虹科分享丨終端安全最佳實(shí)踐：使用AMTD阻止NGAV、EPP和EDR漏掉的未知和不可檢測的攻擊

自動移動目標(biāo)防御——AMTD

終端安全

最佳實(shí)踐

在Gartner發(fā)布的《新興技術(shù)：自動化移動目標(biāo)防御的安全浮現(xiàn)周期》報(bào)告中，摩菲斯被公認(rèn)為是一個(gè)樣本供應(yīng)商。該報(bào)告涵蓋了突破性的安全技術(shù)，據(jù)Gartner稱，這些技術(shù)正在為網(wǎng)絡(luò)防御可能性的新時(shí)代鋪平道路。

網(wǎng)絡(luò)防御必須跟上不斷發(fā)展的威脅技術(shù)的步伐。威脅參與者越來越多地使用復(fù)雜且無法檢測的威脅策略，如無文件、內(nèi)存和零日、利用和其他規(guī)避技術(shù)，以繞過傳統(tǒng)的安全控制以及檢測和響應(yīng)技術(shù)。

攻擊者正在演變并制造能夠繞過傳統(tǒng)安全控制以及檢測和響應(yīng)技術(shù)的躲避和無法檢測的威脅。下一代防病毒(NGAV)、終端檢測和響應(yīng)(EDR)以及擴(kuò)展檢測和響應(yīng)(XDR)解決方案是行業(yè)標(biāo)準(zhǔn)，但即使是這些系統(tǒng)也受到這些回避技術(shù)的挑戰(zhàn)。

這是因?yàn)镹GAV/EPP和EDR/XDR系統(tǒng)對基于特征碼的已知行為模式攻擊進(jìn)行檢測和警報(bào)。但使用規(guī)避技術(shù)的未知和無法檢測的攻擊正在上升，超過30%的攻擊繞過了檢測技術(shù)。作為回應(yīng)，SOC團(tuán)隊(duì)和安全分析師正在將檢測系統(tǒng)警報(bào)模式設(shè)置為最高設(shè)置，以便更好地標(biāo)記異常行為并在威脅影響業(yè)務(wù)之前將其阻止。

然而，在高警報(bào)模式下運(yùn)行的系統(tǒng)會對系統(tǒng)性能產(chǎn)生負(fù)面影響，并會產(chǎn)生大量誤報(bào)警報(bào)，占總通知的40%，其中31%的警報(bào)從未被調(diào)查過。即使設(shè)置為高警報(bào)模式，零日攻擊和其他高級攻擊仍會繞過業(yè)界最好的NGAV和EDR解決方案。有效的深度防御-將反應(yīng)性檢測和響應(yīng)與一流的預(yù)防功能相結(jié)合，以阻止已知和未知的攻擊。

1

使用自動移動目標(biāo)防御(AMTD)

實(shí)現(xiàn)預(yù)防優(yōu)先的安全

對手不斷改進(jìn)攻擊工具和技術(shù)，以規(guī)避流行的防御技術(shù)。傳統(tǒng)的惡意軟件和惡意軟件使用的可執(zhí)行文件會在磁盤或操作系統(tǒng)上留下證據(jù)。這些證據(jù)訓(xùn)練防御工具發(fā)現(xiàn)具有說服力的部署信號，從而實(shí)現(xiàn)威脅隔離。

如今，復(fù)雜的攻擊鏈在運(yùn)行時(shí)劫持合法的系統(tǒng)進(jìn)程和目標(biāo)設(shè)備內(nèi)存，而不是在磁盤或操作系統(tǒng)上。這項(xiàng)技術(shù)不會留下行為模式分析所需的簽名。

威脅參與者使用的規(guī)避技術(shù)：

為了實(shí)時(shí)捕獲攻擊并拾取惡意模式，檢測工具需要在應(yīng)用程序運(yùn)行時(shí)多次掃描設(shè)備內(nèi)存。當(dāng)檢測系統(tǒng)設(shè)置為最激進(jìn)的設(shè)置時(shí)，掃描大量數(shù)據(jù)可能會降低應(yīng)用程序性能。

進(jìn)入AMTD，Gartner將其稱為“網(wǎng)絡(luò)的未來”。AMTD技術(shù)使用多態(tài)來移動、更改、混淆或變形攻擊面，并擾亂對手的網(wǎng)絡(luò)殺傷鏈。它們通過引入復(fù)雜性、不確定性并使用不影響性能的超輕量級代理進(jìn)行預(yù)防，從而有效地防御攻擊。

