虹科分享 | 2023Gartner?終端安全發(fā)展規(guī)律周期：AMTD引領(lǐng)未來(lái)

導(dǎo)語(yǔ)：在2023年Gartner終端安全發(fā)展規(guī)律周期中，自動(dòng)移動(dòng)目標(biāo)防御（AMTD）嶄露頭角，虹科Morphisec被譽(yù)為AMTD領(lǐng)域的樣本供應(yīng)商。該周期呈現(xiàn)出終端安全領(lǐng)域的最新創(chuàng)新，旨在幫助安全領(lǐng)導(dǎo)者更好地規(guī)劃、采納和實(shí)施新技術(shù)。AMTD技術(shù)的預(yù)防性解決方案標(biāo)志著網(wǎng)絡(luò)安全邁出了新的一步，它以在攻擊開(kāi)始前預(yù)防和阻止攻擊為主，不同于傳統(tǒng)的檢測(cè)和響應(yīng)技術(shù)。

自動(dòng)移動(dòng)目標(biāo)防御(AMTD)首次被囊括在2023年Gartner Endpoint Security的發(fā)展規(guī)律周期中，作為一項(xiàng)正在崛起的技術(shù)。虹科Morphisec被評(píng)為AMTD類(lèi)別中的樣本供應(yīng)商。這一發(fā)展規(guī)律周期展示了終端安全領(lǐng)域最相關(guān)的創(chuàng)新，以幫助安全領(lǐng)導(dǎo)者規(guī)劃、采用和實(shí)施新興技術(shù)。終端安全創(chuàng)新側(cè)重于更快的自動(dòng)檢測(cè)和預(yù)防，以及威脅的補(bǔ)救，為集成的擴(kuò)展檢測(cè)和響應(yīng)(XDR)提供動(dòng)力，以將來(lái)自終端、網(wǎng)絡(luò)、網(wǎng)絡(luò)、電子郵件和身份識(shí)別等解決方案的數(shù)據(jù)點(diǎn)和遙測(cè)關(guān)聯(lián)起來(lái)?！罢鏕artner所指出的，“企業(yè)需要尖端的解決方案來(lái)保護(hù)終端免受攻擊和入侵。”

從歷史上看，終端安全一直側(cè)重于檢測(cè)和響應(yīng)技術(shù)?！癆MTD從‘檢測(cè)和響應(yīng)’轉(zhuǎn)變?yōu)椤鲃?dòng)欺騙和不可預(yù)測(cè)的變化’，使攻擊者更難利用目標(biāo)IT環(huán)境中的漏洞。”作為一種預(yù)防性解決方案，我們認(rèn)為AMTD被納入報(bào)告標(biāo)志著該行業(yè)發(fā)生了結(jié)構(gòu)性轉(zhuǎn)變，并重新調(diào)整了終端安全最佳實(shí)踐建議。

威脅正變得更加復(fù)雜和難以捉摸

從技術(shù)上講，檢測(cè)和響應(yīng)始于反病毒軟件的引入。反病毒程序?qū)ΧM(jìn)制文件和文件進(jìn)行靜態(tài)評(píng)估，以確定它們與已知惡意軟件的一致性。

下一代反病毒(NGAV)軟件和終端保護(hù)平臺(tái)隨后引入了動(dòng)態(tài)分析，這需要在受限環(huán)境中執(zhí)行文件，同時(shí)監(jiān)控它們的行為。

終端安全方面的下一項(xiàng)創(chuàng)新引入了業(yè)界當(dāng)前級(jí)別的EDR和擴(kuò)展檢測(cè)與響應(yīng)(XDR)技術(shù)，并管理檢測(cè)和響應(yīng)(MDR)服務(wù)。這些產(chǎn)品使用行為分析來(lái)監(jiān)控計(jì)算機(jī)上進(jìn)程的執(zhí)行，攔截關(guān)鍵功能，并進(jìn)行調(diào)查以獲得對(duì)行為的實(shí)時(shí)洞察。這種方法不僅仔細(xì)檢查了二進(jìn)制代碼，還仔細(xì)檢查了圍繞執(zhí)行的上下文因素。

如今，NGAV、EDR和XDR為檢測(cè)和響應(yīng)基于特征碼的已知威脅提供了基準(zhǔn)安全。然而，包括內(nèi)存、無(wú)文件和勒索軟件攻擊在內(nèi)的復(fù)雜且無(wú)法檢測(cè)的威脅越來(lái)越多地繞過(guò)了NGAV和EDR等傳統(tǒng)安全控制，現(xiàn)在占外部檢測(cè)到的攻擊的30%。

