今天的網(wǎng)絡(luò)安全解決方案并不能對(duì)抗威脅者的高級(jí)攻擊。在SolarWinds漏洞事件發(fā)生后，即使是最大的公司和最安全的公共機(jī)構(gòu)也有嚴(yán)重的漏洞暴露。如果現(xiàn)有的解決方案能夠發(fā)揮作用，勒索軟件漏洞就不會(huì)發(fā)生，也不會(huì)造成如此大的經(jīng)濟(jì)破壞、品牌侵蝕和業(yè)務(wù)損失。在這種環(huán)境下，需要像移動(dòng)目標(biāo)防御（MTD）這樣的顛覆性創(chuàng)新技術(shù)來(lái)改善網(wǎng)絡(luò)安全。

技術(shù)研究公司Gartner確定了推動(dòng)安全市場(chǎng)創(chuàng)新的最具影響力的新興技術(shù)。他們認(rèn)為移動(dòng)目標(biāo)防御是提高內(nèi)存、網(wǎng)絡(luò)、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù)。這是因?yàn)橐苿?dòng)目標(biāo)防御被證明可以阻止勒索軟件和其他高級(jí)零日攻擊，使預(yù)防為主的安全成為現(xiàn)實(shí)。

但讓我們退一步講。到2025年，對(duì)網(wǎng)絡(luò)安全的投資預(yù)計(jì)將增長(zhǎng)到3160億美元。但是，網(wǎng)絡(luò)攻擊造成的損失正以指數(shù)級(jí)的速度上升，預(yù)計(jì)到2025年將達(dá)到10萬(wàn)億美元以上。Infosecurity雜志報(bào)道，2021年贖金軟件的平均付款額達(dá)到創(chuàng)紀(jì)錄的57萬(wàn)美元，而2020年為31.2萬(wàn)美元–這比2019年高出171%。

傳統(tǒng)的解決方案，如下一代防病毒（NGAV）、端點(diǎn)保護(hù)平臺(tái)（EPP）和端點(diǎn)檢測(cè)和響應(yīng)（EDR）解決方案，確實(shí)可以通過(guò)公認(rèn)的簽名和行為模式阻止已知的攻擊。但它們并不能防止先進(jìn)的攻擊，而這些攻擊是當(dāng)今對(duì)企業(yè)打擊最大的攻擊。繼續(xù)保持網(wǎng)絡(luò)安全的現(xiàn)狀，只會(huì)使這種情況變得更糟。

為什么？因?yàn)榧词故怯扇斯ぶ悄?、機(jī)器學(xué)習(xí)或異常檢測(cè)輔助的傳統(tǒng)解決方案也需要事先接觸到攻擊，以 “學(xué)習(xí) “如何阻止后續(xù)威脅。簽名和基于行為的防御措施在挫敗已知攻擊方面非常出色。但它們對(duì)高級(jí)持久性威脅，如零日、無(wú)文件、自定義打包的惡意軟件、內(nèi)存中白名單繞過(guò)和運(yùn)行時(shí)攻擊，基本上是盲目的。

為傳統(tǒng)的網(wǎng)絡(luò)安全解決方案提供動(dòng)力

這意味著目前受信任的技術(shù)錯(cuò)過(guò)了許多攻擊–包括最具破壞性的，如最初攻擊Minecraft的Log4J漏洞。當(dāng)這些攻擊沒(méi)有被發(fā)現(xiàn)或預(yù)防時(shí)，安全團(tuán)隊(duì)只能在損害開(kāi)始后做出反應(yīng)。僅僅基于這些解決方案的網(wǎng)絡(luò)安全使企業(yè)面臨重大的合規(guī)罰款、訴訟和品牌損害。

也就是說(shuō)，已知的攻擊也必須被阻止。因此，基于簽名和類似的防御措施仍然是任何安全戰(zhàn)略所不可或缺的。NGAV、EPP和EDR是努力實(shí)現(xiàn)零信任架構(gòu)（ZTA）框架的重要工具（如下所述）。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了。它們的終點(diǎn)就是基于移動(dòng)目標(biāo)防御的ZTA戰(zhàn)略的起點(diǎn)。