根據(jù)Gartner的Emerging Tech：Security-Emerging Cycle for Automated Moving Target Defense報(bào)告，“通過在代碼和運(yùn)行時(shí)或操作系統(tǒng)環(huán)境中利用多態(tài)，威脅參與者很快就失去了預(yù)測存儲的內(nèi)存變量的能力，以及用于在內(nèi)存結(jié)構(gòu)(堆或堆棧)中進(jìn)行攻擊的內(nèi)存掃描技術(shù)。這種AMTD技術(shù)可以有效地阻止常見軟件漏洞和暴露的執(zhí)行。

2

AMTD的工作原理

移動目標(biāo)防御的概念是基于經(jīng)典的三管齊下的軍事戰(zhàn)略，該戰(zhàn)略采用了掩護(hù)和隱藏(使敵人更難觀察)、機(jī)動性(創(chuàng)建一個(gè)難以跟蹤的移動目標(biāo))和欺騙技術(shù)(通過呈現(xiàn)誘騙目標(biāo)或虛假路徑來欺騙攻擊者)。

TruGreen是摩菲斯的客戶，也是美國最大的草坪護(hù)理和治療服務(wù)提供商(收入超過10億美元)，在6,000多個(gè)工作站和分布式運(yùn)營中面臨著廣泛的威脅。由于擔(dān)心隱形攻擊，TruGreen選擇了摩菲斯 AMTD，以實(shí)現(xiàn)更高的安全性、成本效益和超輕量級應(yīng)用。在進(jìn)行安裝后的年度第三方滲透測試時(shí)，該團(tuán)隊(duì)注意到，測試人員第一次無法訪問公司的終端，報(bào)告稱“通常我們可以繞過終端安全方面的東西，但我們無法繞過摩菲斯?！?/p>

網(wǎng)絡(luò)犯罪分子通過多態(tài)、混淆、加密和自我修改來武裝他們的惡意軟件，以逃避檢測并保持不可預(yù)測性。與傳統(tǒng)安全技術(shù)對靜態(tài)分析、簽名、文件信譽(yù)和異常檢測方法的依賴相比，這些策略為攻擊者提供了優(yōu)勢。

AMTD為競爭提供了一個(gè)公平的環(huán)境，并將優(yōu)勢還給了防御者-它使用多態(tài)防御和欺騙技術(shù)來動態(tài)改變組織的攻擊面，增加了不確定性和復(fù)雜性，使對手的攻擊更具挑戰(zhàn)性。當(dāng)操作系統(tǒng)和應(yīng)用程序目標(biāo)被隱藏或隱藏時(shí)，從攻擊者的角度來看，它們會成為更昂貴、更具挑戰(zhàn)性和更耗時(shí)的目標(biāo)。

靜態(tài)防御和標(biāo)準(zhǔn)安全控制不能捕捉到當(dāng)今的躲避威脅，特別是在企業(yè)網(wǎng)絡(luò)內(nèi)的橫向移動已經(jīng)建立的情況下。

摩菲斯 AMTD的三步流程旨在：

通過將端點(diǎn)變成不可預(yù)測的目標(biāo)來變形和隱藏。當(dāng)應(yīng)用程序加載到內(nèi)存空間時(shí)，摩菲斯會改變進(jìn)程結(jié)構(gòu)，以受控的方式重新定位和轉(zhuǎn)換庫、函數(shù)、變量和其他數(shù)據(jù)段。對于每個(gè)流程實(shí)例，每次運(yùn)行都是唯一的，這使得攻擊者始終無法預(yù)測內(nèi)存。

通過允許對變形結(jié)構(gòu)的受控訪問來保護(hù)和欺騙。合法應(yīng)用程序代碼存儲器被動態(tài)更新以使用變形后的資源。應(yīng)用程序繼續(xù)照常加載和運(yùn)行。原來結(jié)構(gòu)的一個(gè)輕量級骨架被留下來作為陷阱。

在實(shí)踐中，AMTD跨網(wǎng)絡(luò)級別、主機(jī)級別和應(yīng)用級別運(yùn)行。摩菲斯的預(yù)防優(yōu)先安全軟件(由AMTD支持)使用獲得專利的零信任執(zhí)行技術(shù)來主動阻止規(guī)避攻擊。

通過中和和揭露攻擊來預(yù)防和揭露攻擊。攻擊的目標(biāo)是原始結(jié)構(gòu)，但失敗了，無法訪問它們預(yù)期和需要執(zhí)行的資源。攻擊被立即預(yù)防、捕獲和記錄，并帶有完整的過程細(xì)節(jié)。

