如何構(gòu)建深度防御層 | 自動(dòng)移動(dòng)目標(biāo)防御

在當(dāng)今的威脅環(huán)境中，多層縱深防御是安全團(tuán)隊(duì)獲得安心的唯一方法之一。

為什么?有兩個(gè)原因:

1、攻擊面越來越大

隨著DevOps等遠(yuǎn)程工作和數(shù)字化轉(zhuǎn)型項(xiàng)目的興起，攻擊面已經(jīng)超出了大多數(shù)安全團(tuán)隊(duì)的定義能力。創(chuàng)建一個(gè)完全安全的網(wǎng)絡(luò)邊界是不可能的。正如Twilio漏洞所表明的，威脅參與者甚至可以繞過高級的雙因素認(rèn)證(2FA)協(xié)議。

2、威脅變得越來越隱晦

進(jìn)入網(wǎng)絡(luò)環(huán)境的威脅越來越難以發(fā)現(xiàn)，并且離初始訪問點(diǎn)越來越遠(yuǎn)。Eurecom大學(xué)(FR)的一項(xiàng)研究回顧了超過17萬個(gè)真實(shí)的惡意軟件樣本，顯示使用規(guī)避和內(nèi)存中技術(shù)能夠繞過NGAV/EPP/EDRs提供的保護(hù)占40%以上。在至少25%的網(wǎng)絡(luò)攻擊中，橫向移動(dòng)是一個(gè)特征。

有針對性和規(guī)避性威脅的增加意味著任何級別的單一安全層(從端點(diǎn)到關(guān)鍵服務(wù)器)都無法依靠自身來阻止攻擊。相反，就像層層身份檢查和保鏢保護(hù)VIP一樣，安全團(tuán)隊(duì)需要在關(guān)鍵資產(chǎn)和潛在威脅之間設(shè)置多層安全障礙。

縱深防御不僅僅是部署多種安全產(chǎn)品。在這個(gè)過程中，組織可以強(qiáng)化他們的人員、流程和技術(shù)，以產(chǎn)生高度彈性的安全結(jié)果。

虹科推薦的構(gòu)建縱深防御層的最佳實(shí)踐：

1.從人開始——根據(jù)Verizon最近的數(shù)據(jù)泄露報(bào)告，去年82%的安全漏洞涉及人為錯(cuò)誤。連接網(wǎng)絡(luò)的個(gè)體通過社會(huì)工程、犯錯(cuò)誤或故意允許惡意訪問，使攻擊成為可能。

這一統(tǒng)計(jì)數(shù)據(jù)顯示了在任何縱深防御策略中強(qiáng)化“人員層”的重要性。但是，盡管許多組織每年都對個(gè)人進(jìn)行培訓(xùn)，以證明他們符合保險(xiǎn)要求，但研究證明，只有少數(shù)人這樣做的頻率足以改變他們的安全態(tài)勢。最好的情況是，人力資源是最后一道防線。

需要更多的培訓(xùn)。然而，安全不應(yīng)該依賴于遵守政策。確保適當(dāng)?shù)目刂?如多因素身份驗(yàn)證(MFA))作為備份是至關(guān)重要的。

2.要認(rèn)識(shí)到扁平化的網(wǎng)絡(luò)架構(gòu)≠安全——破壞性的網(wǎng)絡(luò)攻擊不僅僅是熟練的威脅行為者或先進(jìn)技術(shù)的結(jié)果。通常，受害者自己的網(wǎng)絡(luò)設(shè)計(jì)是網(wǎng)絡(luò)罪犯最大的資產(chǎn)。

平面網(wǎng)絡(luò)環(huán)境的默認(rèn)策略是允許所有設(shè)備和應(yīng)用程序共享信息。盡管這使得網(wǎng)絡(luò)易于管理，但其安全方面的缺點(diǎn)是，一旦平面網(wǎng)絡(luò)中單個(gè)網(wǎng)絡(luò)連接的資產(chǎn)被破壞，威脅參與者就相對容易建立橫向移動(dòng)到網(wǎng)絡(luò)的其他部分。

