Gartner發(fā)布了一份專注于自動(dòng)移動(dòng)目標(biāo)防御(AMTD)技術(shù)的新報(bào)告。該公司將其稱為“一種新興的改變游戲規(guī)則的技術(shù)，用于改善網(wǎng)絡(luò)防御……。有效地緩解了許多已知的威脅，并可能在十年內(nèi)緩解大多數(shù)零日漏洞，進(jìn)一步將風(fēng)險(xiǎn)轉(zhuǎn)移到人類和業(yè)務(wù)流程上。“

僅靠靜態(tài)防御是不夠的

網(wǎng)絡(luò)安全的發(fā)展始于反病毒(AV)軟件，該軟件提供對(duì)二進(jìn)制文件和文件的靜態(tài)分析，以檢查它們是否與已知的惡意軟件相對(duì)應(yīng)。下一代反病毒(NGAV)軟件和終端保護(hù)平臺(tái)增加了動(dòng)態(tài)分析，可在沙箱環(huán)境中執(zhí)行文件并觀察該文件。終點(diǎn)檢測(cè)和響應(yīng)(EDR/XDR/MDR)通過行為分析進(jìn)一步說明了這一點(diǎn)。EDR技術(shù)觀察計(jì)算機(jī)上的執(zhí)行，連接到重要函數(shù)/系統(tǒng)調(diào)用以實(shí)時(shí)了解行為，并不僅分析二進(jìn)制代碼，還分析圍繞執(zhí)行的一切。

移動(dòng)目標(biāo)防御(MTD)技術(shù)是網(wǎng)絡(luò)安全的下一步演進(jìn)，與之前的技術(shù)不同，它是預(yù)防性的，而不是專注于檢測(cè)和反應(yīng)。MTD基于軍事戰(zhàn)略中的一個(gè)基本前提，即運(yùn)動(dòng)目標(biāo)比靜止目標(biāo)更難攻擊。MTD使用策略來協(xié)調(diào)整個(gè)攻擊面上IT環(huán)境的移動(dòng)或更改，以增加攻擊者的不確定性和復(fù)雜性。

根據(jù)這份報(bào)告，自動(dòng)化MTD通過引入戰(zhàn)略變化來減少暴露的攻擊面，同時(shí)增加對(duì)攻擊者的偵察和惡意攻擊的成本。AMTD包括移動(dòng)、更改、混淆或變形攻擊面，以擾亂對(duì)手的網(wǎng)絡(luò)殺傷鏈。

AMTD的四要素

根據(jù)Gartner的說法，這項(xiàng)技術(shù)包括四個(gè)主要元素：“主動(dòng)的網(wǎng)絡(luò)防御機(jī)制；自動(dòng)協(xié)調(diào)攻擊面的移動(dòng)或變化；欺騙技術(shù)的使用，以及執(zhí)行智能(預(yù)先計(jì)劃的)變化決策的能力?！?br />

請(qǐng)注意，雖然欺騙是(A)MTD的一個(gè)關(guān)鍵技術(shù)組成部分，但它并不是它的同義詞。虹科摩菲斯的下表概述了欺騙技術(shù)、MTD和AMTD之間的區(qū)別。

移動(dòng)目標(biāo)防御MTD和欺騙

例如，虹科摩菲斯的專利自動(dòng)移動(dòng)目標(biāo)防御技術(shù)使用系統(tǒng)多態(tài)性來創(chuàng)建隨機(jī)、動(dòng)態(tài)的運(yùn)行時(shí)內(nèi)存環(huán)境，移動(dòng)應(yīng)用程序內(nèi)存、API和其他操作系統(tǒng)資源，同時(shí)保留誘餌陷阱。這使得威脅參與者幾乎不可能找到他們正在尋找的東西--你無法擊中你看不到的東西。

任何試圖在誘餌上執(zhí)行的代碼都會(huì)被自動(dòng)報(bào)告和捕獲以進(jìn)行取證分析，同時(shí)真正的系統(tǒng)資源保持安全并防止攻擊。正如Kentucky Trailer的IT副總裁Rick Schibler所說:“摩菲斯的移動(dòng)目標(biāo)防御對(duì)于強(qiáng)化我們的攻擊面至關(guān)重要?！?/p>

