虹科分享 | 終端威脅防御 | 為什么高級(jí)威脅正在取勝？

證據(jù)清楚地表明，盡管網(wǎng)絡(luò)安全投資在不斷擴(kuò)大，但復(fù)雜的網(wǎng)絡(luò)威脅越來(lái)越成功。優(yōu)步和蘋(píng)果等家喻戶(hù)曉的品牌，殖民地管道等基本服務(wù)提供商，甚至整個(gè)民族國(guó)家都成為網(wǎng)絡(luò)攻擊的受害者，這些攻擊逃避了同類(lèi)最好的控制。除了頭條新聞，襲擊事件也在螺旋式上升。每分鐘不止一次，才華橫溢、資金充裕的安全團(tuán)隊(duì)在理應(yīng)先進(jìn)的威脅防御系統(tǒng)被攻破后，只能收拾殘局。

將當(dāng)今的網(wǎng)絡(luò)攻擊聯(lián)系在一起的一個(gè)共同線(xiàn)索是，它們具有令人難以置信的破壞性?，F(xiàn)在，威脅在受害者網(wǎng)絡(luò)中徘徊的時(shí)間比以往任何時(shí)候都要長(zhǎng)。2020至2021年間，攻擊者停留時(shí)間增加了36%。而且爆炸半徑比過(guò)去大得多。

因此，制定有效的戰(zhàn)略來(lái)阻止高級(jí)威脅從未像現(xiàn)在這樣重要。

高級(jí)威脅的工作原理

很久以前，即使是最基本的計(jì)算機(jī)病毒也是高級(jí)威脅。在無(wú)法阻止它們的情況下，像ILOVEYOU蠕蟲(chóng)這樣的惡意軟件可能會(huì)在21世紀(jì)初危害數(shù)千萬(wàn)臺(tái)電腦。作為回應(yīng)，反病毒(AV)程序被構(gòu)建來(lái)防御這些威脅。他們的工作前提是在受保護(hù)的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)并隔離看起來(lái)危險(xiǎn)的文件、行為和附件。

威脅參與者在回應(yīng)中發(fā)生了變化，像WANNACRY、Petya和NotPetya這樣的攻擊被認(rèn)為是高級(jí)的、自我傳播的威脅。作為回應(yīng)，下一代反病毒軟件(NGAV)應(yīng)運(yùn)而生。因此，威脅做出了回應(yīng)。高級(jí)勒索軟件現(xiàn)在以服務(wù)形式提供(RAAS)。開(kāi)源惡意軟件被黑客社區(qū)利用。事實(shí)證明，像SolarWinds和Kaseya這樣的供應(yīng)鏈攻擊尤其具有破壞性。

基于端點(diǎn)保護(hù)平臺(tái)(EPP)和端點(diǎn)檢測(cè)和響應(yīng)(EDR)等技術(shù)的現(xiàn)代安全堆棧的工作方式類(lèi)似于早期的防病毒程序。這些技術(shù)比早期的同類(lèi)技術(shù)在發(fā)現(xiàn)和阻止威脅方面做得更好。但它們都是在相同的“搜索和摧毀”概念下運(yùn)作的。因此，典型的企業(yè)級(jí)安全態(tài)勢(shì)幾乎完全依賴(lài)于發(fā)現(xiàn)并隔離磁盤(pán)和網(wǎng)絡(luò)環(huán)境中的已知威脅。

這些基本的安全控制和基于簽名、模式和AI的解決方案仍然是必不可少的。但它們不再足以創(chuàng)造真正的安全。如今，最危險(xiǎn)的威脅旨在繞過(guò)和逃避網(wǎng)絡(luò)安全工具。

高級(jí)威脅不會(huì)出現(xiàn)在大多數(shù)安全解決方案的雷達(dá)上，直到為時(shí)已晚，如果真的有的話(huà)。他們使用與合法系統(tǒng)管理員相同的應(yīng)用程序來(lái)探測(cè)網(wǎng)絡(luò)并橫向移動(dòng)。

破解版本的紅色團(tuán)隊(duì)工具，如Cobalt Strike，允許威脅參與者攻擊設(shè)備內(nèi)存中的合法進(jìn)程。這些工具允許攻擊者在使用合法應(yīng)用程序時(shí)搜索內(nèi)存中存在的密碼和可利用的錯(cuò)誤。它們還隱藏了防御者在應(yīng)用程序運(yùn)行時(shí)無(wú)法有效地掃描內(nèi)存的地方。

因此，高級(jí)威脅繞過(guò)了基于掃描的安全解決方案(在運(yùn)行時(shí)不能查看內(nèi)存)和像Allow Listing這樣的控制。根據(jù)Picus最近的一份報(bào)告，91%的Darkside勒索軟件事件使用了合法的工具和進(jìn)程。

高級(jí)威脅在運(yùn)行時(shí)存在于內(nèi)存中，在重啟、磁盤(pán)重新格式化和重新安裝設(shè)備操作系統(tǒng)的嘗試中也可以幸存下來(lái)。