3

AMTD的優(yōu)勢

首先，AMTD技術(shù)旨在補(bǔ)充現(xiàn)有安全堆棧中使用的檢測和響應(yīng)工具。摩菲斯 AMTD增強(qiáng)了NGAV和EDR，通過使用深度防御功能來增強(qiáng)能力和強(qiáng)化整體攻擊面，這些能力可以阻止正在使用的技術(shù)錯過的未知攻擊。摩菲斯客戶群中的5000多家公司使用其AMTD技術(shù)來增強(qiáng)Microsoft Defender、CrowdStrike、SentinelOne、Trend Micro、Sophos和其他NGAV或EDR解決方案，以阻止這些解決方案無法阻止的攻擊。

根據(jù)Gartner的說法：“產(chǎn)品和服務(wù)與現(xiàn)有的檢測和響應(yīng)解決方案的集成是構(gòu)建未來支持AMTD的安全解決方案的基本要素。AMTD不會取代威脅檢測和響應(yīng)技術(shù)；它會加強(qiáng)這些技術(shù)?！?。

AMTD為捍衛(wèi)者提供了幾個(gè)優(yōu)勢：

先發(fā)制人的行動，而不是等待攻擊者破壞組織才奏效。

針對多態(tài)攻擊隱藏漏洞的多態(tài)防御。

移除攻擊者獲得持久性的能力。

通過虛擬補(bǔ)丁進(jìn)行漏洞保護(hù)，直到補(bǔ)丁程序發(fā)布。

快速簡單的部署，對性能的影響最小。

摩菲斯的超輕量化設(shè)計(jì)易于安裝和運(yùn)行，不需要額外的員工人數(shù)或基礎(chǔ)設(shè)施調(diào)整。AMTD是真正的預(yù)防為先的安全，開創(chuàng)了一個(gè)新時(shí)代的先發(fā)制人戰(zhàn)略，在增強(qiáng)安全團(tuán)隊(duì)能力的同時(shí)，奪走了攻擊者的創(chuàng)新優(yōu)勢。

Gartner表示：“新興技術(shù)能夠主動和持續(xù)地改變和改變IT環(huán)境和資產(chǎn)，同時(shí)利用先進(jìn)的欺騙功能，這些技術(shù)將在未來三到五年內(nèi)改變網(wǎng)絡(luò)安全市場?！?/p>

了解有關(guān)摩菲斯的ATMD技術(shù)的更多信息并觀看其實(shí)際操作-立即安排您的演示，了解為什么5,000多家企業(yè)信任摩菲斯能夠保護(hù)他們的環(huán)境免受最先進(jìn)和破壞性的攻擊，包括勒索軟件、供應(yīng)鏈、零日攻擊、無文件攻擊和內(nèi)存攻擊。

·今日推薦·

//虹科入侵防御方案//

虹科終端安全解決方案，針對最高級的威脅提供了以預(yù)防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標(biāo)防御(AMTD)技術(shù)為支持。AMTD是一項(xiàng)提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù)，能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明，AMTD是網(wǎng)絡(luò)的未來，其提供了超輕量級深度防御安全層，以增強(qiáng)NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下，針對無法檢測的網(wǎng)絡(luò)攻擊縮小他們的運(yùn)行時(shí)內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護(hù)900萬臺Windows和Linux服務(wù)器、工作負(fù)載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。
虹科摩菲斯的自動移動目標(biāo)防御ATMD做到了什么？
1、主動進(jìn)行預(yù)防(簽名、規(guī)則、IOCs/IOA)；
2、主動自動防御運(yùn)行時(shí)內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；
3、在執(zhí)行時(shí)立即阻止惡意軟件；
4、為舊版本操作系統(tǒng)提供全面保護(hù)；
5、可以忽略不計(jì)的性能影響(CPU/RAM)；
6、無誤報(bào)，通過確定警報(bào)優(yōu)先級來減少分析人員/SOC的工作量。

“

虹科通過創(chuàng)新幫助客戶成功，是您優(yōu)選的解決方案合作伙伴。虹科網(wǎng)絡(luò)安全事業(yè)部憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，DataLocker，Lepide，SecurityScorecard，veracode，Mend，Onekey，Allegro，Profitap，Apposite等建立了緊密的合作關(guān)系，提供包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡(luò)安全評級，網(wǎng)絡(luò)仿真，軟固件安全分析等行業(yè)領(lǐng)先解決方案。讓網(wǎng)絡(luò)安全更簡單！

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們在不斷創(chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴的方案，堅(jiān)持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。