0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虹科分享|自动移动目标防御AMTD是网络安全的未来——Gartner|自动移动目标防御

虹科网络可视化技术 2023-05-16 09:52 次阅读

Gartner发布了一份专注于自动移动目标防御(AMTD)技术的新报告。该公司将其称为“一种新兴的改变游戏规则的技术,用于改善网络防御……。有效地缓解了许多已知的威胁,并可能在十年内缓解大多数零日漏洞,进一步将风险转移到人类和业务流程上。“

仅靠静态防御是不够的

网络安全的发展始于反病毒(AV)软件,该软件提供对二进制文件和文件的静态分析,以检查它们是否与已知的恶意软件相对应。下一代反病毒(NGAV)软件和终端保护平台增加了动态分析,可在沙箱环境中执行文件并观察该文件。终点检测和响应(EDR/XDR/MDR)通过行为分析进一步说明了这一点。EDR技术观察计算机上的执行,连接到重要函数/系统调用以实时了解行为,并不仅分析二进制代码,还分析围绕执行的一切。

移动目标防御(MTD)技术是网络安全的下一步演进,与之前的技术不同,它是预防性的,而不是专注于检测和反应。MTD基于军事战略中的一个基本前提,即运动目标比静止目标更难攻击。MTD使用策略来协调整个攻击面上IT环境的移动或更改,以增加攻击者的不确定性和复杂性。

根据这份报告,自动化MTD通过引入战略变化来减少暴露的攻击面,同时增加对攻击者的侦察和恶意攻击的成本。AMTD包括移动、更改、混淆或变形攻击面,以扰乱对手的网络杀伤链。

AMTD的四要素

根据Gartner的说法,这项技术包括四个主要元素:“主动的网络防御机制;自动协调攻击面的移动或变化;欺骗技术的使用,以及执行智能(预先计划的)变化决策的能力。”

请注意,虽然欺骗是(A)MTD的一个关键技术组成部分,但它并不是它的同义词。虹科摩菲斯的下表概述了欺骗技术、MTD和AMTD之间的区别。

移动目标防御MTD和欺骗

技术

工作原理

优点

虹科摩菲斯自动移动目标防御

将自动MTD与欺骗相结合;

自动变形系统资源,使其无法成为目标,并设置变形资源的诱饵陷阱;

任何对诱饵的访问都会触发报告和可见性攻击的通知。

确定性攻击防御;

直接保护资源;

通过全面的攻击序列可见性,可立即缓解威胁;

扩大并填补NGAV、EPP和EDR/XDR/MDR中的未知威胁/内存中的安全漏洞。

“传统的”移动目标防御

该解决方案通过更改不同系统资源的位置使其不能成为目标,从而对不同的系统资源进行变形/随机化;

通常不包括欺骗因素。

直接保护资源;

通过全面的攻击序列可见性,可立即缓解威胁;

扩大并填补NGAV、EPP和EDR/XDR/MDR中的未知威胁/内存中的安全漏洞。

欺骗

在整个系统中放置诱饵资源以引诱攻击者;

接近诱饵会触发保护机制。

获取诱饵时的确定性攻击防御;

不直接保护系统资源-因为它们不是变形的,它们仍然容易受到攻击。

例如,虹科摩菲斯的专利自动移动目标防御技术使用系统多态性来创建随机、动态的运行时内存环境,移动应用程序内存、API和其他操作系统资源,同时保留诱饵陷阱。这使得威胁参与者几乎不可能找到他们正在寻找的东西--你无法击中你看不到的东西。

任何试图在诱饵上执行的代码都会被自动报告和捕获以进行取证分析,同时真正的系统资源保持安全并防止攻击。正如Kentucky Trailer的IT副总裁Rick Schibler所说:“摩菲斯的移动目标防御对于强化我们的攻击面至关重要。”

AMTD的市场影响

多年来,在现代战争战略中,AMTD在军事学说中被证明是成功的。然而,Gartner指出,从历史上看,AMTD在商业网络安全中的使用一直是有限的,但现在这种情况正在改变。该公司表示,各种新兴安全技术迅速转向安全程序和底层技术,以增加攻击者的负担,迫使他们更加努力地工作,否则他们的恶意努力将彻底失败。

目前,下一代防病毒(NGAV)、终端保护平台(EPP)以及终端检测和响应(EDR/XDR/MDR)等反应性、基于检测的技术主导着网络安全市场。这些技术的工作原理是,首先检测恶意文件或行为模式,然后对其进行响应。它们本质上是反应性的。报告建议,预防应该是一个更重要的重点。尽管预防并不是安全技术中的灵丹妙药,但Gartner认为,有必要鼓励市场专注于前景看好的与预防相关的新技术。

