虹科分享 | 终端威胁防御 | 为什么高级威胁正在取胜？

证据清楚地表明，尽管网络安全投资在不断扩大，但复杂的网络威胁越来越成功。优步和苹果等家喻户晓的品牌，殖民地管道等基本服务提供商，甚至整个民族国家都成为网络攻击的受害者，这些攻击逃避了同类最好的控制。除了头条新闻，袭击事件也在螺旋式上升。每分钟不止一次，才华横溢、资金充裕的安全团队在理应先进的威胁防御系统被攻破后，只能收拾残局。

将当今的网络攻击联系在一起的一个共同线索是，它们具有令人难以置信的破坏性。现在，威胁在受害者网络中徘徊的时间比以往任何时候都要长。2020至2021年间，攻击者停留时间增加了36%。而且爆炸半径比过去大得多。

因此，制定有效的战略来阻止高级威胁从未像现在这样重要。

高级威胁的工作原理

很久以前，即使是最基本的计算机病毒也是高级威胁。在无法阻止它们的情况下，像ILOVEYOU蠕虫这样的恶意软件可能会在21世纪初危害数千万台电脑。作为回应，反病毒(AV)程序被构建来防御这些威胁。他们的工作前提是在受保护的网络环境中发现并隔离看起来危险的文件、行为和附件。

威胁参与者在回应中发生了变化，像WANNACRY、Petya和NotPetya这样的攻击被认为是高级的、自我传播的威胁。作为回应，下一代反病毒软件(NGAV)应运而生。因此，威胁做出了回应。高级勒索软件现在以服务形式提供(RAAS)。开源恶意软件被黑客社区利用。事实证明，像SolarWinds和Kaseya这样的供应链攻击尤其具有破坏性。

基于端点保护平台(EPP)和端点检测和响应(EDR)等技术的现代安全堆栈的工作方式类似于早期的防病毒程序。这些技术比早期的同类技术在发现和阻止威胁方面做得更好。但它们都是在相同的“搜索和摧毁”概念下运作的。因此，典型的企业级安全态势几乎完全依赖于发现并隔离磁盘和网络环境中的已知威胁。

这些基本的安全控制和基于签名、模式和AI的解决方案仍然是必不可少的。但它们不再足以创造真正的安全。如今，最危险的威胁旨在绕过和逃避网络安全工具。

高级威胁不会出现在大多数安全解决方案的雷达上，直到为时已晚，如果真的有的话。他们使用与合法系统管理员相同的应用程序来探测网络并横向移动。

破解版本的红色团队工具，如Cobalt Strike，允许威胁参与者攻击设备内存中的合法进程。这些工具允许攻击者在使用合法应用程序时搜索内存中存在的密码和可利用的错误。它们还隐藏了防御者在应用程序运行时无法有效地扫描内存的地方。

因此，高级威胁绕过了基于扫描的安全解决方案(在运行时不能查看内存)和像Allow Listing这样的控制。根据Picus最近的一份报告，91%的Darkside勒索软件事件使用了合法的工具和进程。

高级威胁在运行时存在于内存中，在重启、磁盘重新格式化和重新安装设备操作系统的尝试中也可以幸存下来。

这些复杂的攻击过去只有国家支持的威胁参与者才能做。然而，今天，它们很常见。被黑客攻击的Cobalt Strike版本允许威胁参与者以廉价和轻松的方式攻击受害者的记忆。去年，排名前五的攻击技术中有三种涉及设备内存。

如何阻止高级威胁

高级威胁正在利用典型企业安全状态-设备内存中的明显安全漏洞。但他们是可以被阻止的。

从长远来看，防止威胁损害内存的最好方法是在应用程序和设备中构建更好的防御。软件开发人员可以做更多的工作来构建对内存利用的缓解。它们可能会使威胁参与者更难利用合法网络管理员使用的相同工具。

但是，只要应用程序构建并集成新功能(并且总是会产生错误)，内存损坏就是可能的。对于在遥远的未来仍将在IT环境中运行的数以百万计的传统设备和应用程序而言，情况尤其如此。

目前，安全团队为阻止高级威胁所能做的最好的事情是添加控制，从一开始就阻止对设备内存的访问：
●建立纵深防御。没有一种控制或解决方案可以保护组织免受高级威胁。安全团队必须在从终端 到业务关键型服务器的每一层创建冗余。

●实行零信任。零信任的概念已经有47年的历史了。然而，对于大多数企业来说，这仍然是一个难以实现的目标。根据Forrester最近的一项研究，实施零信任的组织将数据泄露的机会降低了50%。

●使用移动目标防御(MTD)技术保护设备内存。您不能在运行时有效地扫描设备内存。但您可以使密码等记忆资产对威胁参与者实际上是不可见的。使用使用MTD变形(随机化)内存的解决方案，使威胁无法找到他们的目标。

使用MTD构建高级威胁防御

NGAV、EPP和EDR等解决方案仍然是任何组织安全战略的重要组成部分。它们对于阻止大多数表现出可识别特征和行为模式的攻击链至关重要。

然而，随着零日攻击、内存威胁和无文件攻击方法的增加，这些工具给防御者留下了一个严重的安全漏洞。迫切需要一种不同的解决方案来有效防御这些高级威胁目标的攻击载体。它可以防止内存受损并阻止以前未见过的威胁。

进入移动目标防御(MTD)。被Gartner称为最具影响力的新兴技术之一，MTD创造了一个不可预测的内存攻击面。这使得威胁不可能找到它们寻求的资源，无论它们有多复杂。同样重要的是，MTD技术与其他网络安全解决方案无缝集成，易于实施，并且可扩展。

今日推荐

Morphisec（摩菲斯）

Morphisec（摩菲斯）作为移动目标防御的领导者，已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，Morphisec客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于：

勒索软件(例如，Conti、Darkside、Lockbit)

后门程序(例如，Cobalt Strike、其他内存信标)

供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes)

恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）为关键应用程序，windows和linux本地和云服务器提供解决方案，2MB大小快速部署。

免费的Guard Lite解决方案，将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取！

虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是：让网络安全更简单！凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括网络全流量监控，数据安全，终端安全（动态防御），网络安全评级，网络仿真，物联网设备漏洞扫描，安全网络时间同步等行业领先解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。

此外，我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。