Gartner發(fā)布了一份專注于自動移動目標(biāo)防御(AMTD)技術(shù)的新報告。該公司將其稱為“一種新興的改變游戲規(guī)則的技術(shù)，用于改善網(wǎng)絡(luò)防御……。有效地緩解了許多已知的威脅，并可能在十年內(nèi)緩解大多數(shù)零日漏洞，進(jìn)一步將風(fēng)險轉(zhuǎn)移到人類和業(yè)務(wù)流程上?！?/p>

僅靠靜態(tài)防御是不夠的

網(wǎng)絡(luò)安全的發(fā)展始于反病毒(AV)軟件，該軟件提供對二進(jìn)制文件和文件的靜態(tài)分析，以檢查它們是否與已知的惡意軟件相對應(yīng)。下一代反病毒(NGAV)軟件和終端保護(hù)平臺增加了動態(tài)分析，可在沙箱環(huán)境中執(zhí)行文件并觀察該文件。終點檢測和響應(yīng)(EDR/XDR/MDR)通過行為分析進(jìn)一步說明了這一點。EDR技術(shù)觀察計算機上的執(zhí)行，連接到重要函數(shù)/系統(tǒng)調(diào)用以實時了解行為，并不僅分析二進(jìn)制代碼，還分析圍繞執(zhí)行的一切。

移動目標(biāo)防御(MTD)技術(shù)是網(wǎng)絡(luò)安全的下一步演進(jìn)，與之前的技術(shù)不同，它是預(yù)防性的，而不是專注于檢測和反應(yīng)。MTD基于軍事戰(zhàn)略中的一個基本前提，即運動目標(biāo)比靜止目標(biāo)更難攻擊。MTD使用策略來協(xié)調(diào)整個攻擊面上IT環(huán)境的移動或更改，以增加攻擊者的不確定性和復(fù)雜性。

根據(jù)這份報告，自動化MTD通過引入戰(zhàn)略變化來減少暴露的攻擊面，同時增加對攻擊者的偵察和惡意攻擊的成本。AMTD包括移動、更改、混淆或變形攻擊面，以擾亂對手的網(wǎng)絡(luò)殺傷鏈。

AMTD的四要素

根據(jù)Gartner的說法，這項技術(shù)包括四個主要元素：“主動的網(wǎng)絡(luò)防御機制；自動協(xié)調(diào)攻擊面的移動或變化；欺騙技術(shù)的使用，以及執(zhí)行智能(預(yù)先計劃的)變化決策的能力?！?br />

請注意，雖然欺騙是(A)MTD的一個關(guān)鍵技術(shù)組成部分，但它并不是它的同義詞。虹科摩菲斯的下表概述了欺騙技術(shù)、MTD和AMTD之間的區(qū)別。

移動目標(biāo)防御MTD和欺騙

例如，虹科摩菲斯的專利自動移動目標(biāo)防御技術(shù)使用系統(tǒng)多態(tài)性來創(chuàng)建隨機、動態(tài)的運行時內(nèi)存環(huán)境，移動應(yīng)用程序內(nèi)存、API和其他操作系統(tǒng)資源，同時保留誘餌陷阱。這使得威脅參與者幾乎不可能找到他們正在尋找的東西--你無法擊中你看不到的東西。

任何試圖在誘餌上執(zhí)行的代碼都會被自動報告和捕獲以進(jìn)行取證分析，同時真正的系統(tǒng)資源保持安全并防止攻擊。正如Kentucky Trailer的IT副總裁Rick Schibler所說:“摩菲斯的移動目標(biāo)防御對于強化我們的攻擊面至關(guān)重要?！?/p>

AMTD的市場影響

多年來，在現(xiàn)代戰(zhàn)爭戰(zhàn)略中，AMTD在軍事學(xué)說中被證明是成功的。然而，Gartner指出，從歷史上看，AMTD在商業(yè)網(wǎng)絡(luò)安全中的使用一直是有限的，但現(xiàn)在這種情況正在改變。該公司表示，各種新興安全技術(shù)迅速轉(zhuǎn)向安全程序和底層技術(shù)，以增加攻擊者的負(fù)擔(dān)，迫使他們更加努力地工作，否則他們的惡意努力將徹底失敗。

目前，下一代防病毒(NGAV)、終端保護(hù)平臺(EPP)以及終端檢測和響應(yīng)(EDR/XDR/MDR)等反應(yīng)性、基于檢測的技術(shù)主導(dǎo)著網(wǎng)絡(luò)安全市場。這些技術(shù)的工作原理是，首先檢測惡意文件或行為模式，然后對其進(jìn)行響應(yīng)。它們本質(zhì)上是反應(yīng)性的。報告建議，預(yù)防應(yīng)該是一個更重要的重點。盡管預(yù)防并不是安全技術(shù)中的靈丹妙藥，但Gartner認(rèn)為，有必要鼓勵市場專注于前景看好的與預(yù)防相關(guān)的新技術(shù)。