考虑到攻击者投入攻击侦察以发现漏洞和利用受害者系统的正确方式,AMTD的预防性方法尤其重要。许多现代网络攻击具有高度的针对性,并为规避和绕过特定的防御层而量身定做。

该报告提到了与运营技术(OT)相关的用例。由于行业的多样性和行业环境的专业性,恶意攻击者需要投入时间和资源来收集成功所需的情报。AMTD方法,如模糊和系统变形,在防御这种高度定向的攻击方面特别有价值。这种预防性方法在保护终端和服务器工作负载(通常是组织最大的攻击面)方面特别有效。

出于这个原因,Gartner预测“到2025年,25%的云应用程序将利用AMTD功能和概念作为内置预防方法,增强现有的云Web应用程序和API保护(WAAP)技术。”该公司还预测,“到2025年,基于AMTD的解决方案将取代至少15%的只专注于检测和响应的传统解决方案,而2023年这一比例不到2%。”Gartner预计,到2030年,基于AMTD的抗利用漏洞的硬件和软件将出现,“将安全重点进一步转移到业务流程、身份滥用和社会工程预防上,而不是应用、终端和工作负载安全战略。”

Gartner提供了AMTD自动化概念的一个例子:

确定目标资产;

选择变形间隔;

自动进行资产重新配置。

bc80bb14-f121-11ed-ba01-dac502259ad0.png

我们相信,虹科摩菲斯的技术融合了所有这三个概念,保护了多个系统资源,并由于欺骗技术而包括了攻击可见性。

自动化MTD已经出现-而且它被证明是有效的

已有超过5,000家公司在大约900万个终端以及Windows和Linux服务器上部署了虹科摩菲斯的自动移动目标防御技术。他们使用它来增强NGAV、EPP和EDR/MDR解决方案,并阻止这些解决方案无法检测到的最高级和不可检测的攻击。两个这样的例子包括:

TruGreen

总部位于田纳西州孟菲斯的TruGreen是美国最大的定制草坪护理和治疗服务提供商,拥有超过12,000名员工,年收入超过15亿美元。

TruGreen的首席安全架构师Dale Slawinski说,TruGreen部署了摩菲斯的AMTD软件,并发现“在我们之前的解决方案中,需要7个代理才能完成我们仅用一个虹科摩菲斯代理所做的相同事情。”

该公司实现了2.3倍的投资回报,同时将软件成本削减了三分之二,并将误报削减了95%。

TruGreen每年都会引入一个客观的第三方来进行渗透测试,以确定网络犯罪分子可以利用的漏洞。TruGreen的网络安全工程师瑞安·帕根(Ryan Pagan)表示:“今年,我们第一次能够阻止测试者侵入我们的一个终端。”在实施了摩菲斯后,测试员无法找出是什么阻止了他的破解。他花了几个小时试图破解我们的安全系统,但没能破解。测试人员对我们说,‘通常情况下,我们可以绕过终端安全问题,但我们无法绕过摩菲斯。’“

AltraIndustrial Motion

Altra Industrial Motion(Altra Motion)是一家美国机械动力传动产品制造商,在17个国家拥有9100名员工,收入17亿美元。

Altra Motion首席信息官里克·克洛茨说:“花费的美元与安全价值无关。我们在MDR提供商上花了很多钱,但我们仍然被攻破,不得不自己做很多工作。”

Altra Motion使用摩菲斯 AMTD部署了Microsoft Defender,以保护其关键基础架构免受已知和未知攻击。

虹科摩菲斯的AMTD技术的预防能力使Klotz的团队采用了一种全新的安全态势,具有更高的运营效率。所以现在,“我们没有花太多时间在检测和响应上,”Klotz说,“因为我们不需要这样做。”相反,他们专注于培训人员、改进流程和规划新出现的威胁。这些都是他们现在拥有资源的高级别计划,因为AMTD阻止了他们用来检测和防止他们用来补救的损害的攻击。

AMTD扩大了30%的关键安全差距

虹科摩菲斯使用自动移动目标防御来主动阻止最复杂和最具破坏性的网络攻击,而不需要事先了解它们——甚至不需要检测它们。

像NGAV这样的网络安全工具需要来自以前攻击的恶意软件文件签名,以便它们可以识别恶意文件来检测和响应它们。像EPP和EDR/XDR/MDR这样的工具需要以前攻击的可识别的行为模式来检测和响应它们。而这些工具在这种情况下工作得很好。

