如何構(gòu)建深度防御層 | 自動移動目標防御

在當今的威脅環(huán)境中，多層縱深防御是安全團隊獲得安心的唯一方法之一。

為什么?有兩個原因:

1、攻擊面越來越大

隨著DevOps等遠程工作和數(shù)字化轉(zhuǎn)型項目的興起，攻擊面已經(jīng)超出了大多數(shù)安全團隊的定義能力。創(chuàng)建一個完全安全的網(wǎng)絡(luò)邊界是不可能的。正如Twilio漏洞所表明的，威脅參與者甚至可以繞過高級的雙因素認證(2FA)協(xié)議。

2、威脅變得越來越隱晦

進入網(wǎng)絡(luò)環(huán)境的威脅越來越難以發(fā)現(xiàn)，并且離初始訪問點越來越遠。Eurecom大學(xué)(FR)的一項研究回顧了超過17萬個真實的惡意軟件樣本，顯示使用規(guī)避和內(nèi)存中技術(shù)能夠繞過NGAV/EPP/EDRs提供的保護占40%以上。在至少25%的網(wǎng)絡(luò)攻擊中，橫向移動是一個特征。

有針對性和規(guī)避性威脅的增加意味著任何級別的單一安全層(從端點到關(guān)鍵服務(wù)器)都無法依靠自身來阻止攻擊。相反，就像層層身份檢查和保鏢保護VIP一樣，安全團隊需要在關(guān)鍵資產(chǎn)和潛在威脅之間設(shè)置多層安全障礙。

縱深防御不僅僅是部署多種安全產(chǎn)品。在這個過程中，組織可以強化他們的人員、流程和技術(shù)，以產(chǎn)生高度彈性的安全結(jié)果。

虹科推薦的構(gòu)建縱深防御層的最佳實踐：

1.從人開始——根據(jù)Verizon最近的數(shù)據(jù)泄露報告，去年82%的安全漏洞涉及人為錯誤。連接網(wǎng)絡(luò)的個體通過社會工程、犯錯誤或故意允許惡意訪問，使攻擊成為可能。

這一統(tǒng)計數(shù)據(jù)顯示了在任何縱深防御策略中強化“人員層”的重要性。但是，盡管許多組織每年都對個人進行培訓(xùn)，以證明他們符合保險要求，但研究證明，只有少數(shù)人這樣做的頻率足以改變他們的安全態(tài)勢。最好的情況是，人力資源是最后一道防線。

需要更多的培訓(xùn)。然而，安全不應(yīng)該依賴于遵守政策。確保適當?shù)目刂?如多因素身份驗證(MFA))作為備份是至關(guān)重要的。

2.要認識到扁平化的網(wǎng)絡(luò)架構(gòu)≠安全——破壞性的網(wǎng)絡(luò)攻擊不僅僅是熟練的威脅行為者或先進技術(shù)的結(jié)果。通常，受害者自己的網(wǎng)絡(luò)設(shè)計是網(wǎng)絡(luò)罪犯最大的資產(chǎn)。

平面網(wǎng)絡(luò)環(huán)境的默認策略是允許所有設(shè)備和應(yīng)用程序共享信息。盡管這使得網(wǎng)絡(luò)易于管理，但其安全方面的缺點是，一旦平面網(wǎng)絡(luò)中單個網(wǎng)絡(luò)連接的資產(chǎn)被破壞，威脅參與者就相對容易建立橫向移動到網(wǎng)絡(luò)的其他部分。

為了阻止這種情況發(fā)生，安全團隊應(yīng)該使用某種形式的網(wǎng)絡(luò)分段和子網(wǎng)劃分來保護脆弱的網(wǎng)絡(luò)資產(chǎn)，并減緩橫向移動。

網(wǎng)絡(luò)分段還使安全團隊能夠在不破壞整個組織的情況下響應(yīng)和隔離威脅。

3. 在每一層使用最佳技術(shù)——超過70%的安全專業(yè)人員更喜歡最佳解決方案，而不是基于平臺的控制，這是有充分理由的。符合供應(yīng)商營銷策略的安全程序并不總能滿足客戶的實際需求。

針對高級攻擊，統(tǒng)一適用于所有工具或工具集可能會留下空白，并造成與業(yè)務(wù)需求不兼容的管理負擔(dān)。

更好的選擇是根據(jù)需要為每個環(huán)境和業(yè)務(wù)情況定制深度防御工具棧。安全團隊必須查看用戶和系統(tǒng)如何在這些層中運行，并選擇最佳的解決方案。

為了阻止已知的威脅，終端和服務(wù)器必須至少有一個有效的防病毒(AV)。理想情況下，還將提供端點保護(EPP)和端點檢測與響應(yīng)(EDR)。還需要有面向內(nèi)部的解決方案，如安全信息和事件管理(SIEM)或安全編排、自動化和響應(yīng)(SOAR)平臺，該平臺可以集中安全日志，并使安全團隊能夠識別、調(diào)查和減輕風(fēng)險。

在網(wǎng)絡(luò)邊界周圍，防火墻是必不可少的，面向internet的資產(chǎn)需要由Web應(yīng)用程序防火墻(Web Application firewall, WAFs)來保護。

4.確保安全解決方案和應(yīng)用程序得到適當更新和配置——根據(jù)2023年Verizon數(shù)據(jù)泄露調(diào)查報告，未修補的漏洞和錯誤配置占了超過40%的事件。僅使用最佳安全控制是不夠的。這些解決方案、組織的業(yè)務(wù)應(yīng)用程序和操作系統(tǒng)必須不斷地打補丁和正確地配置。

例如，在2021年，Microsoft Exchange上的ProxyLogon漏洞影響了全球數(shù)千個組織。雖然微軟發(fā)布了糾正措施的說明，但ProxyShellMiner等變體目前仍然活躍。

部署移動目標防御（AMTD）防御躲避和內(nèi)存網(wǎng)絡(luò)攻擊

除了這些最佳實踐之外，現(xiàn)實情況是，即使完全部署安全人工智能和自動化，識別和遏制數(shù)據(jù)泄露的平均時間是249天。

因此，保護終端、服務(wù)器和工作負載免受能夠躲避基于檢測技術(shù)提供的保護機制的攻擊是很重要的。

自動移動目標防御(Automated Moving Target Defense, AMTD)是一種重要的深度防御層，因為它在運行時將威脅阻止在脆弱且通常不受保護的空間設(shè)備內(nèi)存中。

像進程注入和PowerShell妥協(xié)這樣的代碼和內(nèi)存利用技術(shù)是MITRE十大最常見的ATT&CK技術(shù)之一。AMTD通過改變內(nèi)存，使其基本上不受威脅，從而降低了這種風(fēng)險。這意味著內(nèi)存資產(chǎn)和漏洞(如哈希密碼和bug)對威脅參與者來說是不可訪問的。

作為深度防御安全態(tài)勢中的一層，AMTD阻止了繞過其他級別控制的零日、無文件和內(nèi)存攻擊。