自動移動目標防御——AMTD

終端安全

最佳實踐

在Gartner發(fā)布的《新興技術：自動化移動目標防御的安全浮現(xiàn)周期》報告中，摩菲斯被公認為是一個樣本供應商。該報告涵蓋了突破性的安全技術，據(jù)Gartner稱，這些技術正在為網(wǎng)絡防御可能性的新時代鋪平道路。

網(wǎng)絡防御必須跟上不斷發(fā)展的威脅技術的步伐。威脅參與者越來越多地使用復雜且無法檢測的威脅策略，如無文件、內存和零日、利用和其他規(guī)避技術，以繞過傳統(tǒng)的安全控制以及檢測和響應技術。

攻擊者正在演變并制造能夠繞過傳統(tǒng)安全控制以及檢測和響應技術的躲避和無法檢測的威脅。下一代防病毒(NGAV)、終端檢測和響應(EDR)以及擴展檢測和響應(XDR)解決方案是行業(yè)標準，但即使是這些系統(tǒng)也受到這些回避技術的挑戰(zhàn)。

這是因為NGAV/EPP和EDR/XDR系統(tǒng)對基于特征碼的已知行為模式攻擊進行檢測和警報。但使用規(guī)避技術的未知和無法檢測的攻擊正在上升，超過30%的攻擊繞過了檢測技術。作為回應，SOC團隊和安全分析師正在將檢測系統(tǒng)警報模式設置為最高設置，以便更好地標記異常行為并在威脅影響業(yè)務之前將其阻止。

然而，在高警報模式下運行的系統(tǒng)會對系統(tǒng)性能產生負面影響，并會產生大量誤報警報，占總通知的40%，其中31%的警報從未被調查過。即使設置為高警報模式，零日攻擊和其他高級攻擊仍會繞過業(yè)界最好的NGAV和EDR解決方案。有效的深度防御-將反應性檢測和響應與一流的預防功能相結合，以阻止已知和未知的攻擊。

1

使用自動移動目標防御(AMTD)

實現(xiàn)預防優(yōu)先的安全

對手不斷改進攻擊工具和技術，以規(guī)避流行的防御技術。傳統(tǒng)的惡意軟件和惡意軟件使用的可執(zhí)行文件會在磁盤或操作系統(tǒng)上留下證據(jù)。這些證據(jù)訓練防御工具發(fā)現(xiàn)具有說服力的部署信號，從而實現(xiàn)威脅隔離。

如今，復雜的攻擊鏈在運行時劫持合法的系統(tǒng)進程和目標設備內存，而不是在磁盤或操作系統(tǒng)上。這項技術不會留下行為模式分析所需的簽名。

威脅參與者使用的規(guī)避技術：

為了實時捕獲攻擊并拾取惡意模式，檢測工具需要在應用程序運行時多次掃描設備內存。當檢測系統(tǒng)設置為最激進的設置時，掃描大量數(shù)據(jù)可能會降低應用程序性能。

進入AMTD，Gartner將其稱為“網(wǎng)絡的未來”。AMTD技術使用多態(tài)來移動、更改、混淆或變形攻擊面，并擾亂對手的網(wǎng)絡殺傷鏈。它們通過引入復雜性、不確定性并使用不影響性能的超輕量級代理進行預防，從而有效地防御攻擊。

根據(jù)Gartner的Emerging Tech：Security-Emerging Cycle for Automated Moving Target Defense報告，“通過在代碼和運行時或操作系統(tǒng)環(huán)境中利用多態(tài)，威脅參與者很快就失去了預測存儲的內存變量的能力，以及用于在內存結構(堆或堆棧)中進行攻擊的內存掃描技術。這種AMTD技術可以有效地阻止常見軟件漏洞和暴露的執(zhí)行。

2

AMTD的工作原理

移動目標防御的概念是基于經(jīng)典的三管齊下的軍事戰(zhàn)略，該戰(zhàn)略采用了掩護和隱藏(使敵人更難觀察)、機動性(創(chuàng)建一個難以跟蹤的移動目標)和欺騙技術(通過呈現(xiàn)誘騙目標或虛假路徑來欺騙攻擊者)。

TruGreen是摩菲斯的客戶，也是美國最大的草坪護理和治療服務提供商(收入超過10億美元)，在6,000多個工作站和分布式運營中面臨著廣泛的威脅。由于擔心隱形攻擊，TruGreen選擇了摩菲斯 AMTD，以實現(xiàn)更高的安全性、成本效益和超輕量級應用。在進行安裝后的年度第三方滲透測試時，該團隊注意到，測試人員第一次無法訪問公司的終端，報告稱“通常我們可以繞過終端安全方面的東西，但我們無法繞過摩菲斯?！?/p>

網(wǎng)絡犯罪分子通過多態(tài)、混淆、加密和自我修改來武裝他們的惡意軟件，以逃避檢測并保持不可預測性。與傳統(tǒng)安全技術對靜態(tài)分析、簽名、文件信譽和異常檢測方法的依賴相比，這些策略為攻擊者提供了優(yōu)勢。

AMTD為競爭提供了一個公平的環(huán)境，并將優(yōu)勢還給了防御者-它使用多態(tài)防御和欺騙技術來動態(tài)改變組織的攻擊面，增加了不確定性和復雜性，使對手的攻擊更具挑戰(zhàn)性。當操作系統(tǒng)和應用程序目標被隱藏或隱藏時，從攻擊者的角度來看，它們會成為更昂貴、更具挑戰(zhàn)性和更耗時的目標。

