MTD技术的价值
2022-04-29姜兆楠
姜兆楠
当类似SolarWinds漏洞事件发生时,很多大型企业组织机构也被发现存在严重的漏洞,这反映出目前的网络安全解决方案并不足以对抗不断演变的高级攻击威胁。在此背景下,行业需要像移动目标防御(MTD)这样的创新技术来改善网络安全。
研究机构Gartner认为,MTD已被证明可以有效阻止勒索軟件和其他高级零日攻击,它将会成为提高内存、网络、应用程序和操作系统安全性的关键技术,让主动安全防护理念成为现实。
安全防护技术的变革
网络攻击包括已知和未知两种形态,已知攻击必须被阻止,因此基于签名技术等防御措施仍然是任何组织的安全战略中不可或缺的部分。然而,随着现在的攻击更加灵活新颖,这些工具已经不够用了,企业安全建设的终极目标应该是以MTD为起点,实现零信任(ZTA)战略架构的构建与升级。在美国国家标准与技术研究所(NIST)发布的零信任架构框架(800-207)中,明确建议企业组织对端点安全采用零信任方法,以确保更加可靠的网络安全防护态势。在ZTA框架内,所有的东西都必须经过持续不断验证和授权,MTD技术可以帮助企业安全团队更容易地向ZTA架构演进。
由于时间和资源的限制,大多数企业的安全团队短时间内还难以实施一个完整的ZTA框架。他们通常会优先在网络的边界处建立静态的防御体系,而这种方法不再有效。
一个熟悉的、固化的攻击面很容易被攻击者发现、到达并利用,这将导致重大的经济损失。如果感觉网络安全总是在追赶,那么网络攻防两端的平衡将永远无法建立。如果企业能创造一个灵活的攻击面,就像一架能够高速飞行的战斗机一样,结果将会大为改善,这就是移动目标防御背后的理念。这也是ZTA网络安全的目标之一,它正在成为数字防御的主导范式。
MTD
Gartner对MTD进行了正式的定义:MTD通过使用系统多态性来防止未知和零日攻击,以不可预测的方式隐藏应用程序、操作系统和其他关键资产目标,导致攻击面大幅减少,安全运营成本降低。从定义可以看出,MTD是一种预防为主的网络攻击方法,它的运作原理是移动的目标比固定的目标更难击中,因此可以通过动态或静态排列、变形、变换或混淆应用访问入口,来达到转移网络攻击的目的。此外,MTD还可以设置陷阱,捕捉威胁者的行动,以进一步防范未来的攻击。通过MTD技术的引用,企业可以将漏洞和弱点隐藏起来,不影响当前的NGAV、EPP或EDR等防护产品的功能。可以让勒索软件和其他高级攻击造成损害之前就被发现并快速得到阻断。
MTD可以应用在网络、主机和应用层面。这3种类型都有价值,但应用层面是最重要的。这是因为应用程序、操作系统和端点资源是最受欢迎的攻击入口。在应用层面上阻止攻击意味着即使他们在之前的层面上取得成功,最终仍然会失败。这是攻击变成事件之前的最后一道防线。而且,MTD不需要占用太多的设备计算资源,也不需要安全分析师的频繁干预,甚至不会占用太多的网络连接带宽。
尽管MTD的概念听起来很简单,但它的影响却很深远:让网络安全防护真正动起来。当防御系统保持移动状态时,他们会比攻击者领先一步。网络安全的本质是攻与防的对抗,MTD的应用,将改变一直以来的攻防力量态势,处于劣势的将会是攻击者,而不是防御者。
以Morphisec公司的MTD方案为例,其安全防护主要包括3个步骤:
变形和隐蔽
当一个应用程序加载到内存空间时,Morphisec会安全地改变进程结构,这使得内存对攻击者来说始终是不可预测的。
保护和欺骗
合法的应用程序代码内存会被动态更新以使用变形的资源,应用程序照常加载和运行。原有的内存空间被作为一个陷阱留下。
防止和暴露攻击
如果攻击以原始内存结构为目标发起,将无法找到他们期望和需要的资源。攻击会被立即阻止、抓获,并记录下完整的取证细节。
网络安全的下一个时代
网络安全的下一个时代已经到来。安全团队应该关注对安全威胁的反应速度而不是安全能力的堆叠。传统的网络安全是围绕着一个防御性的外围,允许任何有授权的人进入。而在ZTA框架中,没有任何东西具有信任状态,包括笔记本电脑和移动设备等端点。很多迹象都表明,ZTA将更可能成为未来网络安全建设的新标准。
在过去的一年里,攻击者在逃避检测和预防方面做的越来越好,攻击可以通过多种方式隐藏恶意意图并掩盖自己的真实性,其使用的一些关键技术包括:
多态性———更改恶意软件签名;
变形———在执行时更改恶意软件代码;
混淆———混淆恶意活动;
自加密———使用加密来隐藏恶意代码和数据;
反虚拟机/沙盒———更改行为以逃避取证分析;
防调试———在取证环境中切换策略以中断调试;
加密漏洞———更改参数和签名以逃避调查;
行为更改———在执行之前等待使用活动。
事实证明,这些技术在规避检测的时候非常有效,攻击者的优势会随着时间的推移而扩大。任何将攻击与敏感资产保持距离的尝试都不可避免地会失败。因此,安全性必须围绕资产本身。安全团队应该为MTD技术应用提前做好准备,它可以帮助企业更好地保护资产本身而不是攻击入口,将防御重点放在应用程序运行时所分配的内存资源上,实现对未知威胁的主动防御。