AMTD的市場(chǎng)影響

多年來，在現(xiàn)代戰(zhàn)爭(zhēng)戰(zhàn)略中，AMTD在軍事學(xué)說中被證明是成功的。然而，Gartner指出，從歷史上看，AMTD在商業(yè)網(wǎng)絡(luò)安全中的使用一直是有限的，但現(xiàn)在這種情況正在改變。該公司表示，各種新興安全技術(shù)迅速轉(zhuǎn)向安全程序和底層技術(shù)，以增加攻擊者的負(fù)擔(dān)，迫使他們更加努力地工作，否則他們的惡意努力將徹底失敗。

目前，下一代防病毒(NGAV)、終端保護(hù)平臺(tái)(EPP)以及終端檢測(cè)和響應(yīng)(EDR/XDR/MDR)等反應(yīng)性、基于檢測(cè)的技術(shù)主導(dǎo)著網(wǎng)絡(luò)安全市場(chǎng)。這些技術(shù)的工作原理是，首先檢測(cè)惡意文件或行為模式，然后對(duì)其進(jìn)行響應(yīng)。它們本質(zhì)上是反應(yīng)性的。報(bào)告建議，預(yù)防應(yīng)該是一個(gè)更重要的重點(diǎn)。盡管預(yù)防并不是安全技術(shù)中的靈丹妙藥，但Gartner認(rèn)為，有必要鼓勵(lì)市場(chǎng)專注于前景看好的與預(yù)防相關(guān)的新技術(shù)。

考慮到攻擊者投入攻擊偵察以發(fā)現(xiàn)漏洞和利用受害者系統(tǒng)的正確方式，AMTD的預(yù)防性方法尤其重要。許多現(xiàn)代網(wǎng)絡(luò)攻擊具有高度的針對(duì)性，并為規(guī)避和繞過特定的防御層而量身定做。

該報(bào)告提到了與運(yùn)營技術(shù)(OT)相關(guān)的用例。由于行業(yè)的多樣性和行業(yè)環(huán)境的專業(yè)性，惡意攻擊者需要投入時(shí)間和資源來收集成功所需的情報(bào)。AMTD方法，如模糊和系統(tǒng)變形，在防御這種高度定向的攻擊方面特別有價(jià)值。這種預(yù)防性方法在保護(hù)終端和服務(wù)器工作負(fù)載(通常是組織最大的攻擊面)方面特別有效。

出于這個(gè)原因，Gartner預(yù)測(cè)“到2025年，25%的云應(yīng)用程序?qū)⒗肁MTD功能和概念作為內(nèi)置預(yù)防方法，增強(qiáng)現(xiàn)有的云Web應(yīng)用程序和API保護(hù)(WAAP)技術(shù)?！痹摴具€預(yù)測(cè)，“到2025年，基于AMTD的解決方案將取代至少15%的只專注于檢測(cè)和響應(yīng)的傳統(tǒng)解決方案，而2023年這一比例不到2%。”Gartner預(yù)計(jì)，到2030年，基于AMTD的抗利用漏洞的硬件和軟件將出現(xiàn)，“將安全重點(diǎn)進(jìn)一步轉(zhuǎn)移到業(yè)務(wù)流程、身份濫用和社會(huì)工程預(yù)防上，而不是應(yīng)用、終端和工作負(fù)載安全戰(zhàn)略?！?/p>

Gartner提供了AMTD自動(dòng)化概念的一個(gè)例子：

確定目標(biāo)資產(chǎn)；

選擇變形間隔；

自動(dòng)進(jìn)行資產(chǎn)重新配置。

我們相信，虹科摩菲斯的技術(shù)融合了所有這三個(gè)概念，保護(hù)了多個(gè)系統(tǒng)資源，并由于欺騙技術(shù)而包括了攻擊可見性。

自動(dòng)化MTD已經(jīng)出現(xiàn)-而且它被證明是有效的

已有超過5,000家公司在大約900萬個(gè)終端以及Windows和Linux服務(wù)器上部署了虹科摩菲斯的自動(dòng)移動(dòng)目標(biāo)防御技術(shù)。他們使用它來增強(qiáng)NGAV、EPP和EDR/MDR解決方案，并阻止這些解決方案無法檢測(cè)到的最高級(jí)和不可檢測(cè)的攻擊。兩個(gè)這樣的例子包括：