考慮到攻擊者投入攻擊偵察以發(fā)現(xiàn)漏洞和利用受害者系統(tǒng)的正確方式，AMTD的預(yù)防性方法尤其重要。許多現(xiàn)代網(wǎng)絡(luò)攻擊具有高度的針對性，并為規(guī)避和繞過特定的防御層而量身定做。

該報告提到了與運營技術(shù)(OT)相關(guān)的用例。由于行業(yè)的多樣性和行業(yè)環(huán)境的專業(yè)性，惡意攻擊者需要投入時間和資源來收集成功所需的情報。AMTD方法，如模糊和系統(tǒng)變形，在防御這種高度定向的攻擊方面特別有價值。這種預(yù)防性方法在保護(hù)終端和服務(wù)器工作負(fù)載(通常是組織最大的攻擊面)方面特別有效。

出于這個原因，Gartner預(yù)測“到2025年，25%的云應(yīng)用程序?qū)⒗肁MTD功能和概念作為內(nèi)置預(yù)防方法，增強現(xiàn)有的云Web應(yīng)用程序和API保護(hù)(WAAP)技術(shù)。”該公司還預(yù)測，“到2025年，基于AMTD的解決方案將取代至少15%的只專注于檢測和響應(yīng)的傳統(tǒng)解決方案，而2023年這一比例不到2%。”Gartner預(yù)計，到2030年，基于AMTD的抗利用漏洞的硬件和軟件將出現(xiàn)，“將安全重點進(jìn)一步轉(zhuǎn)移到業(yè)務(wù)流程、身份濫用和社會工程預(yù)防上，而不是應(yīng)用、終端和工作負(fù)載安全戰(zhàn)略。”

Gartner提供了AMTD自動化概念的一個例子：

確定目標(biāo)資產(chǎn)；

選擇變形間隔；

自動進(jìn)行資產(chǎn)重新配置。

我們相信，虹科摩菲斯的技術(shù)融合了所有這三個概念，保護(hù)了多個系統(tǒng)資源，并由于欺騙技術(shù)而包括了攻擊可見性。

自動化MTD已經(jīng)出現(xiàn)-而且它被證明是有效的

已有超過5,000家公司在大約900萬個終端以及Windows和Linux服務(wù)器上部署了虹科摩菲斯的自動移動目標(biāo)防御技術(shù)。他們使用它來增強NGAV、EPP和EDR/MDR解決方案，并阻止這些解決方案無法檢測到的最高級和不可檢測的攻擊。兩個這樣的例子包括：

TruGreen

總部位于田納西州孟菲斯的TruGreen是美國最大的定制草坪護(hù)理和治療服務(wù)提供商，擁有超過12,000名員工，年收入超過15億美元。

TruGreen的首席安全架構(gòu)師Dale Slawinski說，TruGreen部署了摩菲斯的AMTD軟件，并發(fā)現(xiàn)“在我們之前的解決方案中，需要7個代理才能完成我們僅用一個虹科摩菲斯代理所做的相同事情。”

該公司實現(xiàn)了2.3倍的投資回報，同時將軟件成本削減了三分之二，并將誤報削減了95%。

TruGreen每年都會引入一個客觀的第三方來進(jìn)行滲透測試，以確定網(wǎng)絡(luò)犯罪分子可以利用的漏洞。TruGreen的網(wǎng)絡(luò)安全工程師瑞安·帕根(Ryan Pagan)表示：“今年，我們第一次能夠阻止測試者侵入我們的一個終端。”在實施了摩菲斯后，測試員無法找出是什么阻止了他的破解。他花了幾個小時試圖破解我們的安全系統(tǒng)，但沒能破解。測試人員對我們說，‘通常情況下，我們可以繞過終端安全問題，但我們無法繞過摩菲斯?！?/p>

AltraIndustrial Motion

Altra Industrial Motion(Altra Motion)是一家美國機械動力傳動產(chǎn)品制造商，在17個國家擁有9100名員工，收入17億美元。

Altra Motion首席信息官里克·克洛茨說：“花費的美元與安全價值無關(guān)。我們在MDR提供商上花了很多錢，但我們?nèi)匀槐还テ?，不得不自己做很多工作。?/p>

Altra Motion使用摩菲斯 AMTD部署了Microsoft Defender，以保護(hù)其關(guān)鍵基礎(chǔ)架構(gòu)免受已知和未知攻擊。