那么什么是ZTA？2020年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了一個(gè)名為零信任架構(gòu)（ZTA）的框架（800-207）。這份文件建議對(duì)端點(diǎn)采用零信任方法，以確保成熟的網(wǎng)絡(luò)安全態(tài)勢(shì)。在ZTA框架內(nèi)，沒(méi)有任何東西具有信任狀態(tài)。相反，所有的東西都必須經(jīng)過(guò)驗(yàn)證和授權(quán)，早期和反復(fù)的驗(yàn)證。移動(dòng)目標(biāo)防御幫助安全團(tuán)隊(duì)采用ZTA并接受阻止高級(jí)攻擊所需的變化。

塞翁失馬，焉知非福

大多數(shù)的安全團(tuán)隊(duì)都有很大的資源和時(shí)間限制。因此，他們往往無(wú)法實(shí)施一個(gè)完整的ZTA框架。他們通常專注于建立強(qiáng)大和可觀的防御，這些防御在本質(zhì)上是靜態(tài)的–圍繞重要端點(diǎn)的防御’墻’。這種方法不再有效。

為什么？一個(gè)熟悉的、不變的攻擊面使壞人很容易找到、到達(dá)和破壞他們的預(yù)定目標(biāo)。繞過(guò)現(xiàn)有防御措施（如NGAV、EPP和EDR解決方案）的威脅給IT安全團(tuán)隊(duì)帶來(lái)巨大壓力。而且，它們導(dǎo)致了重大的經(jīng)濟(jì)損失。如果感覺(jué)網(wǎng)絡(luò)安全總是在追趕，那是使用 “掘地三尺 “的防御措施的結(jié)果，這些防御措施對(duì)最具規(guī)避性的攻擊是無(wú)效的。

但是，如果你能創(chuàng)造一個(gè)靈活的攻擊面，就像一架能夠晃動(dòng)的戰(zhàn)斗機(jī)一樣，會(huì)怎么樣呢？這就是移動(dòng)目標(biāo)防御背后的理念。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)，它正在成為數(shù)字防御的主導(dǎo)范式。

什么是移動(dòng)目標(biāo)防御？

移動(dòng)目標(biāo)防御是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法，它的運(yùn)作原理是移動(dòng)的目標(biāo)比固定的目標(biāo)更難擊中。它不斷轉(zhuǎn)移和隱藏犯罪分子的進(jìn)入點(diǎn)，以拒絕他們的訪問(wèn)，補(bǔ)充反應(yīng)性的防御措施，如基于簽名的防病毒防御系統(tǒng)。此外，它還設(shè)置陷阱，捕捉威脅者的行動(dòng)，以進(jìn)一步防范未來(lái)的攻擊。一個(gè)更正式的定義如下：

“移動(dòng)目標(biāo)防御通過(guò)使用系統(tǒng)多態(tài)性來(lái)防止未知和零日攻擊，以不可預(yù)測(cè)的方式隱藏應(yīng)用程序、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo)，導(dǎo)致攻擊面大幅減少，安全運(yùn)營(yíng)成本降低?！?

有一個(gè)關(guān)于移動(dòng)目標(biāo)防御的工作方式的比喻。每家銀行的門上都有鎖（下一代防病毒），以防止騙子進(jìn)入。也許還有錄像機(jī)（端點(diǎn)保護(hù)或端點(diǎn)檢測(cè)和響應(yīng)）來(lái)警告犯罪者，并在犯罪分子穿透防線時(shí)記錄非法活動(dòng)。

大多數(shù)攻擊都是按照規(guī)定的路線到達(dá)其預(yù)定目標(biāo)。但是，如果該路線中的入口點(diǎn)一直處于運(yùn)動(dòng)狀態(tài)，那么它們就是不可預(yù)測(cè)的和未知的。因此，當(dāng)攻擊者不能找到他們所期望的–進(jìn)入一個(gè)組織的門或窗–他們就會(huì)失敗。鑒于延續(xù)這些攻擊的額外努力和成本，大多數(shù)攻擊者會(huì)轉(zhuǎn)向其他更容易的目標(biāo)。

移動(dòng)目標(biāo)防御將漏洞和弱點(diǎn)隱藏起來(lái)，不影響當(dāng)前的NGAV、EPP或EDR功能。它確保在零日、勒索軟件和其他高級(jí)攻擊造成損害之前就被阻止。

MTD可以應(yīng)用在網(wǎng)絡(luò)、主機(jī)和應(yīng)用層面。這三種類型都有價(jià)值，但應(yīng)用層面是最重要的。這是因?yàn)閼?yīng)用程序、操作系統(tǒng)和端點(diǎn)資源是最受歡迎的攻擊入口。