TruGreen

總部位于田納西州孟菲斯的TruGreen是美國最大的定制草坪護(hù)理和治療服務(wù)提供商，擁有超過12,000名員工，年收入超過15億美元。

TruGreen的首席安全架構(gòu)師Dale Slawinski說，TruGreen部署了摩菲斯的AMTD軟件，并發(fā)現(xiàn)“在我們之前的解決方案中，需要7個(gè)代理才能完成我們僅用一個(gè)虹科摩菲斯代理所做的相同事情?！?/p>

該公司實(shí)現(xiàn)了2.3倍的投資回報(bào)，同時(shí)將軟件成本削減了三分之二，并將誤報(bào)削減了95%。

TruGreen每年都會(huì)引入一個(gè)客觀的第三方來進(jìn)行滲透測(cè)試，以確定網(wǎng)絡(luò)犯罪分子可以利用的漏洞。TruGreen的網(wǎng)絡(luò)安全工程師瑞安·帕根(Ryan Pagan)表示：“今年，我們第一次能夠阻止測(cè)試者侵入我們的一個(gè)終端。”在實(shí)施了摩菲斯后，測(cè)試員無法找出是什么阻止了他的破解。他花了幾個(gè)小時(shí)試圖破解我們的安全系統(tǒng)，但沒能破解。測(cè)試人員對(duì)我們說，‘通常情況下，我們可以繞過終端安全問題，但我們無法繞過摩菲斯。’“

AltraIndustrial Motion

Altra Industrial Motion(Altra Motion)是一家美國機(jī)械動(dòng)力傳動(dòng)產(chǎn)品制造商，在17個(gè)國家擁有9100名員工，收入17億美元。

Altra Motion首席信息官里克·克洛茨說：“花費(fèi)的美元與安全價(jià)值無關(guān)。我們?cè)贛DR提供商上花了很多錢，但我們?nèi)匀槐还テ疲坏貌蛔约鹤龊芏喙ぷ??！?/p>

Altra Motion使用摩菲斯 AMTD部署了Microsoft Defender，以保護(hù)其關(guān)鍵基礎(chǔ)架構(gòu)免受已知和未知攻擊。

虹科摩菲斯的AMTD技術(shù)的預(yù)防能力使Klotz的團(tuán)隊(duì)采用了一種全新的安全態(tài)勢(shì)，具有更高的運(yùn)營效率。所以現(xiàn)在，“我們沒有花太多時(shí)間在檢測(cè)和響應(yīng)上，”Klotz說，“因?yàn)槲覀儾恍枰@樣做?！毕喾?，他們專注于培訓(xùn)人員、改進(jìn)流程和規(guī)劃新出現(xiàn)的威脅。這些都是他們現(xiàn)在擁有資源的高級(jí)別計(jì)劃，因?yàn)锳MTD阻止了他們用來檢測(cè)和防止他們用來補(bǔ)救的損害的攻擊。

AMTD擴(kuò)大了30%的關(guān)鍵安全差距

虹科摩菲斯使用自動(dòng)移動(dòng)目標(biāo)防御來主動(dòng)阻止最復(fù)雜和最具破壞性的網(wǎng)絡(luò)攻擊，而不需要事先了解它們——甚至不需要檢測(cè)它們。

像NGAV這樣的網(wǎng)絡(luò)安全工具需要來自以前攻擊的惡意軟件文件簽名，以便它們可以識(shí)別惡意文件來檢測(cè)和響應(yīng)它們。像EPP和EDR/XDR/MDR這樣的工具需要以前攻擊的可識(shí)別的行為模式來檢測(cè)和響應(yīng)它們。而這些工具在這種情況下工作得很好。

但它們有一個(gè)安全漏洞-未知攻擊、躲避攻擊和那些針對(duì)運(yùn)行時(shí)內(nèi)存的攻擊，這些工具無法有效地掃描這些攻擊。為了量化這一差距，虹科摩菲斯分析了Picus Labs 2021 Red Report，該報(bào)告基于對(duì)200,000個(gè)惡意軟件樣本的分析。Red Report根據(jù)觀察到的惡意軟件樣本的百分比確定了最流行的10種MITRE ATT&CK技術(shù)。兩個(gè)主要發(fā)現(xiàn)是：

