證據(jù)清楚地表明,盡管網(wǎng)絡(luò)安全投資在不斷擴(kuò)大,但復(fù)雜的網(wǎng)絡(luò)威脅越來(lái)越成功。優(yōu)步和蘋(píng)果等家喻戶(hù)曉的品牌,殖民地管道等基本服務(wù)提供商,甚至整個(gè)民族國(guó)家都成為網(wǎng)絡(luò)攻擊的受害者,這些攻擊逃避了同類(lèi)最好的控制。除了頭條新聞,襲擊事件也在螺旋式上升。每分鐘不止一次,才華橫溢、資金充裕的安全團(tuán)隊(duì)在理應(yīng)先進(jìn)的威脅防御系統(tǒng)被攻破后,只能收拾殘局。
將當(dāng)今的網(wǎng)絡(luò)攻擊聯(lián)系在一起的一個(gè)共同線(xiàn)索是,它們具有令人難以置信的破壞性?,F(xiàn)在,威脅在受害者網(wǎng)絡(luò)中徘徊的時(shí)間比以往任何時(shí)候都要長(zhǎng)。2020至2021年間,攻擊者停留時(shí)間增加了36%。而且爆炸半徑比過(guò)去大得多。
因此,制定有效的戰(zhàn)略來(lái)阻止高級(jí)威脅從未像現(xiàn)在這樣重要。
高級(jí)威脅的工作原理
很久以前,即使是最基本的計(jì)算機(jī)病毒也是高級(jí)威脅。在無(wú)法阻止它們的情況下,像ILOVEYOU蠕蟲(chóng)這樣的惡意軟件可能會(huì)在21世紀(jì)初危害數(shù)千萬(wàn)臺(tái)電腦。作為回應(yīng),反病毒(AV)程序被構(gòu)建來(lái)防御這些威脅。他們的工作前提是在受保護(hù)的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)并隔離看起來(lái)危險(xiǎn)的文件、行為和附件。
威脅參與者在回應(yīng)中發(fā)生了變化,像WANNACRY、Petya和NotPetya這樣的攻擊被認(rèn)為是高級(jí)的、自我傳播的威脅。作為回應(yīng),下一代反病毒軟件(NGAV)應(yīng)運(yùn)而生。因此,威脅做出了回應(yīng)。高級(jí)勒索軟件現(xiàn)在以服務(wù)形式提供(RAAS)。開(kāi)源惡意軟件被黑客社區(qū)利用。事實(shí)證明,像SolarWinds和Kaseya這樣的供應(yīng)鏈攻擊尤其具有破壞性。
基于端點(diǎn)保護(hù)平臺(tái)(EPP)和端點(diǎn)檢測(cè)和響應(yīng)(EDR)等技術(shù)的現(xiàn)代安全堆棧的工作方式類(lèi)似于早期的防病毒程序。這些技術(shù)比早期的同類(lèi)技術(shù)在發(fā)現(xiàn)和阻止威脅方面做得更好。但它們都是在相同的“搜索和摧毀”概念下運(yùn)作的。因此,典型的企業(yè)級(jí)安全態(tài)勢(shì)幾乎完全依賴(lài)于發(fā)現(xiàn)并隔離磁盤(pán)和網(wǎng)絡(luò)環(huán)境中的已知威脅。
這些基本的安全控制和基于簽名、模式和AI的解決方案仍然是必不可少的。但它們不再足以創(chuàng)造真正的安全。如今,最危險(xiǎn)的威脅旨在繞過(guò)和逃避網(wǎng)絡(luò)安全工具。
高級(jí)威脅不會(huì)出現(xiàn)在大多數(shù)安全解決方案的雷達(dá)上,直到為時(shí)已晚,如果真的有的話(huà)。他們使用與合法系統(tǒng)管理員相同的應(yīng)用程序來(lái)探測(cè)網(wǎng)絡(luò)并橫向移動(dòng)。
破解版本的紅色團(tuán)隊(duì)工具,如Cobalt Strike,允許威脅參與者攻擊設(shè)備內(nèi)存中的合法進(jìn)程。這些工具允許攻擊者在使用合法應(yīng)用程序時(shí)搜索內(nèi)存中存在的密碼和可利用的錯(cuò)誤。它們還隱藏了防御者在應(yīng)用程序運(yùn)行時(shí)無(wú)法有效地掃描內(nèi)存的地方。
因此,高級(jí)威脅繞過(guò)了基于掃描的安全解決方案(在運(yùn)行時(shí)不能查看內(nèi)存)和像Allow Listing這樣的控制。根據(jù)Picus最近的一份報(bào)告,91%的Darkside勒索軟件事件使用了合法的工具和進(jìn)程。
高級(jí)威脅在運(yùn)行時(shí)存在于內(nèi)存中,在重啟、磁盤(pán)重新格式化和重新安裝設(shè)備操作系統(tǒng)的嘗試中也可以幸存下來(lái)。
這些復(fù)雜的攻擊過(guò)去只有國(guó)家支持的威脅參與者才能做。然而,今天,它們很常見(jiàn)。被黑客攻擊的Cobalt Strike版本允許威脅參與者以廉價(jià)和輕松的方式攻擊受害者的記憶。去年,排名前五的攻擊技術(shù)中有三種涉及設(shè)備內(nèi)存。
如何阻止高級(jí)威脅
高級(jí)威脅正在利用典型企業(yè)安全狀態(tài)-設(shè)備內(nèi)存中的明顯安全漏洞。但他們是可以被阻止的。
從長(zhǎng)遠(yuǎn)來(lái)看,防止威脅損害內(nèi)存的最好方法是在應(yīng)用程序和設(shè)備中構(gòu)建更好的防御。軟件開(kāi)發(fā)人員可以做更多的工作來(lái)構(gòu)建對(duì)內(nèi)存利用的緩解。它們可能會(huì)使威脅參與者更難利用合法網(wǎng)絡(luò)管理員使用的相同工具。
但是,只要應(yīng)用程序構(gòu)建并集成新功能(并且總是會(huì)產(chǎn)生錯(cuò)誤),內(nèi)存損壞就是可能的。對(duì)于在遙遠(yuǎn)的未來(lái)仍將在IT環(huán)境中運(yùn)行的數(shù)以百萬(wàn)計(jì)的傳統(tǒng)設(shè)備和應(yīng)用程序而言,情況尤其如此。
目前,安全團(tuán)隊(duì)為阻止高級(jí)威脅所能做的最好的事情是添加控制,從一開(kāi)始就阻止對(duì)設(shè)備內(nèi)存的訪(fǎng)問(wèn):
●建立縱深防御。沒(méi)有一種控制或解決方案可以保護(hù)組織免受高級(jí)威脅。安全團(tuán)隊(duì)必須在從終端 到業(yè)務(wù)關(guān)鍵型服務(wù)器的每一層創(chuàng)建冗余。