在應(yīng)用層面上阻止攻擊意味著即使他們?cè)谥暗膶用嫔先〉贸晒?，最終仍然會(huì)失敗。這是攻擊變成事件之前的最后一道防線。MTD在惡意軟件部署之前阻止攻擊。而且，它不需要設(shè)備資源的壓力，不需要人類分析員的干預(yù)，甚至不需要強(qiáng)大的互聯(lián)網(wǎng)連接。

移動(dòng)目標(biāo)防御的概念很簡(jiǎn)單，但它的影響卻很深遠(yuǎn)：網(wǎng)絡(luò)安全不再停滯不前。相反，它超越并戰(zhàn)勝了攻擊者。當(dāng)防御系統(tǒng)保持移動(dòng)時(shí)，他們會(huì)比攻擊者領(lǐng)先一步。面對(duì)MTD，處于劣勢(shì)的是攻擊者，而不是防御者。

對(duì)于一個(gè)現(xiàn)實(shí)世界的例子，Morphisec的MTD的三個(gè)步驟包括：

1. 變形和隱蔽。當(dāng)一個(gè)應(yīng)用程序加載到內(nèi)存空間時(shí)，Morphisec會(huì)安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對(duì)攻擊者來(lái)說(shuō)始終是不可預(yù)測(cè)的。

2. 保護(hù)和欺騙。合法的應(yīng)用程序代碼內(nèi)存被動(dòng)態(tài)更新以使用變形的資源。應(yīng)用程序照常加載和運(yùn)行。原有結(jié)構(gòu)的架構(gòu)被作為一個(gè)陷阱留下。

3. 防止和暴露攻擊。攻擊以原始結(jié)構(gòu)為目標(biāo)，但無(wú)法找到他們期望和需要的資源。攻擊會(huì)被立即阻止、抓獲，并記錄下完整的取證細(xì)節(jié)。

什么是零信任架構(gòu)？

傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個(gè)防御性的外圍，允許任何有授權(quán)的人進(jìn)入。然后，它 “相信 “發(fā)生在外圍的一切都有廣泛的權(quán)限。

不幸的是，攻擊者善于獲得證書，以潛入周邊地區(qū)。一旦進(jìn)入，他們就會(huì)利用自己受信任的身份，在不觸發(fā)警報(bào)的情況下隨意行動(dòng)。

在ZTA框架中，沒(méi)有任何東西具有信任狀態(tài)，包括筆記本電腦和移動(dòng)設(shè)備等端點(diǎn)。相反，一切都必須盡早和反復(fù)地進(jìn)行驗(yàn)證和授權(quán)。零信任盡可能限制訪問(wèn)權(quán)限，并驗(yàn)證任何給定的訪問(wèn)權(quán)限。當(dāng)這種方法應(yīng)用于網(wǎng)絡(luò)安全的各個(gè)方面時(shí)，攻擊必須克服反復(fù)出現(xiàn)的障礙并逃避不斷的審查。

ZTA在十年的時(shí)間里已經(jīng)從一個(gè)假設(shè)的框架發(fā)展成為網(wǎng)絡(luò)安全的核心。2021年5月，拜登政府簽署了第14028號(hào)行政命令，指示NIST更新ZTA框架等授權(quán)。所有聯(lián)邦機(jī)構(gòu)以及與這些機(jī)構(gòu)有業(yè)務(wù)往來(lái)的人都必須遵守。

無(wú)數(shù)安全團(tuán)隊(duì)要么首次采用NIST ZTA，要么將其推向安全戰(zhàn)略的最前沿。所有跡象都表明，ZTA將更多地成為網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

躲避攻擊的剖析

仔細(xì)研究規(guī)避攻擊可以清楚地了解為什么ZTA和移動(dòng)目標(biāo)防御對(duì)于網(wǎng)絡(luò)安全至關(guān)重要。在過(guò)去的一年里，零日漏洞利用和勒索軟件攻擊創(chuàng)下了記錄。隨著大量資源支撐著網(wǎng)絡(luò)犯罪，攻擊者在逃避檢測(cè)和預(yù)防方面只會(huì)越來(lái)越好。