虹科摩菲斯的AMTD技術(shù)的預(yù)防能力使Klotz的團(tuán)隊采用了一種全新的安全態(tài)勢，具有更高的運營效率。所以現(xiàn)在，“我們沒有花太多時間在檢測和響應(yīng)上，”Klotz說，“因為我們不需要這樣做?！毕喾?，他們專注于培訓(xùn)人員、改進(jìn)流程和規(guī)劃新出現(xiàn)的威脅。這些都是他們現(xiàn)在擁有資源的高級別計劃，因為AMTD阻止了他們用來檢測和防止他們用來補救的損害的攻擊。

AMTD擴大了30%的關(guān)鍵安全差距

虹科摩菲斯使用自動移動目標(biāo)防御來主動阻止最復(fù)雜和最具破壞性的網(wǎng)絡(luò)攻擊，而不需要事先了解它們——甚至不需要檢測它們。

像NGAV這樣的網(wǎng)絡(luò)安全工具需要來自以前攻擊的惡意軟件文件簽名，以便它們可以識別惡意文件來檢測和響應(yīng)它們。像EPP和EDR/XDR/MDR這樣的工具需要以前攻擊的可識別的行為模式來檢測和響應(yīng)它們。而這些工具在這種情況下工作得很好。

但它們有一個安全漏洞-未知攻擊、躲避攻擊和那些針對運行時內(nèi)存的攻擊，這些工具無法有效地掃描這些攻擊。為了量化這一差距，虹科摩菲斯分析了Picus Labs 2021 Red Report，該報告基于對200,000個惡意軟件樣本的分析。Red Report根據(jù)觀察到的惡意軟件樣本的百分比確定了最流行的10種MITRE ATT&CK技術(shù)。兩個主要發(fā)現(xiàn)是：

逃避防御是最常見的攻擊和攻擊戰(zhàn)術(shù)：在TA005中，觀察到的十大攻擊和攻擊技術(shù)中有五個被歸類為逃避防御戰(zhàn)術(shù)

內(nèi)存是現(xiàn)在攻擊者更喜歡攻擊的地方：觀察到的前六種攻擊和攻擊技術(shù)中有四種是在內(nèi)存中

防御逃避和運行時內(nèi)存攻擊是當(dāng)今以檢測為重點的解決方案的關(guān)鍵弱點。虹科摩菲斯將這些發(fā)現(xiàn)與現(xiàn)實世界的分析相結(jié)合，涵蓋5,000多個客戶，900萬個端點和30,000個日常事件?；跈z測的解決方案努力阻止十大最流行、最具破壞性的MITRE攻擊和攻擊技術(shù)中的至少三種，這是一個關(guān)鍵的30%的安全漏洞。而虹科摩菲斯的預(yù)防優(yōu)先，終端和服務(wù)器的AMTD軟件始終可以防止這些攻擊和更多。

威脅行為者非常清楚這一差距。這正是供應(yīng)鏈攻擊、無文件攻擊、內(nèi)存攻擊、勒索軟件和零日攻擊等最先進(jìn)的網(wǎng)絡(luò)攻擊存在的原因。這就是為什么如此多的攻擊不斷成為頭條新聞的原因，盡管組織表面上有基于檢測的工具來保護(hù)。這些攻擊成功地逃避了檢測。

虹科摩菲斯的AMTD專門用于解決這一安全漏洞，并阻止未知的、逃避性的攻擊，以及針對運行時內(nèi)存的攻擊。同時，它還大幅削減了誤報警報，減少了分析師對其進(jìn)行調(diào)查的需要。AMTD是一種超輕量級的代理，不會導(dǎo)致性能下降，易于部署，易于技術(shù)堆棧集成，不需要維護(hù)或更新，因此大大降低了總擁有成本。

自動化MTD提供深度防御，以阻止NGAV、EPP和EDR/XDR/MDR不具備的最復(fù)雜和最具破壞性的攻擊。

虹科入侵防御方案

虹科終端安全解決方案，針對最高級的威脅提供了以預(yù)防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標(biāo)防御(AMTD)技術(shù)為支持。AMTD是一項提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù)，能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明，AMTD是網(wǎng)絡(luò)的未來，其提供了超輕量級深度防御安全層，以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下，針對無法檢測的網(wǎng)絡(luò)攻擊縮小他們的運行時內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護(hù)900萬臺Windows和Linux服務(wù)器、工作負(fù)載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。
虹科摩菲斯的自動移動目標(biāo)防御ATMD做到了什么？
1、主動進(jìn)行預(yù)防(簽名、規(guī)則、IOCs/IOA)；
2、主動自動防御運行時內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；
3、在執(zhí)行時立即阻止惡意軟件；
4、為舊版本操作系統(tǒng)提供全面保護(hù)；
5、可以忽略不計的性能影響(CPU/RAM)；
6、無誤報，通過確定警報優(yōu)先級來減少分析人員/SOC的工作量。