這些復(fù)雜的攻擊過(guò)去只有國(guó)家支持的威脅參與者才能做。然而，今天，它們很常見(jiàn)。被黑客攻擊的Cobalt Strike版本允許威脅參與者以廉價(jià)和輕松的方式攻擊受害者的記憶。去年，排名前五的攻擊技術(shù)中有三種涉及設(shè)備內(nèi)存。

如何阻止高級(jí)威脅

高級(jí)威脅正在利用典型企業(yè)安全狀態(tài)-設(shè)備內(nèi)存中的明顯安全漏洞。但他們是可以被阻止的。

從長(zhǎng)遠(yuǎn)來(lái)看，防止威脅損害內(nèi)存的最好方法是在應(yīng)用程序和設(shè)備中構(gòu)建更好的防御。軟件開(kāi)發(fā)人員可以做更多的工作來(lái)構(gòu)建對(duì)內(nèi)存利用的緩解。它們可能會(huì)使威脅參與者更難利用合法網(wǎng)絡(luò)管理員使用的相同工具。

但是，只要應(yīng)用程序構(gòu)建并集成新功能(并且總是會(huì)產(chǎn)生錯(cuò)誤)，內(nèi)存損壞就是可能的。對(duì)于在遙遠(yuǎn)的未來(lái)仍將在IT環(huán)境中運(yùn)行的數(shù)以百萬(wàn)計(jì)的傳統(tǒng)設(shè)備和應(yīng)用程序而言，情況尤其如此。

目前，安全團(tuán)隊(duì)為阻止高級(jí)威脅所能做的最好的事情是添加控制，從一開(kāi)始就阻止對(duì)設(shè)備內(nèi)存的訪(fǎng)問(wèn)：
●建立縱深防御。沒(méi)有一種控制或解決方案可以保護(hù)組織免受高級(jí)威脅。安全團(tuán)隊(duì)必須在從終端 到業(yè)務(wù)關(guān)鍵型服務(wù)器的每一層創(chuàng)建冗余。

●實(shí)行零信任。零信任的概念已經(jīng)有47年的歷史了。然而，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，這仍然是一個(gè)難以實(shí)現(xiàn)的目標(biāo)。根據(jù)Forrester最近的一項(xiàng)研究，實(shí)施零信任的組織將數(shù)據(jù)泄露的機(jī)會(huì)降低了50%。

●使用移動(dòng)目標(biāo)防御(MTD)技術(shù)保護(hù)設(shè)備內(nèi)存。您不能在運(yùn)行時(shí)有效地掃描設(shè)備內(nèi)存。但您可以使密碼等記憶資產(chǎn)對(duì)威脅參與者實(shí)際上是不可見(jiàn)的。使用使用MTD變形(隨機(jī)化)內(nèi)存的解決方案，使威脅無(wú)法找到他們的目標(biāo)。

使用MTD構(gòu)建高級(jí)威脅防御

NGAV、EPP和EDR等解決方案仍然是任何組織安全戰(zhàn)略的重要組成部分。它們對(duì)于阻止大多數(shù)表現(xiàn)出可識(shí)別特征和行為模式的攻擊鏈至關(guān)重要。

然而，隨著零日攻擊、內(nèi)存威脅和無(wú)文件攻擊方法的增加，這些工具給防御者留下了一個(gè)嚴(yán)重的安全漏洞。迫切需要一種不同的解決方案來(lái)有效防御這些高級(jí)威脅目標(biāo)的攻擊載體。它可以防止內(nèi)存受損并阻止以前未見(jiàn)過(guò)的威脅。

進(jìn)入移動(dòng)目標(biāo)防御(MTD)。被Gartner稱(chēng)為最具影響力的新興技術(shù)之一，MTD創(chuàng)造了一個(gè)不可預(yù)測(cè)的內(nèi)存攻擊面。這使得威脅不可能找到它們尋求的資源，無(wú)論它們有多復(fù)雜。同樣重要的是，MTD技術(shù)與其他網(wǎng)絡(luò)安全解決方案無(wú)縫集成，易于實(shí)施，并且可擴(kuò)展。

今日推薦

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶(hù)的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類(lèi)攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門(mén)程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。請(qǐng)聯(lián)系我們免費(fèi)獲?。?/p>

虹科是在各細(xì)分專(zhuān)業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡(jiǎn)單！憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來(lái)與世界行業(yè)內(nèi)頂級(jí)供應(yīng)商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動(dòng)態(tài)防御），網(wǎng)絡(luò)安全評(píng)級(jí)，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時(shí)間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國(guó)內(nèi)外專(zhuān)業(yè)協(xié)會(huì)和聯(lián)盟的活動(dòng)，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國(guó)通信企業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們?cè)诓粩鄤?chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴(lài)的方案，堅(jiān)持與客戶(hù)一起思考，從工程師角度發(fā)現(xiàn)問(wèn)題，解決問(wèn)題，為客戶(hù)提供完美的解決方案。