【虹科白皮書】通過移動目標(biāo)防御阻止勒索軟件和其他高級威脅

今天的網(wǎng)絡(luò)安全解決方案并不能對抗威脅者的高級攻擊。在SolarWinds漏洞事件發(fā)生后，即使是最大的公司和最安全的公共機(jī)構(gòu)也有嚴(yán)重的漏洞暴露。如果現(xiàn)有的解決方案能夠發(fā)揮作用，勒索軟件漏洞就不會發(fā)生，也不會造成如此大的經(jīng)濟(jì)破壞、品牌侵蝕和業(yè)務(wù)損失。在這種環(huán)境下，需要像移動目標(biāo)防御（MTD）這樣的顛覆性創(chuàng)新技術(shù)來改善網(wǎng)絡(luò)安全。

技術(shù)研究公司Gartner確定了推動安全市場創(chuàng)新的最具影響力的新興技術(shù)。他們認(rèn)為移動目標(biāo)防御是提高內(nèi)存、網(wǎng)絡(luò)、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù)。這是因為移動目標(biāo)防御被證明可以阻止勒索軟件和其他高級零日攻擊，使預(yù)防為主的安全成為現(xiàn)實。

但讓我們退一步講。到2025年，對網(wǎng)絡(luò)安全的投資預(yù)計將增長到3160億美元。但是，網(wǎng)絡(luò)攻擊造成的損失正以指數(shù)級的速度上升，預(yù)計到2025年將達(dá)到10萬億美元以上。Infosecurity雜志報道，2021年贖金軟件的平均付款額達(dá)到創(chuàng)紀(jì)錄的57萬美元，而2020年為31.2萬美元–這比2019年高出171%。

傳統(tǒng)的解決方案，如下一代防病毒（NGAV）、端點保護(hù)平臺（EPP）和端點檢測和響應(yīng)（EDR）解決方案，確實可以通過公認(rèn)的簽名和行為模式阻止已知的攻擊。但它們并不能防止先進(jìn)的攻擊，而這些攻擊是當(dāng)今對企業(yè)打擊最大的攻擊。繼續(xù)保持網(wǎng)絡(luò)安全的現(xiàn)狀，只會使這種情況變得更糟。

為什么？因為即使是由人工智能、機(jī)器學(xué)習(xí)或異常檢測輔助的傳統(tǒng)解決方案也需要事先接觸到攻擊，以 “學(xué)習(xí) “如何阻止后續(xù)威脅。簽名和基于行為的防御措施在挫敗已知攻擊方面非常出色。但它們對高級持久性威脅，如零日、無文件、自定義打包的惡意軟件、內(nèi)存中白名單繞過和運行時攻擊，基本上是盲目的。

為傳統(tǒng)的網(wǎng)絡(luò)安全解決方案提供動力

這意味著目前受信任的技術(shù)錯過了許多攻擊–包括最具破壞性的，如最初攻擊Minecraft的Log4J漏洞。當(dāng)這些攻擊沒有被發(fā)現(xiàn)或預(yù)防時，安全團(tuán)隊只能在損害開始后做出反應(yīng)。僅僅基于這些解決方案的網(wǎng)絡(luò)安全使企業(yè)面臨重大的合規(guī)罰款、訴訟和品牌損害。

也就是說，已知的攻擊也必須被阻止。因此，基于簽名和類似的防御措施仍然是任何安全戰(zhàn)略所不可或缺的。NGAV、EPP和EDR是努力實現(xiàn)零信任架構(gòu)（ZTA）框架的重要工具（如下所述）。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了。它們的終點就是基于移動目標(biāo)防御的ZTA戰(zhàn)略的起點。

那么什么是ZTA？2020年8月，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了一個名為零信任架構(gòu)（ZTA）的框架（800-207）。這份文件建議對端點采用零信任方法，以確保成熟的網(wǎng)絡(luò)安全態(tài)勢。在ZTA框架內(nèi)，沒有任何東西具有信任狀態(tài)。相反，所有的東西都必須經(jīng)過驗證和授權(quán)，早期和反復(fù)的驗證。移動目標(biāo)防御幫助安全團(tuán)隊采用ZTA并接受阻止高級攻擊所需的變化。

塞翁失馬，焉知非福

大多數(shù)的安全團(tuán)隊都有很大的資源和時間限制。因此，他們往往無法實施一個完整的ZTA框架。他們通常專注于建立強(qiáng)大和可觀的防御，這些防御在本質(zhì)上是靜態(tài)的–圍繞重要端點的防御’墻’。這種方法不再有效。

為什么？一個熟悉的、不變的攻擊面使壞人很容易找到、到達(dá)和破壞他們的預(yù)定目標(biāo)。繞過現(xiàn)有防御措施（如NGAV、EPP和EDR解決方案）的威脅給IT安全團(tuán)隊帶來巨大壓力。而且，它們導(dǎo)致了重大的經(jīng)濟(jì)損失。如果感覺網(wǎng)絡(luò)安全總是在追趕，那是使用 “掘地三尺 “的防御措施的結(jié)果，這些防御措施對最具規(guī)避性的攻擊是無效的。