但它们有一个安全漏洞-未知攻击、躲避攻击和那些针对运行时内存的攻击,这些工具无法有效地扫描这些攻击。为了量化这一差距,虹科摩菲斯分析了Picus Labs 2021 Red Report,该报告基于对200,000个恶意软件样本的分析。Red Report根据观察到的恶意软件样本的百分比确定了最流行的10种MITRE ATT&CK技术。两个主要发现是:

逃避防御是最常见的攻击和攻击战术:在TA005中,观察到的十大攻击和攻击技术中有五个被归类为逃避防御战术

内存是现在攻击者更喜欢攻击的地方:观察到的前六种攻击和攻击技术中有四种是在内存中

防御逃避和运行时内存攻击是当今以检测为重点的解决方案的关键弱点。虹科摩菲斯将这些发现与现实世界的分析相结合,涵盖5,000多个客户,900万个端点和30,000个日常事件。基于检测的解决方案努力阻止十大最流行、最具破坏性的MITRE攻击和攻击技术中的至少三种,这是一个关键的30%的安全漏洞。而虹科摩菲斯的预防优先,终端和服务器的AMTD软件始终可以防止这些攻击和更多。

威胁行为者非常清楚这一差距。这正是供应链攻击、无文件攻击、内存攻击、勒索软件和零日攻击等最先进的网络攻击存在的原因。这就是为什么如此多的攻击不断成为头条新闻的原因,尽管组织表面上有基于检测的工具来保护。这些攻击成功地逃避了检测。

虹科摩菲斯的AMTD专门用于解决这一安全漏洞,并阻止未知的、逃避性的攻击,以及针对运行时内存的攻击。同时,它还大幅削减了误报警报,减少了分析师对其进行调查的需要。AMTD是一种超轻量级的代理,不会导致性能下降,易于部署,易于技术堆栈集成,不需要维护或更新,因此大大降低了总拥有成本。

自动化MTD提供深度防御,以阻止NGAV、EPP和EDR/XDR/MDR不具备的最复杂和最具破坏性的攻击。

虹科入侵防御方案

虹科终端安全解决方案,针对最高级的威胁提供了以预防为优先的安全,阻止从终端到云的其他攻击。虹科摩菲斯以自动移动目标防御(AMTD)技术为支持。AMTD是一项提高网络防御水平并改变游戏规则的新兴技术,能够阻止勒索软件、供应链攻击、零日攻击、无文件攻击和其他高级攻击。Gartner研究表明,AMTD是网络的未来,其提供了超轻量级深度防御安全层,以增强NGAV、EPP和EDR/XDR等解决方案。我们在不影响性能或不需要额外工作人员的情况下,针对无法检测的网络攻击缩小他们的运行时内存安全漏洞。超过5,000家组织信任摩菲斯来保护900万台Windows和Linux服务器、工作负载和终端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民医疗中心等数千次高级攻击。
虹科摩菲斯的自动移动目标防御ATMD做到了什么?
1、主动进行预防(签名、规则、IOCs/IOA);
2、主动自动防御运行时内存攻击、防御规避、凭据盗窃、勒索软件;
3、在执行时立即阻止恶意软件;
4、为旧版本操作系统提供全面保护;
5、可以忽略不计的性能影响(CPU/RAM);
6、无误报,通过确定警报优先级来减少分析人员/SOC的工作量。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59701
  • 虹科电子
    +关注

    关注

    0

    文章

    601

    浏览量

    14340
收藏 人收藏

    评论

    相关推荐

    IDS、IPS与网安防御

    入侵检测系统(IDS)和入侵防御系统(IPS)是网络安全防御的重要工具。 入侵检测系统通过持续分析网络流量和系统日志等信息,当发现可疑传输时,IDS会迅速发出警报,通知管理员采取相应措施。例如,当
    的头像 发表于 09-18 10:42 359次阅读

    网络安全技术商CrowdStrike与英伟达合作

    网络安全技术商CrowdStrike与英伟达合作共同研发更先进的网络防御解决方案;提升CrowdStrike Falcon平台的威胁检测速度和准确性。将通过人工智能原生平台CrowdStrike
    的头像 发表于 08-28 16:30 1357次阅读

    Copilot for Security帮您在AI时代应对复杂的网络安全挑战

    近期,随着生成式AI技术的普及,许多新型网络攻击如深度伪造(Deepfake)、黑产大语言模型、恶意AI机器人、自动化攻击等正在流行和演变,在全球造成了严重危害。而同时,随着移动设备的普及,
    的头像 发表于 07-08 14:36 829次阅读