為了阻止這種情況發(fā)生，安全團(tuán)隊(duì)?wèi)?yīng)該使用某種形式的網(wǎng)絡(luò)分段和子網(wǎng)劃分來保護(hù)脆弱的網(wǎng)絡(luò)資產(chǎn)，并減緩橫向移動(dòng)。

網(wǎng)絡(luò)分段還使安全團(tuán)隊(duì)能夠在不破壞整個(gè)組織的情況下響應(yīng)和隔離威脅。

3. 在每一層使用最佳技術(shù)——超過70%的安全專業(yè)人員更喜歡最佳解決方案，而不是基于平臺(tái)的控制，這是有充分理由的。符合供應(yīng)商營銷策略的安全程序并不總能滿足客戶的實(shí)際需求。

針對高級攻擊，統(tǒng)一適用于所有工具或工具集可能會(huì)留下空白，并造成與業(yè)務(wù)需求不兼容的管理負(fù)擔(dān)。

更好的選擇是根據(jù)需要為每個(gè)環(huán)境和業(yè)務(wù)情況定制深度防御工具棧。安全團(tuán)隊(duì)必須查看用戶和系統(tǒng)如何在這些層中運(yùn)行，并選擇最佳的解決方案。

為了阻止已知的威脅，終端和服務(wù)器必須至少有一個(gè)有效的防病毒(AV)。理想情況下，還將提供端點(diǎn)保護(hù)(EPP)和端點(diǎn)檢測與響應(yīng)(EDR)。還需要有面向內(nèi)部的解決方案，如安全信息和事件管理(SIEM)或安全編排、自動(dòng)化和響應(yīng)(SOAR)平臺(tái)，該平臺(tái)可以集中安全日志，并使安全團(tuán)隊(duì)能夠識(shí)別、調(diào)查和減輕風(fēng)險(xiǎn)。

在網(wǎng)絡(luò)邊界周圍，防火墻是必不可少的，面向internet的資產(chǎn)需要由Web應(yīng)用程序防火墻(Web Application firewall, WAFs)來保護(hù)。

4.確保安全解決方案和應(yīng)用程序得到適當(dāng)更新和配置——根據(jù)2023年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告，未修補(bǔ)的漏洞和錯(cuò)誤配置占了超過40%的事件。僅使用最佳安全控制是不夠的。這些解決方案、組織的業(yè)務(wù)應(yīng)用程序和操作系統(tǒng)必須不斷地打補(bǔ)丁和正確地配置。

例如，在2021年，Microsoft Exchange上的ProxyLogon漏洞影響了全球數(shù)千個(gè)組織。雖然微軟發(fā)布了糾正措施的說明，但ProxyShellMiner等變體目前仍然活躍。

部署移動(dòng)目標(biāo)防御（AMTD）防御躲避和內(nèi)存網(wǎng)絡(luò)攻擊

除了這些最佳實(shí)踐之外，現(xiàn)實(shí)情況是，即使完全部署安全人工智能和自動(dòng)化，識(shí)別和遏制數(shù)據(jù)泄露的平均時(shí)間是249天。

因此，保護(hù)終端、服務(wù)器和工作負(fù)載免受能夠躲避基于檢測技術(shù)提供的保護(hù)機(jī)制的攻擊是很重要的。

自動(dòng)移動(dòng)目標(biāo)防御(Automated Moving Target Defense, AMTD)是一種重要的深度防御層，因?yàn)樗谶\(yùn)行時(shí)將威脅阻止在脆弱且通常不受保護(hù)的空間設(shè)備內(nèi)存中。

像進(jìn)程注入和PowerShell妥協(xié)這樣的代碼和內(nèi)存利用技術(shù)是MITRE十大最常見的ATT&CK技術(shù)之一。AMTD通過改變內(nèi)存，使其基本上不受威脅，從而降低了這種風(fēng)險(xiǎn)。這意味著內(nèi)存資產(chǎn)和漏洞(如哈希密碼和bug)對威脅參與者來說是不可訪問的。

作為深度防御安全態(tài)勢中的一層，AMTD阻止了繞過其他級別控制的零日、無文件和內(nèi)存攻擊。