但是，如果你能創(chuàng)造一個靈活的攻擊面，就像一架能夠晃動的戰(zhàn)斗機(jī)一樣，會怎么樣呢？這就是移動目標(biāo)防御背后的理念。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)，它正在成為數(shù)字防御的主導(dǎo)范式。

什么是移動目標(biāo)防御

移動目標(biāo)防御是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法，它的運作原理是移動的目標(biāo)比固定的目標(biāo)更難擊中。它不斷轉(zhuǎn)移和隱藏犯罪分子的進(jìn)入點，以拒絕他們的訪問，補(bǔ)充反應(yīng)性的防御措施，如基于簽名的防病毒防御系統(tǒng)。此外，它還設(shè)置陷阱，捕捉威脅者的行動，以進(jìn)一步防范未來的攻擊。一個更正式的定義如下：

“移動目標(biāo)防御通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊，以不可預(yù)測的方式隱藏應(yīng)用程序、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo)，導(dǎo)致攻擊面大幅減少，安全運營成本降低?！?/i>

有一個關(guān)于移動目標(biāo)防御的工作方式的比喻。每家銀行的門上都有鎖（下一代防病毒），以防止騙子進(jìn)入。也許還有錄像機(jī)（端點保護(hù)或端點檢測和響應(yīng)）來警告犯罪者，并在犯罪分子穿透防線時記錄非法活動。

大多數(shù)攻擊都是按照規(guī)定的路線到達(dá)其預(yù)定目標(biāo)。但是，如果該路線中的入口點一直處于運動狀態(tài)，那么它們就是不可預(yù)測的和未知的。因此，當(dāng)攻擊者不能找到他們所期望的–進(jìn)入一個組織的門或窗–他們就會失敗。鑒于延續(xù)這些攻擊的額外努力和成本，大多數(shù)攻擊者會轉(zhuǎn)向其他更容易的目標(biāo)。

移動目標(biāo)防御將漏洞和弱點隱藏起來，不影響當(dāng)前的NGAV、EPP或EDR功能。它確保在零日、勒索軟件和其他高級攻擊造成損害之前就被阻止。

MTD可以應(yīng)用在網(wǎng)絡(luò)、主機(jī)和應(yīng)用層面。這三種類型都有價值，但應(yīng)用層面是最重要的。這是因為應(yīng)用程序、操作系統(tǒng)和端點資源是最受歡迎的攻擊入口。

在應(yīng)用層面上阻止攻擊意味著即使他們在之前的層面上取得成功，最終仍然會失敗。這是攻擊變成事件之前的最后一道防線。MTD在惡意軟件部署之前阻止攻擊。而且，它不需要設(shè)備資源的壓力，不需要人類分析員的干預(yù)，甚至不需要強(qiáng)大的互聯(lián)網(wǎng)連接。

移動目標(biāo)防御的概念很簡單，但它的影響卻很深遠(yuǎn)：網(wǎng)絡(luò)安全不再停滯不前。相反，它超越并戰(zhàn)勝了攻擊者。當(dāng)防御系統(tǒng)保持移動時，他們會比攻擊者領(lǐng)先一步。面對MTD，處于劣勢的是攻擊者，而不是防御者。

對于一個現(xiàn)實世界的例子，Morphisec的MTD的三個步驟包括：

1.變形和隱蔽。當(dāng)一個應(yīng)用程序加載到內(nèi)存空間時，Morphisec會安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對攻擊者來說始終是不可預(yù)測的。

2.保護(hù)和欺騙。合法的應(yīng)用程序代碼內(nèi)存被動態(tài)更新以使用變形的資源。應(yīng)用程序照常加載和運行。原有結(jié)構(gòu)的架構(gòu)被作為一個陷阱留下。

3.防止和暴露攻擊。攻擊以原始結(jié)構(gòu)為目標(biāo)，但無法找到他們期望和需要的資源。攻擊會被立即阻止、抓獲，并記錄下完整的取證細(xì)節(jié)。

什么是零信任架構(gòu)

傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個防御性的外圍，允許任何有授權(quán)的人進(jìn)入。然后，它 “相信 “發(fā)生在外圍的一切都有廣泛的權(quán)限。

不幸的是，攻擊者善于獲得證書，以潛入周邊地區(qū)。一旦進(jìn)入，他們就會利用自己受信任的身份，在不觸發(fā)警報的情況下隨意行動。

在ZTA框架中，沒有任何東西具有信任狀態(tài)，包括筆記本電腦和移動設(shè)備等端點。相反，一切都必須盡早和反復(fù)地進(jìn)行驗證和授權(quán)。零信任盡可能限制訪問權(quán)限，并驗證任何給定的訪問權(quán)限。當(dāng)這種方法應(yīng)用于網(wǎng)絡(luò)安全的各個方面時，攻擊必須克服反復(fù)出現(xiàn)的障礙并逃避不斷的審查。