逃避防御是最常見的攻擊和攻擊戰(zhàn)術(shù)：在TA005中，觀察到的十大攻擊和攻擊技術(shù)中有五個(gè)被歸類為逃避防御戰(zhàn)術(shù)

內(nèi)存是現(xiàn)在攻擊者更喜歡攻擊的地方：觀察到的前六種攻擊和攻擊技術(shù)中有四種是在內(nèi)存中

防御逃避和運(yùn)行時(shí)內(nèi)存攻擊是當(dāng)今以檢測(cè)為重點(diǎn)的解決方案的關(guān)鍵弱點(diǎn)。虹科摩菲斯將這些發(fā)現(xiàn)與現(xiàn)實(shí)世界的分析相結(jié)合，涵蓋5,000多個(gè)客戶，900萬個(gè)端點(diǎn)和30,000個(gè)日常事件?；跈z測(cè)的解決方案努力阻止十大最流行、最具破壞性的MITRE攻擊和攻擊技術(shù)中的至少三種，這是一個(gè)關(guān)鍵的30%的安全漏洞。而虹科摩菲斯的預(yù)防優(yōu)先，終端和服務(wù)器的AMTD軟件始終可以防止這些攻擊和更多。

威脅行為者非常清楚這一差距。這正是供應(yīng)鏈攻擊、無文件攻擊、內(nèi)存攻擊、勒索軟件和零日攻擊等最先進(jìn)的網(wǎng)絡(luò)攻擊存在的原因。這就是為什么如此多的攻擊不斷成為頭條新聞的原因，盡管組織表面上有基于檢測(cè)的工具來保護(hù)。這些攻擊成功地逃避了檢測(cè)。

虹科摩菲斯的AMTD專門用于解決這一安全漏洞，并阻止未知的、逃避性的攻擊，以及針對(duì)運(yùn)行時(shí)內(nèi)存的攻擊。同時(shí)，它還大幅削減了誤報(bào)警報(bào)，減少了分析師對(duì)其進(jìn)行調(diào)查的需要。AMTD是一種超輕量級(jí)的代理，不會(huì)導(dǎo)致性能下降，易于部署，易于技術(shù)堆棧集成，不需要維護(hù)或更新，因此大大降低了總擁有成本。

自動(dòng)化MTD提供深度防御，以阻止NGAV、EPP和EDR/XDR/MDR不具備的最復(fù)雜和最具破壞性的攻擊。

虹科入侵防御方案

虹科終端安全解決方案，針對(duì)最高級(jí)的威脅提供了以預(yù)防為優(yōu)先的安全，阻止從終端到云的其他攻擊。虹科摩菲斯以自動(dòng)移動(dòng)目標(biāo)防御(AMTD)技術(shù)為支持。AMTD是一項(xiàng)提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù)，能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無文件攻擊和其他高級(jí)攻擊。Gartner研究表明，AMTD是網(wǎng)絡(luò)的未來，其提供了超輕量級(jí)深度防御安全層，以增強(qiáng)NGAV、EPP和EDR/XDR等解決方案。我們?cè)诓挥绊懶阅芑虿恍枰~外工作人員的情況下，針對(duì)無法檢測(cè)的網(wǎng)絡(luò)攻擊縮小他們的運(yùn)行時(shí)內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護(hù)900萬臺(tái)Windows和Linux服務(wù)器、工作負(fù)載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級(jí)攻擊。
虹科摩菲斯的自動(dòng)移動(dòng)目標(biāo)防御ATMD做到了什么？
1、主動(dòng)進(jìn)行預(yù)防(簽名、規(guī)則、IOCs/IOA)；
2、主動(dòng)自動(dòng)防御運(yùn)行時(shí)內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件；
3、在執(zhí)行時(shí)立即阻止惡意軟件；
4、為舊版本操作系統(tǒng)提供全面保護(hù)；
5、可以忽略不計(jì)的性能影響(CPU/RAM)；
6、無誤報(bào)，通過確定警報(bào)優(yōu)先級(jí)來減少分析人員/SOC的工作量。