虹科技術(shù) | 終端安全 | 服務器并不像您想象的那么安全

在從1到10的評分中，現(xiàn)狀方法對服務器安全的有效性如何？

從理論上講，應該是10分。保護服務器免受外界影響的途徑(分段、防火墻、漏洞修補、安全解決方案等)是眾所周知的。

然而，現(xiàn)實生活的結(jié)果顯示出與理論的巨大差距。從紅十字會到優(yōu)步，今年的新聞標題充斥著服務器安全漏洞的例子。利用面向互聯(lián)網(wǎng)的服務是2021年的主要攻擊媒介，占事件的50%以上。

在金融領域，90%的入侵涉及服務器。在CISA的2021年最受攻擊漏洞列表中，服務器攻擊技術(shù)構(gòu)成了大多數(shù)漏洞，其中包括Log4j、Microsoft Exchange、Active Directory、FortiOS、Accellion FTA等漏洞。

服務器安全面臨的三個現(xiàn)實障礙

服務器安全顯然沒有發(fā)揮應有的作用。相反，我們生活在一個高級威脅正在尋找安全漏洞的世界。它們正在越過防火墻、下一代防病毒(NGAV)解決方案以及終端檢測和響應(EDR)防御，而這些本應是堅不可摧的。這些工具顯然沒有解決現(xiàn)實世界服務器環(huán)境的弱點。

遺留系統(tǒng)

2019年，微軟估計超過60%的Windows服務器仍在使用Windows 2008，Windows 2008將于2020年停產(chǎn)(EOL)。Windows 2012將在2023年失去支持。

停產(chǎn)的Windows和Linux操作系統(tǒng)以及它們所部署的遺留系統(tǒng)無處不在。它們實際上也是不可替代的，通常為關鍵流程提供動力。使用掃描安全解決方案來保護它們幾乎是不可能的。EOL和傳統(tǒng)服務器要么無法容忍現(xiàn)代EDR和NGAV解決方案的計算要求，要么與它們完全不兼容。

停機時間

75%的攻擊利用了兩年以上的漏洞。為什么服務器漏洞不打補??？許多組織被迫在服務器正常運行時間和補丁延遲之間進行權(quán)衡。

為關鍵操作提供支持或受制于嚴格的服務級別協(xié)議的服務器無法承受與修補相關的停機和中斷。如果打補丁的成本高得令人望而卻步，或者實際上是不可能的，那么關鍵服務器不可避免地會受到眾所周知的攻擊。

性能

EDR和其他網(wǎng)絡安全工具需要大量的CPU/內(nèi)存和互聯(lián)網(wǎng)帶寬才能有效運行。運行關鍵應用程序或支持虛擬機的服務器對這些資源要求非常敏感。

因此，部署像EDR這樣的安全解決方案可能需要進一步的投資來升級服務器硬件或增加云容量，特別是如果它們不是專門針對Windows和/或Linux服務器構(gòu)建的。

服務器安全漏洞

部署在服務器上的安全解決方案必須發(fā)揮微妙的平衡作用。他們不能：

●給服務器計算帶來太大的壓力并降低性能。
●產(chǎn)生太多誤報，導致服務器停機，并給本已緊張的網(wǎng)絡安全人員和資源帶來更大壓力。

這些限制意味著，像EDR這樣依賴概率掃描和檢測的解決方案只能做到這一點。

供應商和安全團隊可以調(diào)整EDR，以一定的準確性和速度發(fā)現(xiàn)可能的惡意代碼或活動-但只能在一定程度上。如果您將EDR的敏感度調(diào)至最高，則由于性能下降和誤報警報的數(shù)量，它保護的服務器實際上將變得不可用。

這種動態(tài)導致了安全漏洞。

首先，掃描解決方案的有限能力意味著，對于大多數(shù)組織來說，服務器內(nèi)存是一個沒有防御措施的環(huán)境。因此，服務器很容易受到無文件和內(nèi)存中的攻擊。根據(jù)Picus 2021年紅色報告，這些攻擊構(gòu)成了野外最常見的五種MITRE ATT&CK技術(shù)中的三種。

假設EDR發(fā)現(xiàn)服務器受到威脅，安全團隊采取行動。這通常是一個造成了多大破壞的問題，而不是襲擊是否已經(jīng)停止的問題。

這種反應滯后讓網(wǎng)絡犯罪分子有足夠的時間轉(zhuǎn)移攻擊，危害他們的目標。平均而言，組織需要212天才能檢測到漏洞。

全年工作總結(jié)

服務器防御-具有移動目標防御的縱深防御

服務器一直是風險的來源，但供應商提供的保護服務器的解決方案并沒有采取足夠的措施來降低風險。
從應用程序漏洞到內(nèi)存中發(fā)生的合法進程，服務器面臨著針對其環(huán)境不同部分的一系列威脅。這意味著任何組織都不能依賴一站式解決方案來降低服務器泄露風險。EDR平臺不足以進行有效的服務器防御。

相反，服務器應該由多層同類最好的解決方案來保護。

盡管EDR在網(wǎng)絡安全中發(fā)揮著關鍵作用，但它并不總是可行的，也無法阻止服務器面臨的所有攻擊。雖然對已知威脅有效，但根據(jù)定義，基于概率掃描的解決方案(如EDR)將錯過躲避的惡意軟件，從而造成安全漏洞。

保護服務器安全的最佳方法是使用縱深防御策略。這從基本的安全衛(wèi)生開始。需要仔細配置服務器，并控制和限制對它們的訪問。要阻止已知的威脅，一流的NGAV和EDR也很重要。

為了擊敗這些解決方案錯過的威脅并保護它們忽略的傳統(tǒng)服務器，使用移動目標防御(MTD)技術(shù)來增強NGAV和EDR。被Gartner認為是一項有影響力的新興技術(shù)，MTD改變運行時內(nèi)存環(huán)境以創(chuàng)建不可預測的攻擊面，以確定性和主動性的方式阻止威脅，而不是以概率和反應性的方式。

MTD：

●保護舊式和EOL服務器。通過保護內(nèi)存中的服務器，MTD可繞過兼容性問題，并在EOL支持結(jié)束后很長一段時間內(nèi)保護服務器。

●阻止內(nèi)存中的高級威脅。MTD阻止零日攻擊、無文件攻擊、內(nèi)存攻擊、供應鏈攻擊和其他高級威脅，這些威脅旨在通過利用內(nèi)存安全漏洞來逃避當前的網(wǎng)絡安全工具。

Morphisec的MTD技術(shù)獲得專利，為我們的Windows和Linux服務器保護解決方案Keep和Knight提供動力。它不需要部署或維護額外的人員，不需要停機，在空閑的環(huán)境中運行，不會顯著影響服務器性能，也不需要重新啟動。

擴展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標防御的領導者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預防解決方案，每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標)

供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關鍵應用程序，windows和linux本地和云服務器提供解決方案，2MB大小快速部署。