最近的例子包括一種針對(duì)金融和物流公司的新型Chaes惡意軟件變種，GuLoader，一種針對(duì)美國(guó)法律和投資公司的高級(jí)威脅，以及InvalidPrint，一種高度隱身的加載程序，在很長(zhǎng)一段時(shí)間內(nèi)對(duì)病毒Total的檢測(cè)為零。

Gartner的報(bào)告：“在過(guò)度強(qiáng)調(diào)檢測(cè)和響應(yīng)策略未能防止入侵的背景下，AMTD技術(shù)已經(jīng)出現(xiàn)，能夠在防御方面提供新的價(jià)值?！?/p>

AMTD提供的混淆和多態(tài)功能可以抵御攻擊

攻擊者在偵察方面投入了大量資金，以發(fā)現(xiàn)漏洞和利用機(jī)會(huì)。他們使用無(wú)文件惡意軟件和內(nèi)存攻擊等復(fù)雜技術(shù)來(lái)隱藏行為并逃避檢測(cè)。

防守者甚至可以在進(jìn)攻開(kāi)始之前就應(yīng)用類(lèi)似的戰(zhàn)術(shù)，使用AMTD技術(shù)來(lái)摧毀攻擊。AMTD借鑒了成熟的軍事戰(zhàn)略，即移動(dòng)的目標(biāo)比靜止的目標(biāo)更難“擊中”。在網(wǎng)絡(luò)安全領(lǐng)域，AMTD部署的戰(zhàn)術(shù)可以在IT環(huán)境中設(shè)計(jì)跨越攻擊面的變化或變化。這種基于多態(tài)的方法增加了潛在攻擊者面臨的不可預(yù)測(cè)性和復(fù)雜性。

在一場(chǎng)永無(wú)止境的網(wǎng)絡(luò)軍備競(jìng)賽中，攻擊者將利用人工智能來(lái)生成能夠繞過(guò)基于人工智能的保護(hù)解決方案的威脅。生成性人工智能進(jìn)一步提高了攻擊的復(fù)雜性、速度和規(guī)模，因此安全領(lǐng)導(dǎo)者必須尋求使用先于反應(yīng)性和資源密集型檢測(cè)和響應(yīng)解決方案的主動(dòng)和預(yù)防性技術(shù)來(lái)加強(qiáng)防御。正如Gartner所指出的，“AMTD幫助普通公司應(yīng)對(duì)新出現(xiàn)的人工智能威脅。對(duì)于沒(méi)有預(yù)算、人員或時(shí)間使用人工智能的組織來(lái)說(shuō)，AMTD是一種替代方案。”

安全團(tuán)隊(duì)的工作必須優(yōu)先考慮高保真警報(bào)

由于復(fù)雜且無(wú)法檢測(cè)的威脅向量(如前面提到的無(wú)文件、內(nèi)存和基于零日的技術(shù))繞過(guò)了傳統(tǒng)的安全控制以及檢測(cè)和響應(yīng)技術(shù)，漏洞風(fēng)險(xiǎn)和警報(bào)隨之而來(lái)。

未知和無(wú)法檢測(cè)的攻擊造成了越來(lái)越多的入侵，超過(guò)30%的攻擊被反病毒和EDR系統(tǒng)漏掉。作為回應(yīng)，IT和安全團(tuán)隊(duì)將檢測(cè)系統(tǒng)警報(bào)模型設(shè)置為最高設(shè)置，以標(biāo)記異常行為。但這些設(shè)置對(duì)系統(tǒng)性能產(chǎn)生了負(fù)面影響，并產(chǎn)生了大量警報(bào)，目前約占通知總數(shù)的40%。

安全團(tuán)隊(duì)正被誤報(bào)警報(bào)和耗時(shí)的警報(bào)調(diào)查淹沒(méi)。全國(guó)草坪護(hù)理和治療服務(wù)提供商TruGreen就是這種情況。TruGreen使用了多層安全模型，但他們不相信這能保護(hù)他們免受躲避攻擊。它的性能開(kāi)銷(xiāo)很大，并且會(huì)產(chǎn)生大量的誤報(bào)警報(bào)，每天都需要數(shù)小時(shí)的團(tuán)隊(duì)分析。該團(tuán)隊(duì)需要一個(gè)運(yùn)營(yíng)高效且對(duì)性能影響微乎其微的解決方案。