●實(shí)行零信任。零信任的概念已經(jīng)有47年的歷史了。然而,對(duì)于大多數(shù)企業(yè)來(lái)說(shuō),這仍然是一個(gè)難以實(shí)現(xiàn)的目標(biāo)。根據(jù)Forrester最近的一項(xiàng)研究,實(shí)施零信任的組織將數(shù)據(jù)泄露的機(jī)會(huì)降低了50%。
●使用移動(dòng)目標(biāo)防御(MTD)技術(shù)保護(hù)設(shè)備內(nèi)存。您不能在運(yùn)行時(shí)有效地掃描設(shè)備內(nèi)存。但您可以使密碼等記憶資產(chǎn)對(duì)威脅參與者實(shí)際上是不可見(jiàn)的。使用使用MTD變形(隨機(jī)化)內(nèi)存的解決方案,使威脅無(wú)法找到他們的目標(biāo)。
使用MTD構(gòu)建高級(jí)威脅防御
NGAV、EPP和EDR等解決方案仍然是任何組織安全戰(zhàn)略的重要組成部分。它們對(duì)于阻止大多數(shù)表現(xiàn)出可識(shí)別特征和行為模式的攻擊鏈至關(guān)重要。
然而,隨著零日攻擊、內(nèi)存威脅和無(wú)文件攻擊方法的增加,這些工具給防御者留下了一個(gè)嚴(yán)重的安全漏洞。迫切需要一種不同的解決方案來(lái)有效防御這些高級(jí)威脅目標(biāo)的攻擊載體。它可以防止內(nèi)存受損并阻止以前未見(jiàn)過(guò)的威脅。
進(jìn)入移動(dòng)目標(biāo)防御(MTD)。被Gartner稱(chēng)為最具影響力的新興技術(shù)之一,MTD創(chuàng)造了一個(gè)不可預(yù)測(cè)的內(nèi)存攻擊面。這使得威脅不可能找到它們尋求的資源,無(wú)論它們有多復(fù)雜。同樣重要的是,MTD技術(shù)與其他網(wǎng)絡(luò)安全解決方案無(wú)縫集成,易于實(shí)施,并且可擴(kuò)展。
今日推薦
Morphisec(摩菲斯)
Morphisec(摩菲斯)作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者,已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案,每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊,這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)(EPP)未能檢測(cè)和/或阻止的。(例如,Morphisec客戶(hù)的成功案例,Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下,在第零日就被阻止的此類(lèi)攻擊的例子包括但不限于:
勒索軟件(例如,Conti、Darkside、Lockbit)
后門(mén)程序(例如,Cobalt Strike、其他內(nèi)存信標(biāo))
供應(yīng)鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)
惡意軟件下載程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)
Morphisec(摩菲斯)為關(guān)鍵應(yīng)用程序,windows和linux本地和云服務(wù)器提供解決方案,2MB大小快速部署。
免費(fèi)的Guard Lite解決方案,將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。請(qǐng)聯(lián)系我們免費(fèi)獲?。?/p>
虹科是在各細(xì)分專(zhuān)業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是:讓網(wǎng)絡(luò)安全更簡(jiǎn)單!憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累,近幾年來(lái)與世界行業(yè)內(nèi)頂級(jí)供應(yīng)商Morphisec,DataLocker,SSC,Mend,Apposite,Profitap,Cubro,Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控,數(shù)據(jù)安全,終端安全(動(dòng)態(tài)防御),網(wǎng)絡(luò)安全評(píng)級(jí),網(wǎng)絡(luò)仿真,物聯(lián)網(wǎng)設(shè)備漏洞掃描,安全網(wǎng)絡(luò)時(shí)間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國(guó)內(nèi)外專(zhuān)業(yè)協(xié)會(huì)和聯(lián)盟的活動(dòng),重視技術(shù)培訓(xùn)和積累。
此外,我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國(guó)通信企業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)的工作,為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們?cè)诓粩鄤?chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴(lài)的方案,堅(jiān)持與客戶(hù)一起思考,從工程師角度發(fā)現(xiàn)問(wèn)題,解決問(wèn)題,為客戶(hù)提供完美的解決方案。
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3064瀏覽量
59233
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論