    无人机主动防御系统不起作用吗

    主动防御系统的工作原理 雷达探测 无人机主动防御系统首先需要通过雷达探测到敌方无人机的存在。雷达是一种利用电磁波探测目标的设备,它可以发射电磁波并接收反射回来的信号,从而确定目标的位置
    的头像 发表于 07-08 09:57 511次阅读

    和普威视低空安全防御系统

    和普威视先进的集探、侦、控、扰、诱、捕于一体的反无人机自动防御系统,可全天、全时、全维有效保障重点区域的低空安全
    的头像 发表于 06-07 14:23 601次阅读
    和普威视低空<b class='flag-5'>安全防御</b>系统

    华为提出业界首个L4级AI安全智能体,迈入智能防御新时代

    2024华为分析师大会期间,在“加速迈向网络智能化”论坛上,华为提出业界首个L4级AI安全智能体,该智能体架构为人工智能时代全球网络安全防御提供了新的思路和方向,引领网络安全迈入智能
    的头像 发表于 04-19 09:23 614次阅读

    谷歌在日本设立网络防御中心

    近日,谷歌在日本东京宣布设立亚太地区的首个网络防御中心,此举标志着谷歌在加强地区网络安全方面的重大进展。该中心将作为谷歌与日本政府、企业、大学等合作的重要平台,共同推进网络安全政策研究
    的头像 发表于 03-08 14:14 823次阅读

    知语云智能科技无人机防御系统:应对新兴威胁的先锋力量

    作为知语云智能科技的创新产品,具备高效、智能、安全等特点。该系统通过先进的雷达探测技术,能够迅速发现目标无人机,并进行精确跟踪。同时,结合高速计算机处理技术和智能算法,无人机防御系统能够准确判断
    发表于 02-26 16:35

    知语云全景监测技术:现代安全防护的全面解决方案

    防护的全面解决方案,凭借其强大的实时监测、智能分析、主动防御等功能,以及易于部署、易于管理的优势,正在为越来越多的用户所认可和应用。在未来,随着技术的不断进步和应用场景的不断拓展,知语云全景监测技术必将在网络安全领域发挥更加重要
    发表于 02-23 16:40

    APP盾的防御机制及应用场景

    移动应用(APP)在我们日常生活中扮演着越来越重要的角色,但随之而来的是各种网络安全威胁的增加。为了保障APP的安全性,APP盾作为一种专门设计用于防御
    的头像 发表于 01-20 08:31 2070次阅读
    APP盾的<b class='flag-5'>防御</b>机制及应用场景

    分享】一种动态防御策略——移动目标防御(MTD)

    文章主要探讨了网络安全领域中的动态防御策略,特别是针对规避性威胁的“移动目标防御”(MTD)技术。本文分析了攻击者常用的规避技术,并探讨了如
    的头像 发表于 01-04 14:07 559次阅读
    【<b class='flag-5'>虹</b><b class='flag-5'>科</b>分享】一种动态<b class='flag-5'>防御</b>策略——<b class='flag-5'>移动</b><b class='flag-5'>目标</b><b class='flag-5'>防御</b>(MTD)

    一种动态防御策略——移动目标防御(MTD)

    网络攻击的技术变得愈发难测,网络攻击者用多态性、混淆、加密和自我修改乔装他们的恶意软件,以此逃避防御性的检测,于是移动目标
    的头像 发表于 01-04 08:04 1476次阅读
    一种动态<b class='flag-5'>防御</b>策略——<b class='flag-5'>移动</b><b class='flag-5'>目标</b><b class='flag-5'>防御</b>(MTD)

    联网自动驾驶机器人的网络安全

    联网自动驾驶机器人的网络安全
    的头像 发表于 12-26 10:37 390次阅读
    联网<b class='flag-5'>自动</b>驾驶机器人的<b class='flag-5'>网络安全</b>

    干货】Linux越来越容易受到攻击,怎么防御

    随着网络攻击手段的不断进化,传统的安全机制(如基于签名的防病毒程序和机器学习防御)已不足以应对高级网络攻击。本文探讨了Linux服务器的安全
    的头像 发表于 12-25 15:33 474次阅读
    【<b class='flag-5'>虹</b><b class='flag-5'>科</b>干货】Linux越来越容易受到攻击,怎么<b class='flag-5'>防御</b>?

    网络安全测试工具有哪些类型

    工具可以分为以下几大类型: 漏洞扫描器 漏洞扫描器是一类常见的网络安全测试工具,用于检测系统、网络和应用程序中存在的各种漏洞和安全风险。这些工具通过自动化扫描和分析
    的头像 发表于 12-25 15:00 1282次阅读