Morphisec幫助TruGreen將誤報(bào)減少了95%；首席安全架構(gòu)師Dale Slawinski指出：“使用我們之前的安全平臺(tái)，我們過(guò)去每天都會(huì)收到多達(dá)50個(gè)警報(bào)?，F(xiàn)在(有了Morphisec AMTD)，我們可能只有一兩個(gè)。

Morphisec的確定性機(jī)制創(chuàng)建高優(yōu)先級(jí)和保真度警報(bào)，幫助安全團(tuán)隊(duì)確定補(bǔ)救工作的優(yōu)先順序。Morphisec通過(guò)冷阻止攻擊并殺死惡意進(jìn)程來(lái)防止攻擊，從而為安全團(tuán)隊(duì)贏得時(shí)間。使用Morphisec AMTD，惡意進(jìn)程不再處于活動(dòng)狀態(tài)；相比之下，EDR技術(shù)可能只會(huì)在惡意進(jìn)程仍處于活動(dòng)狀態(tài)時(shí)創(chuàng)建警報(bào)。

使用AMTD采取預(yù)防性的安全措施

將當(dāng)前的終端安全解決方案與AMTD相結(jié)合是網(wǎng)絡(luò)安全的下一步發(fā)展，是組織抵御不斷變化的威脅格局的必備條件，尤其是在保護(hù)傳統(tǒng)系統(tǒng)方面。隨著新的集成層覆蓋在舊的服務(wù)器和設(shè)備之上，攻擊面擴(kuò)大，與傳統(tǒng)IT相關(guān)的風(fēng)險(xiǎn)也隨之?dāng)U大。

在通常無(wú)法修補(bǔ)的遺留系統(tǒng)中，即使是眾所周知的攻擊載體，如Internet Explorer漏洞，仍在導(dǎo)致數(shù)據(jù)泄露。例如，在2021年，18%的攻擊利用了2013年或更早披露的漏洞。隨著Windows7和Windows 8從那時(shí)起退出支持，這個(gè)數(shù)字現(xiàn)在可能會(huì)高得多。

自動(dòng)移動(dòng)目標(biāo)防御(AMTD)是對(duì)保護(hù)遺留系統(tǒng)的挑戰(zhàn)的一種成熟的回應(yīng)。它通過(guò)預(yù)防而不是應(yīng)對(duì)威脅來(lái)克服終端安全的架構(gòu)、技術(shù)和文化挑戰(zhàn)。通過(guò)一個(gè)極其輕量級(jí)(6MB)的代理，Morphisec的AMTD可以在系統(tǒng)使用時(shí)改變運(yùn)行時(shí)內(nèi)存。它通過(guò)移動(dòng)系統(tǒng)資產(chǎn)并將誘餌留在原來(lái)的位置來(lái)減少遺留攻擊面。

以下是考慮使用AMTD的IT或安全領(lǐng)導(dǎo)者的其他優(yōu)勢(shì)：

• 深度防御-所有組織都面臨勒索軟件、供應(yīng)鏈零日和無(wú)文件攻擊的風(fēng)險(xiǎn)增加；多態(tài)防御隱藏漏洞，使其免受多態(tài)攻擊。
• 運(yùn)營(yíng)效率-AMTD解決了遺留的安全問(wèn)題，并與您已經(jīng)使用的NGAV、EDR和XDR技術(shù)完全兼容，無(wú)需額外的員工或性能資源來(lái)運(yùn)行它。
• 減少開(kāi)支-通過(guò)在攻擊開(kāi)始前停止攻擊，AMTD減少了誤報(bào)警報(bào)，從而減少了對(duì)警報(bào)進(jìn)行分類(lèi)和分析的IT支持工單和人員需求。

據(jù)美國(guó)一家領(lǐng)先的對(duì)沖基金的CISO表示：“Morphisec提供了新型內(nèi)存保護(hù)技術(shù)，維護(hù)成本低，管理費(fèi)用少。在我們的技術(shù)堆棧中，Morphisec需要的維護(hù)和維護(hù)最少，提供卓越的保護(hù)?！?。AMTD技術(shù)標(biāo)志著網(wǎng)絡(luò)安全的下一步發(fā)展。與檢測(cè)和響應(yīng)技術(shù)不同，它專(zhuān)注于在攻擊開(kāi)始之前預(yù)防和阻止攻擊。

了解虹科網(wǎng)絡(luò)安全更多資訊，歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站：https://haocst.com/

聯(lián)系虹科工程師：13533491614 https://tl-tx.dustess.com/SNt7XyP3X1