證據(jù)清楚地表明，盡管網(wǎng)絡(luò)安全投資在不斷擴大，但復雜的網(wǎng)絡(luò)威脅越來越成功。優(yōu)步和蘋果等家喻戶曉的品牌，殖民地管道等基本服務(wù)提供商，甚至整個民族國家都成為網(wǎng)絡(luò)攻擊的受害者，這些攻擊逃避了同類最好的控制。除了頭條新聞，襲擊事件也在螺旋式上升。每分鐘不止一次，才華橫溢、資金充裕的安全團隊在理應(yīng)先進的威脅防御系統(tǒng)被攻破后，只能收拾殘局。

將當今的網(wǎng)絡(luò)攻擊聯(lián)系在一起的一個共同線索是，它們具有令人難以置信的破壞性。現(xiàn)在，威脅在受害者網(wǎng)絡(luò)中徘徊的時間比以往任何時候都要長。2020至2021年間，攻擊者停留時間增加了36%。而且爆炸半徑比過去大得多。

因此，制定有效的戰(zhàn)略來阻止高級威脅從未像現(xiàn)在這樣重要。

高級威脅的工作原理

很久以前，即使是最基本的計算機病毒也是高級威脅。在無法阻止它們的情況下，像ILOVEYOU蠕蟲這樣的惡意軟件可能會在21世紀初危害數(shù)千萬臺電腦。作為回應(yīng)，反病毒(AV)程序被構(gòu)建來防御這些威脅。他們的工作前提是在受保護的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)并隔離看起來危險的文件、行為和附件。

威脅參與者在回應(yīng)中發(fā)生了變化，像WANNACRY、Petya和NotPetya這樣的攻擊被認為是高級的、自我傳播的威脅。作為回應(yīng)，下一代反病毒軟件(NGAV)應(yīng)運而生。因此，威脅做出了回應(yīng)。高級勒索軟件現(xiàn)在以服務(wù)形式提供(RAAS)。開源惡意軟件被黑客社區(qū)利用。事實證明，像SolarWinds和Kaseya這樣的供應(yīng)鏈攻擊尤其具有破壞性。

基于端點保護平臺(EPP)和端點檢測和響應(yīng)(EDR)等技術(shù)的現(xiàn)代安全堆棧的工作方式類似于早期的防病毒程序。這些技術(shù)比早期的同類技術(shù)在發(fā)現(xiàn)和阻止威脅方面做得更好。但它們都是在相同的“搜索和摧毀”概念下運作的。因此，典型的企業(yè)級安全態(tài)勢幾乎完全依賴于發(fā)現(xiàn)并隔離磁盤和網(wǎng)絡(luò)環(huán)境中的已知威脅。

這些基本的安全控制和基于簽名、模式和AI的解決方案仍然是必不可少的。但它們不再足以創(chuàng)造真正的安全。如今，最危險的威脅旨在繞過和逃避網(wǎng)絡(luò)安全工具。

高級威脅不會出現(xiàn)在大多數(shù)安全解決方案的雷達上，直到為時已晚，如果真的有的話。他們使用與合法系統(tǒng)管理員相同的應(yīng)用程序來探測網(wǎng)絡(luò)并橫向移動。

破解版本的紅色團隊工具，如Cobalt Strike，允許威脅參與者攻擊設(shè)備內(nèi)存中的合法進程。這些工具允許攻擊者在使用合法應(yīng)用程序時搜索內(nèi)存中存在的密碼和可利用的錯誤。它們還隱藏了防御者在應(yīng)用程序運行時無法有效地掃描內(nèi)存的地方。

因此，高級威脅繞過了基于掃描的安全解決方案(在運行時不能查看內(nèi)存)和像Allow Listing這樣的控制。根據(jù)Picus最近的一份報告，91%的Darkside勒索軟件事件使用了合法的工具和進程。

高級威脅在運行時存在于內(nèi)存中，在重啟、磁盤重新格式化和重新安裝設(shè)備操作系統(tǒng)的嘗試中也可以幸存下來。

這些復雜的攻擊過去只有國家支持的威脅參與者才能做。然而，今天，它們很常見。被黑客攻擊的Cobalt Strike版本允許威脅參與者以廉價和輕松的方式攻擊受害者的記憶。去年，排名前五的攻擊技術(shù)中有三種涉及設(shè)備內(nèi)存。

如何阻止高級威脅

高級威脅正在利用典型企業(yè)安全狀態(tài)-設(shè)備內(nèi)存中的明顯安全漏洞。但他們是可以被阻止的。

從長遠來看，防止威脅損害內(nèi)存的最好方法是在應(yīng)用程序和設(shè)備中構(gòu)建更好的防御。軟件開發(fā)人員可以做更多的工作來構(gòu)建對內(nèi)存利用的緩解。它們可能會使威脅參與者更難利用合法網(wǎng)絡(luò)管理員使用的相同工具。

但是，只要應(yīng)用程序構(gòu)建并集成新功能(并且總是會產(chǎn)生錯誤)，內(nèi)存損壞就是可能的。對于在遙遠的未來仍將在IT環(huán)境中運行的數(shù)以百萬計的傳統(tǒng)設(shè)備和應(yīng)用程序而言，情況尤其如此。

目前，安全團隊為阻止高級威脅所能做的最好的事情是添加控制，從一開始就阻止對設(shè)備內(nèi)存的訪問：
●建立縱深防御。沒有一種控制或解決方案可以保護組織免受高級威脅。安全團隊必須在從終端 到業(yè)務(wù)關(guān)鍵型服務(wù)器的每一層創(chuàng)建冗余。

●實行零信任。零信任的概念已經(jīng)有47年的歷史了。然而，對于大多數(shù)企業(yè)來說，這仍然是一個難以實現(xiàn)的目標。根據(jù)Forrester最近的一項研究，實施零信任的組織將數(shù)據(jù)泄露的機會降低了50%。

●使用移動目標防御(MTD)技術(shù)保護設(shè)備內(nèi)存。您不能在運行時有效地掃描設(shè)備內(nèi)存。但您可以使密碼等記憶資產(chǎn)對威脅參與者實際上是不可見的。使用使用MTD變形(隨機化)內(nèi)存的解決方案，使威脅無法找到他們的目標。

使用MTD構(gòu)建高級威脅防御

NGAV、EPP和EDR等解決方案仍然是任何組織安全戰(zhàn)略的重要組成部分。它們對于阻止大多數(shù)表現(xiàn)出可識別特征和行為模式的攻擊鏈至關(guān)重要。

然而，隨著零日攻擊、內(nèi)存威脅和無文件攻擊方法的增加，這些工具給防御者留下了一個嚴重的安全漏洞。迫切需要一種不同的解決方案來有效防御這些高級威脅目標的攻擊載體。它可以防止內(nèi)存受損并阻止以前未見過的威脅。

進入移動目標防御(MTD)。被Gartner稱為最具影響力的新興技術(shù)之一，MTD創(chuàng)造了一個不可預測的內(nèi)存攻擊面。這使得威脅不可能找到它們尋求的資源，無論它們有多復雜。同樣重要的是，MTD技術(shù)與其他網(wǎng)絡(luò)安全解決方案無縫集成，易于實施，并且可擴展。

今日推薦

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標防御的領(lǐng)導者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預防解決方案，每天保護800多萬個端點和服務(wù)器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標)

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點控制所有終端。請聯(lián)系我們免費獲?。?/p>

虹科是在各細分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡單！憑借深厚的行業(yè)經(jīng)驗和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡(luò)安全評級，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術(shù)培訓和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術(shù)的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結(jié)可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。