2023Gartner?終端安全發(fā)展規(guī)律周期：AMTD引領未來

導語：在2023年Gartner終端安全發(fā)展規(guī)律周期中，自動移動目標防御（AMTD）嶄露頭角，虹科Morphisec被譽為AMTD領域的樣本供應商。該周期呈現(xiàn)出終端安全領域的最新創(chuàng)新，旨在幫助安全領導者更好地規(guī)劃、采納和實施新技術。AMTD技術的預防性解決方案標志著網(wǎng)絡安全邁出了新的一步，它以在攻擊開始前預防和阻止攻擊為主，不同于傳統(tǒng)的檢測和響應技術。

自動移動目標防御(AMTD)首次被囊括在2023年Gartner Endpoint Security的發(fā)展規(guī)律周期中，作為一項正在崛起的技術。虹科Morphisec被評為AMTD類別中的樣本供應商。這一發(fā)展規(guī)律周期展示了終端安全領域最相關的創(chuàng)新，以幫助安全領導者規(guī)劃、采用和實施新興技術。終端安全創(chuàng)新側重于更快的自動檢測和預防，以及威脅的補救，為集成的擴展檢測和響應(XDR)提供動力，以將來自終端、網(wǎng)絡、網(wǎng)絡、電子郵件和身份識別等解決方案的數(shù)據(jù)點和遙測關聯(lián)起來?！?。正如Gartner所指出的，“企業(yè)需要尖端的解決方案來保護終端免受攻擊和入侵?！?/p>

從歷史上看，終端安全一直側重于檢測和響應技術?！癆MTD從‘檢測和響應’轉(zhuǎn)變?yōu)椤鲃悠垓_和不可預測的變化’，使攻擊者更難利用目標IT環(huán)境中的漏洞。”作為一種預防性解決方案，我們認為AMTD被納入報告標志著該行業(yè)發(fā)生了結構性轉(zhuǎn)變，并重新調(diào)整了終端安全最佳實踐建議。

威脅正變得更加復雜和難以捉摸

從技術上講，檢測和響應始于反病毒軟件的引入。反病毒程序?qū)ΧM制文件和文件進行靜態(tài)評估，以確定它們與已知惡意軟件的一致性。

下一代反病毒(NGAV)軟件和終端保護平臺隨后引入了動態(tài)分析，這需要在受限環(huán)境中執(zhí)行文件，同時監(jiān)控它們的行為。

終端安全方面的下一項創(chuàng)新引入了業(yè)界當前級別的EDR和擴展檢測與響應(XDR)技術，并管理檢測和響應(MDR)服務。這些產(chǎn)品使用行為分析來監(jiān)控計算機上進程的執(zhí)行，攔截關鍵功能，并進行調(diào)查以獲得對行為的實時洞察。這種方法不僅仔細檢查了二進制代碼，還仔細檢查了圍繞執(zhí)行的上下文因素。

如今，NGAV、EDR和XDR為檢測和響應基于特征碼的已知威脅提供了基準安全。然而，包括內(nèi)存、無文件和勒索軟件攻擊在內(nèi)的復雜且無法檢測的威脅越來越多地繞過了NGAV和EDR等傳統(tǒng)安全控制，現(xiàn)在占外部檢測到的攻擊的30%。

最近的例子包括一種針對金融和物流公司的新型Chaes惡意軟件變種，GuLoader，一種針對美國法律和投資公司的高級威脅，以及InvalidPrint，一種高度隱身的加載程序，在很長一段時間內(nèi)對病毒Total的檢測為零。

根據(jù)Gartner的報告：“在過度強調(diào)檢測和響應策略未能防止入侵的背景下，AMTD技術已經(jīng)出現(xiàn)，能夠在防御方面提供新的價值。”

AMTD提供的混淆和多態(tài)功能可以抵御攻擊

攻擊者在偵察方面投入了大量資金，以發(fā)現(xiàn)漏洞和利用機會。他們使用無文件惡意軟件和內(nèi)存攻擊等復雜技術來隱藏行為并逃避檢測。

防守者甚至可以在進攻開始之前就應用類似的戰(zhàn)術，使用AMTD技術來摧毀攻擊。AMTD借鑒了成熟的軍事戰(zhàn)略，即移動的目標比靜止的目標更難“擊中”。在網(wǎng)絡安全領域，AMTD部署的戰(zhàn)術可以在IT環(huán)境中設計跨越攻擊面的變化或變化。這種基于多態(tài)的方法增加了潛在攻擊者面臨的不可預測性和復雜性。