靜態(tài)防御和標準安全控制不能捕捉到當今的躲避威脅，特別是在企業(yè)網(wǎng)絡內的橫向移動已經(jīng)建立的情況下。

摩菲斯 AMTD的三步流程旨在：

通過將端點變成不可預測的目標來變形和隱藏。當應用程序加載到內存空間時，摩菲斯會改變進程結構，以受控的方式重新定位和轉換庫、函數(shù)、變量和其他數(shù)據(jù)段。對于每個流程實例，每次運行都是唯一的，這使得攻擊者始終無法預測內存。

通過允許對變形結構的受控訪問來保護和欺騙。合法應用程序代碼存儲器被動態(tài)更新以使用變形后的資源。應用程序繼續(xù)照常加載和運行。原來結構的一個輕量級骨架被留下來作為陷阱。

在實踐中，AMTD跨網(wǎng)絡級別、主機級別和應用級別運行。摩菲斯的預防優(yōu)先安全軟件(由AMTD支持)使用獲得專利的零信任執(zhí)行技術來主動阻止規(guī)避攻擊。

通過中和和揭露攻擊來預防和揭露攻擊。攻擊的目標是原始結構，但失敗了，無法訪問它們預期和需要執(zhí)行的資源。攻擊被立即預防、捕獲和記錄，并帶有完整的過程細節(jié)。

3

AMTD的優(yōu)勢

首先，AMTD技術旨在補充現(xiàn)有安全堆棧中使用的檢測和響應工具。摩菲斯 AMTD增強了NGAV和EDR，通過使用深度防御功能來增強能力和強化整體攻擊面，這些能力可以阻止正在使用的技術錯過的未知攻擊。摩菲斯客戶群中的5000多家公司使用其AMTD技術來增強Microsoft Defender、CrowdStrike、SentinelOne、Trend Micro、Sophos和其他NGAV或EDR解決方案，以阻止這些解決方案無法阻止的攻擊。

根據(jù)Gartner的說法：“產品和服務與現(xiàn)有的檢測和響應解決方案的集成是構建未來支持AMTD的安全解決方案的基本要素。AMTD不會取代威脅檢測和響應技術；它會加強這些技術?！?。

AMTD為捍衛(wèi)者提供了幾個優(yōu)勢：

先發(fā)制人的行動，而不是等待攻擊者破壞組織才奏效。

針對多態(tài)攻擊隱藏漏洞的多態(tài)防御。

移除攻擊者獲得持久性的能力。

通過虛擬補丁進行漏洞保護，直到補丁程序發(fā)布。

快速簡單的部署，對性能的影響最小。

摩菲斯的超輕量化設計易于安裝和運行，不需要額外的員工人數(shù)或基礎設施調整。AMTD是真正的預防為先的安全，開創(chuàng)了一個新時代的先發(fā)制人戰(zhàn)略，在增強安全團隊能力的同時，奪走了攻擊者的創(chuàng)新優(yōu)勢。

Gartner表示：“新興技術能夠主動和持續(xù)地改變和改變IT環(huán)境和資產，同時利用先進的欺騙功能，這些技術將在未來三到五年內改變網(wǎng)絡安全市場。”

了解有關摩菲斯的ATMD技術的更多信息并觀看其實際操作-立即安排您的演示，了解為什么5,000多家企業(yè)信任摩菲斯能夠保護他們的環(huán)境免受最先進和破壞性的攻擊，包括勒索軟件、供應鏈、零日攻擊、無文件攻擊和內存攻擊。

·今日推薦·

//虹科入侵防御方案//

虹科終端安全解決方案，針對最高級的威脅提供了以預防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標防御(AMTD)技術為支持。AMTD是一項提高網(wǎng)絡防御水平并改變游戲規(guī)則的新興技術，能夠阻止勒索軟件、供應鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明，AMTD是網(wǎng)絡的未來，其提供了超輕量級深度防御安全層，以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下，針對無法檢測的網(wǎng)絡攻擊縮小他們的運行時內存安全漏洞。超過5,000家組織信任摩菲斯來保護900萬臺Windows和Linux服務器、工作負載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。
虹科摩菲斯的自動移動目標防御ATMD做到了什么？
1、主動進行預防(簽名、規(guī)則、IOCs/IOA)；
2、主動自動防御運行時內存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；
3、在執(zhí)行時立即阻止惡意軟件；
4、為舊版本操作系統(tǒng)提供全面保護；
5、可以忽略不計的性能影響(CPU/RAM)；
6、無誤報，通過確定警報優(yōu)先級來減少分析人員/SOC的工作量。

“

虹科通過創(chuàng)新幫助客戶成功，是您優(yōu)選的解決方案合作伙伴。虹科網(wǎng)絡安全事業(yè)部憑借深厚的行業(yè)經(jīng)驗和技術積累，近幾年來與世界行業(yè)內頂級供應商Morphisec，DataLocker，Lepide，SecurityScorecard，veracode，Mend，Onekey，Allegro，Profitap，Apposite等建立了緊密的合作關系，提供包括網(wǎng)絡全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡安全評級，網(wǎng)絡仿真，軟固件安全分析等行業(yè)領先解決方案。讓網(wǎng)絡安全更簡單！

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。