證據清楚地表明，盡管網絡安全投資在不斷擴大，但復雜的網絡威脅越來越成功。優(yōu)步和蘋果等家喻戶曉的品牌，殖民地管道等基本服務提供商，甚至整個民族國家都成為網絡攻擊的受害者，這些攻擊逃避了同類最好的控制。除了頭條新聞，襲擊事件也在螺旋式上升。每分鐘不止一次，才華橫溢、資金充裕的安全團隊在理應先進的威脅防御系統(tǒng)被攻破后，只能收拾殘局。

將當今的網絡攻擊聯(lián)系在一起的一個共同線索是，它們具有令人難以置信的破壞性?，F(xiàn)在，威脅在受害者網絡中徘徊的時間比以往任何時候都要長。2020至2021年間，攻擊者停留時間增加了36%。而且爆炸半徑比過去大得多。

因此，制定有效的戰(zhàn)略來阻止高級威脅從未像現(xiàn)在這樣重要。

高級威脅的工作原理

很久以前，即使是最基本的計算機病毒也是高級威脅。在無法阻止它們的情況下，像ILOVEYOU蠕蟲這樣的惡意軟件可能會在21世紀初危害數(shù)千萬臺電腦。作為回應，反病毒(AV)程序被構建來防御這些威脅。他們的工作前提是在受保護的網絡環(huán)境中發(fā)現(xiàn)并隔離看起來危險的文件、行為和附件。

威脅參與者在回應中發(fā)生了變化，像WANNACRY、Petya和NotPetya這樣的攻擊被認為是高級的、自我傳播的威脅。作為回應，下一代反病毒軟件(NGAV)應運而生。因此，威脅做出了回應。高級勒索軟件現(xiàn)在以服務形式提供(RAAS)。開源惡意軟件被黑客社區(qū)利用。事實證明，像SolarWinds和Kaseya這樣的供應鏈攻擊尤其具有破壞性。

基于端點保護平臺(EPP)和端點檢測和響應(EDR)等技術的現(xiàn)代安全堆棧的工作方式類似于早期的防病毒程序。這些技術比早期的同類技術在發(fā)現(xiàn)和阻止威脅方面做得更好。但它們都是在相同的“搜索和摧毀”概念下運作的。因此，典型的企業(yè)級安全態(tài)勢幾乎完全依賴于發(fā)現(xiàn)并隔離磁盤和網絡環(huán)境中的已知威脅。

這些基本的安全控制和基于簽名、模式和AI的解決方案仍然是必不可少的。但它們不再足以創(chuàng)造真正的安全。如今，最危險的威脅旨在繞過和逃避網絡安全工具。

高級威脅不會出現(xiàn)在大多數(shù)安全解決方案的雷達上，直到為時已晚，如果真的有的話。他們使用與合法系統(tǒng)管理員相同的應用程序來探測網絡并橫向移動。

破解版本的紅色團隊工具，如Cobalt Strike，允許威脅參與者攻擊設備內存中的合法進程。這些工具允許攻擊者在使用合法應用程序時搜索內存中存在的密碼和可利用的錯誤。它們還隱藏了防御者在應用程序運行時無法有效地掃描內存的地方。

因此，高級威脅繞過了基于掃描的安全解決方案(在運行時不能查看內存)和像Allow Listing這樣的控制。根據Picus最近的一份報告，91%的Darkside勒索軟件事件使用了合法的工具和進程。

高級威脅在運行時存在于內存中，在重啟、磁盤重新格式化和重新安裝設備操作系統(tǒng)的嘗試中也可以幸存下來。

這些復雜的攻擊過去只有國家支持的威脅參與者才能做。然而，今天，它們很常見。被黑客攻擊的Cobalt Strike版本允許威脅參與者以廉價和輕松的方式攻擊受害者的記憶。去年，排名前五的攻擊技術中有三種涉及設備內存。

如何阻止高級威脅

高級威脅正在利用典型企業(yè)安全狀態(tài)-設備內存中的明顯安全漏洞。但他們是可以被阻止的。

從長遠來看，防止威脅損害內存的最好方法是在應用程序和設備中構建更好的防御。軟件開發(fā)人員可以做更多的工作來構建對內存利用的緩解。它們可能會使威脅參與者更難利用合法網絡管理員使用的相同工具。

但是，只要應用程序構建并集成新功能(并且總是會產生錯誤)，內存損壞就是可能的。對于在遙遠的未來仍將在IT環(huán)境中運行的數(shù)以百萬計的傳統(tǒng)設備和應用程序而言，情況尤其如此。

目前，安全團隊為阻止高級威脅所能做的最好的事情是添加控制，從一開始就阻止對設備內存的訪問：
? ? ? ? ●建立縱深防御。沒有一種控制或解決方案可以保護組織免受高級威脅。安全團隊必須在從終端????? 到業(yè)務關鍵型服務器的每一層創(chuàng)建冗余。

●實行零信任。零信任的概念已經有47年的歷史了。然而，對于大多數(shù)企業(yè)來說，這仍然是一個難以實現(xiàn)的目標。根據Forrester最近的一項研究，實施零信任的組織將數(shù)據泄露的機會降低了50%。?

?●使用移動目標防御(MTD)技術保護設備內存。您不能在運行時有效地掃描設備內存。但您可以使密碼等記憶資產對威脅參與者實際上是不可見的。使用使用MTD變形(隨機化)內存的解決方案，使威脅無法找到他們的目標。

使用MTD構建高級威脅防御

NGAV、EPP和EDR等解決方案仍然是任何組織安全戰(zhàn)略的重要組成部分。它們對于阻止大多數(shù)表現(xiàn)出可識別特征和行為模式的攻擊鏈至關重要。

然而，隨著零日攻擊、內存威脅和無文件攻擊方法的增加，這些工具給防御者留下了一個嚴重的安全漏洞。迫切需要一種不同的解決方案來有效防御這些高級威脅目標的攻擊載體。它可以防止內存受損并阻止以前未見過的威脅。

進入移動目標防御(MTD)。被Gartner稱為最具影響力的新興技術之一，MTD創(chuàng)造了一個不可預測的內存攻擊面。這使得威脅不可能找到它們尋求的資源，無論它們有多復雜。同樣重要的是，MTD技術與其他網絡安全解決方案無縫集成，易于實施，并且可擴展。

今日推薦

Morphisec（摩菲斯）

??? Morphisec（摩菲斯）作為移動目標防御的領導者，已經證明了這項技術的威力。他們已經在5000多家企業(yè)部署了MTD驅動的漏洞預防解決方案，每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

• 勒索軟件(例如，Conti、Darkside、Lockbit)

• 后門程序(例如，Cobalt Strike、其他內存信標)
  

• 供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)
  

• 惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

??? ?Morphisec（摩菲斯）為關鍵應用程序，windows和linux本地和云服務器提供解決方案，2MB大小快速部署。

? ? ?免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點控制所有終端。請聯(lián)系我們免費獲取！

虹科是在各細分專業(yè)技術領域內的資源整合及技術服務落地供應商。虹科網絡安全事業(yè)部的宗旨是：讓網絡安全更簡單！憑借深厚的行業(yè)經驗和技術積累，近幾年來與世界行業(yè)內頂級供應商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關系。我們的解決方案包括網絡全流量監(jiān)控，數(shù)據安全，終端安全（動態(tài)防御），網絡安全評級，網絡仿真，物聯(lián)網設備漏洞掃描，安全網絡時間同步等行業(yè)領先解決方案。虹科的工程師積極參與國內外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術培訓和積累。

此外，我們積極參與工業(yè)互聯(lián)網產業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。