wǎng)絡安全是圍繞著一個防御性的外圍，允許任何有授權的人進入。而在ZTA框架中，沒有任何東西具有信任狀態(tài)，包括筆記本電腦和移動設備等端點。很多跡象都表明，ZTA將更可能成為未來網(wǎng)絡安全建設的新標準。

　　在過去的一年里，攻擊者在逃避檢測和預防方面做的越來越好，攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實性，其使用的一些關鍵技術包括：

　　多態(tài)性 – 更改惡意軟件簽名

　　變形 – 在執(zhí)行時更改惡意軟件代碼

　　混淆 – 混淆惡意活動

　　自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)

　　反虛擬機/沙盒 – 更改行為以逃避取證分析

　　防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試

　　加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查

　　行為更改 – 在執(zhí)行之前等待使用活動

　　事實證明，這些技術在規(guī)避檢測的時候非常有效，攻擊者的優(yōu)勢會隨著時間的推移而擴大。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會失敗。因此，安全性必須圍繞資產(chǎn)本身。安全團隊應該為MTD技術應用提前做好準備，它可以幫助企業(yè)更好地保護資產(chǎn)本身而不是攻擊入口，將防御重點放在應用程序運行時所分配內(nèi)存資源上，實現(xiàn)對未知威脅的主動防御。

更多信息可以來這里獲取==>>電子技術應用-AET<<