攻擊可以通過(guò)多種方式隱藏惡意意圖并掩蓋自己的真實(shí)性。該列表始終在擴(kuò)展和發(fā)展，但一些關(guān)鍵技術(shù)包括：

• 多態(tài)性 – 更改惡意軟件簽名

• 變形 – 在執(zhí)行時(shí)更改惡意軟件代碼

• 混淆 – 混淆惡意活動(dòng)

• 自加密 – 使用加密來(lái)隱藏惡意代碼和數(shù)據(jù)

• 反虛擬機(jī)/沙盒 – 更改行為以逃避取證分析

• 防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試

• 加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查

• 行為更改 – 在執(zhí)行之前等待使用活動(dòng)

事實(shí)證明，這些規(guī)避技術(shù)非常有效，攻擊者的優(yōu)勢(shì)隨著時(shí)間的推移而擴(kuò)大。

零信任承認(rèn)了這一現(xiàn)實(shí)。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會(huì)失敗。因此，安全性必須圍繞資產(chǎn)本身。ZTA MTD保護(hù)目標(biāo)而不是入口點(diǎn)。這縮小了攻擊面，并防止了破壞安全外層的攻擊。

終端：網(wǎng)絡(luò)安全的新前沿

近年來(lái)，終端已經(jīng)從物理設(shè)備發(fā)展到各種虛擬等效設(shè)備。流行的例子包括虛擬桌面基礎(chǔ)架構(gòu)（VDI）、云工作負(fù)載和遠(yuǎn)程桌面，所有這些最近都得到了迅速的采用。它們已成為現(xiàn)代辦公室的重要工具。但是，在此過(guò)程中，它們也已成為嚴(yán)重的安全負(fù)擔(dān) – 攻擊者敏銳地意識(shí)到了這一點(diǎn)。

針對(duì)遠(yuǎn)程桌面協(xié)議 （RDP） 的攻擊增加了兩倍多，針對(duì)云服務(wù)的攻擊增加了500%以上。盡管存在令人不安的安全漏洞，但 VDI 使用率仍增加了 100%。這些新終結(jié)點(diǎn)的示例具有幾個(gè)共同點(diǎn)。傳統(tǒng)的終端安全方法不容易或充分保護(hù)它們。他們每個(gè)人都依賴眾多的信任關(guān)系，這些關(guān)系使他們面臨剝削，原因如前所述。

從勒索軟件到零日威脅，再到社會(huì)工程計(jì)劃，終端攻擊越來(lái)越普遍，而且具有破壞性。在一項(xiàng)調(diào)查中，近70%的受訪者看到終端攻擊增加，并成為至少一個(gè)攻擊的受害者。

向遠(yuǎn)程工作的突然轉(zhuǎn)變使許多現(xiàn)有的終端防御措施不足或過(guò)時(shí)。它解釋了終端攻擊激增的部分原因。但更大的解釋是構(gòu)成終端的擴(kuò)展。這為黑客提供了更大的攻擊目標(biāo)和新的漏洞利用。

移動(dòng)目標(biāo)防御具有無(wú)與倫比的能力，使ZTA終端安全變得簡(jiǎn)單有效。MTD 將防御重點(diǎn)放在應(yīng)用程序內(nèi)存上，大多數(shù)攻擊都試圖攻擊應(yīng)用程序內(nèi)存。它可以挫敗這些攻擊，而無(wú)需提前發(fā)現(xiàn)它們或轉(zhuǎn)移攻擊。它使端點(diǎn)免受未知和規(guī)避威脅，而無(wú)需擴(kuò)展的安全設(shè)備?；贛TD的ZTA使攻擊者最難贏得最后的戰(zhàn)斗。

移動(dòng)目標(biāo)防御是網(wǎng)絡(luò)安全的下一個(gè)時(shí)代

規(guī)避攻擊者專注于終端。隨著新的違規(guī)行為成為頭條新聞，安全團(tuán)隊(duì)必須以不同的方式做出反應(yīng)和思考，以保護(hù)其組織的福祉。

網(wǎng)絡(luò)攻擊的下一個(gè)時(shí)代已經(jīng)到來(lái)。下一個(gè)網(wǎng)絡(luò)安全時(shí)代需要做出回應(yīng)。當(dāng)今同類最佳的網(wǎng)絡(luò)安全需要將 ZTA 技術(shù)與 MTD 技術(shù)相結(jié)合。安全團(tuán)隊(duì)?wèi)?yīng)該關(guān)注速度而不是實(shí)力;智能而不是規(guī)模。