ZTA在十年的時間里已經(jīng)從一個假設(shè)的框架發(fā)展成為網(wǎng)絡(luò)安全的核心。2021年5月，拜登政府簽署了第14028號行政命令，指示NIST更新ZTA框架等授權(quán)。所有聯(lián)邦機(jī)構(gòu)以及與這些機(jī)構(gòu)有業(yè)務(wù)往來的人都必須遵守。

無數(shù)安全團(tuán)隊要么首次采用NIST ZTA，要么將其推向安全戰(zhàn)略的最前沿。所有跡象都表明，ZTA將更多地成為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

躲避攻擊的剖析

仔細(xì)研究規(guī)避攻擊可以清楚地了解為什么ZTA和移動目標(biāo)防御對于網(wǎng)絡(luò)安全至關(guān)重要。在過去的一年里，零日漏洞利用和勒索軟件攻擊創(chuàng)下了記錄。隨著大量資源支撐著網(wǎng)絡(luò)犯罪，攻擊者在逃避檢測和預(yù)防方面只會越來越好。

攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實性。該列表始終在擴(kuò)展和發(fā)展，但一些關(guān)鍵技術(shù)包括：

多態(tài)性 – 更改惡意軟件簽名

變形 – 在執(zhí)行時更改惡意軟件代碼

混淆 – 混淆惡意活動

自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)

反虛擬機(jī)/沙盒 – 更改行為以逃避取證分析

防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試

加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查

行為更改 – 在執(zhí)行之前等待使用活動

事實證明，這些規(guī)避技術(shù)非常有效，攻擊者的優(yōu)勢隨著時間的推移而擴(kuò)大。

零信任承認(rèn)了這一現(xiàn)實。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會失敗。因此，安全性必須圍繞資產(chǎn)本身。ZTA MTD保護(hù)目標(biāo)而不是入口點。這縮小了攻擊面，并防止了破壞安全外層的攻擊。

終端：網(wǎng)絡(luò)安全的新前沿

近年來，終端已經(jīng)從物理設(shè)備發(fā)展到各種虛擬等效設(shè)備。流行的例子包括虛擬桌面基礎(chǔ)架構(gòu)（VDI）、云工作負(fù)載和遠(yuǎn)程桌面，所有這些最近都得到了迅速的采用。它們已成為現(xiàn)代辦公室的重要工具。但是，在此過程中，它們也已成為嚴(yán)重的安全負(fù)擔(dān) – 攻擊者敏銳地意識到了這一點。

針對遠(yuǎn)程桌面協(xié)議 （RDP） 的攻擊增加了兩倍多，針對云服務(wù)的攻擊增加了500%以上。盡管存在令人不安的安全漏洞，但 VDI 使用率仍增加了 100%。這些新終結(jié)點的示例具有幾個共同點。傳統(tǒng)的終端安全方法不容易或充分保護(hù)它們。他們每個人都依賴眾多的信任關(guān)系，這些關(guān)系使他們面臨剝削，原因如前所述。

從勒索軟件到零日威脅，再到社會工程計劃，終端攻擊越來越普遍，而且具有破壞性。在一項調(diào)查中，近70%的受訪者看到終端攻擊增加，并成為至少一個攻擊的受害者。

向遠(yuǎn)程工作的突然轉(zhuǎn)變使許多現(xiàn)有的終端防御措施不足或過時。它解釋了終端攻擊激增的部分原因。但更大的解釋是構(gòu)成終端的擴(kuò)展。這為黑客提供了更大的攻擊目標(biāo)和新的漏洞利用。

移動目標(biāo)防御具有無與倫比的能力，使ZTA終端安全變得簡單有效。MTD 將防御重點放在應(yīng)用程序內(nèi)存上，大多數(shù)攻擊都試圖攻擊應(yīng)用程序內(nèi)存。它可以挫敗這些攻擊，而無需提前發(fā)現(xiàn)它們或轉(zhuǎn)移攻擊。它使端點免受未知和規(guī)避威脅，而無需擴(kuò)展的安全設(shè)備。基于MTD的ZTA使攻擊者最難贏得最后的戰(zhàn)斗。

移動目標(biāo)防御是網(wǎng)絡(luò)安全的下一個時代

規(guī)避攻擊者專注于終端。隨著新的違規(guī)行為成為頭條新聞，安全團(tuán)隊必須以不同的方式做出反應(yīng)和思考，以保護(hù)其組織的福祉。

網(wǎng)絡(luò)攻擊的下一個時代已經(jīng)到來。下一個網(wǎng)絡(luò)安全時代需要做出回應(yīng)。當(dāng)今同類最佳的網(wǎng)絡(luò)安全需要將 ZTA 技術(shù)與 MTD 技術(shù)相結(jié)合。安全團(tuán)隊?wèi)?yīng)該關(guān)注速度而不是實力;智能而不是規(guī)模。