在一場永無止境的網(wǎng)絡軍備競賽中，攻擊者將利用人工智能來生成能夠繞過基于人工智能的保護解決方案的威脅。生成性人工智能進一步提高了攻擊的復雜性、速度和規(guī)模，因此安全領導者必須尋求使用先于反應性和資源密集型檢測和響應解決方案的主動和預防性技術來加強防御。正如Gartner所指出的，“AMTD幫助普通公司應對新出現(xiàn)的人工智能威脅。對于沒有預算、人員或時間使用人工智能的組織來說，AMTD是一種替代方案?！?/p>

安全團隊的工作必須優(yōu)先考慮高保真警報

由于復雜且無法檢測的威脅向量(如前面提到的無文件、內(nèi)存和基于零日的技術)繞過了傳統(tǒng)的安全控制以及檢測和響應技術，漏洞風險和警報隨之而來。

未知和無法檢測的攻擊造成了越來越多的入侵，超過30%的攻擊被反病毒和EDR系統(tǒng)漏掉。作為回應，IT和安全團隊將檢測系統(tǒng)警報模型設置為最高設置，以標記異常行為。但這些設置對系統(tǒng)性能產(chǎn)生了負面影響，并產(chǎn)生了大量警報，目前約占通知總數(shù)的40%。

安全團隊正被誤報警報和耗時的警報調(diào)查淹沒。全國草坪護理和治療服務提供商TruGreen就是這種情況。TruGreen使用了多層安全模型，但他們不相信這能保護他們免受躲避攻擊。它的性能開銷很大，并且會產(chǎn)生大量的誤報警報，每天都需要數(shù)小時的團隊分析。該團隊需要一個運營高效且對性能影響微乎其微的解決方案。

Morphisec幫助TruGreen將誤報減少了95%；首席安全架構師Dale Slawinski指出：“使用我們之前的安全平臺，我們過去每天都會收到多達50個警報?，F(xiàn)在(有了Morphisec AMTD)，我們可能只有一兩個。

Morphisec的確定性機制創(chuàng)建高優(yōu)先級和保真度警報，幫助安全團隊確定補救工作的優(yōu)先順序。Morphisec通過冷阻止攻擊并殺死惡意進程來防止攻擊，從而為安全團隊贏得時間。使用Morphisec AMTD，惡意進程不再處于活動狀態(tài)；相比之下，EDR技術可能只會在惡意進程仍處于活動狀態(tài)時創(chuàng)建警報。

使用AMTD采取預防性的安全措施

將當前的終端安全解決方案與AMTD相結合是網(wǎng)絡安全的下一步發(fā)展，是組織抵御不斷變化的威脅格局的必備條件，尤其是在保護傳統(tǒng)系統(tǒng)方面。隨著新的集成層覆蓋在舊的服務器和設備之上，攻擊面擴大，與傳統(tǒng)IT相關的風險也隨之擴大。

在通常無法修補的遺留系統(tǒng)中，即使是眾所周知的攻擊載體，如Internet Explorer漏洞，仍在導致數(shù)據(jù)泄露。例如，在2021年，18%的攻擊利用了2013年或更早披露的漏洞。隨著Windows7和Windows 8從那時起退出支持，這個數(shù)字現(xiàn)在可能會高得多。

自動移動目標防御(AMTD)是對保護遺留系統(tǒng)的挑戰(zhàn)的一種成熟的回應。它通過預防而不是應對威脅來克服終端安全的架構、技術和文化挑戰(zhàn)。通過一個極其輕量級(6MB)的代理，Morphisec的AMTD可以在系統(tǒng)使用時改變運行時內(nèi)存。它通過移動系統(tǒng)資產(chǎn)并將誘餌留在原來的位置來減少遺留攻擊面。

以下是考慮使用AMTD的IT或安全領導者的其他優(yōu)勢：

• 深度防御-所有組織都面臨勒索軟件、供應鏈零日和無文件攻擊的風險增加；多態(tài)防御隱藏漏洞，使其免受多態(tài)攻擊。
• 運營效率-AMTD解決了遺留的安全問題，并與您已經(jīng)使用的NGAV、EDR和XDR技術完全兼容，無需額外的員工或性能資源來運行它。
• 減少開支-通過在攻擊開始前停止攻擊，AMTD減少了誤報警報，從而減少了對警報進行分類和分析的IT支持工單和人員需求。

據(jù)美國一家領先的對沖基金的CISO表示：“Morphisec提供了新型內(nèi)存保護技術，維護成本低，管理費用少。在我們的技術堆棧中，Morphisec需要的維護和維護最少，提供卓越的保護?！啊MTD技術標志著網(wǎng)絡安全的下一步發(fā)展。與檢測和響應技術不同，它專注于在攻擊開始之前預防和阻止攻擊。