【虹科白皮书】通过移动目标防御阻止勒索软件和其他高级威胁

今天的网络安全解决方案并不能对抗威胁者的高级攻击。在SolarWinds漏洞事件发生后，即使是最大的公司和最安全的公共机构也有严重的漏洞暴露。如果现有的解决方案能够发挥作用，勒索软件漏洞就不会发生，也不会造成如此大的经济破坏、品牌侵蚀和业务损失。在这种环境下，需要像移动目标防御（MTD）这样的颠覆性创新技术来改善网络安全。

技术研究公司Gartner确定了推动安全市场创新的最具影响力的新兴技术。他们认为移动目标防御是提高内存、网络、应用程序和操作系统安全性的关键技术。这是因为移动目标防御被证明可以阻止勒索软件和其他高级零日攻击，使预防为主的安全成为现实。

但让我们退一步讲。到2025年，对网络安全的投资预计将增长到3160亿美元。但是，网络攻击造成的损失正以指数级的速度上升，预计到2025年将达到10万亿美元以上。Infosecurity杂志报道，2021年赎金软件的平均付款额达到创纪录的57万美元，而2020年为31.2万美元–这比2019年高出171%。

传统的解决方案，如下一代防病毒（NGAV）、端点保护平台（EPP）和端点检测和响应（EDR）解决方案，确实可以通过公认的签名和行为模式阻止已知的攻击。但它们并不能防止先进的攻击，而这些攻击是当今对企业打击最大的攻击。继续保持网络安全的现状，只会使这种情况变得更糟。

为什么？因为即使是由人工智能、机器学习或异常检测辅助的传统解决方案也需要事先接触到攻击，以 “学习 “如何阻止后续威胁。签名和基于行为的防御措施在挫败已知攻击方面非常出色。但它们对高级持久性威胁，如零日、无文件、自定义打包的恶意软件、内存中白名单绕过和运行时攻击，基本上是盲目的。

为传统的网络安全解决方案提供动力

这意味着目前受信任的技术错过了许多攻击–包括最具破坏性的，如最初攻击Minecraft的Log4J漏洞。当这些攻击没有被发现或预防时，安全团队只能在损害开始后做出反应。仅仅基于这些解决方案的网络安全使企业面临重大的合规罚款、诉讼和品牌损害。

也就是说，已知的攻击也必须被阻止。因此，基于签名和类似的防御措施仍然是任何安全战略所不可或缺的。NGAV、EPP和EDR是努力实现零信任架构（ZTA）框架的重要工具（如下所述）。然而，随着现在的攻击更加灵活和新颖，这些工具已经不够用了。它们的终点就是基于移动目标防御的ZTA战略的起点。

那么什么是ZTA？2020年8月，美国国家标准与技术研究所（NIST）发布了一个名为零信任架构（ZTA）的框架（800-207）。这份文件建议对端点采用零信任方法，以确保成熟的网络安全态势。在ZTA框架内，没有任何东西具有信任状态。相反，所有的东西都必须经过验证和授权，早期和反复的验证。移动目标防御帮助安全团队采用ZTA并接受阻止高级攻击所需的变化。

塞翁失马，焉知非福

大多数的安全团队都有很大的资源和时间限制。因此，他们往往无法实施一个完整的ZTA框架。他们通常专注于建立强大和可观的防御，这些防御在本质上是静态的–围绕重要端点的防御’墙’。这种方法不再有效。

为什么？一个熟悉的、不变的攻击面使坏人很容易找到、到达和破坏他们的预定目标。绕过现有防御措施（如NGAV、EPP和EDR解决方案）的威胁给IT安全团队带来巨大压力。而且，它们导致了重大的经济损失。如果感觉网络安全总是在追赶，那是使用 “掘地三尺 “的防御措施的结果，这些防御措施对最具规避性的攻击是无效的。

但是，如果你能创造一个灵活的攻击面，就像一架能够晃动的战斗机一样，会怎么样呢？这就是移动目标防御背后的理念。这也是ZTA网络安全的目标，它正在成为数字防御的主导范式。

什么是移动目标防御

移动目标防御是一种预防为主的网络攻击方法，它的运作原理是移动的目标比固定的目标更难击中。它不断转移和隐藏犯罪分子的进入点，以拒绝他们的访问，补充反应性的防御措施，如基于签名的防病毒防御系统。此外，它还设置陷阱，捕捉威胁者的行动，以进一步防范未来的攻击。一个更正式的定义如下：

“移动目标防御通过使用系统多态性来防止未知和零日攻击，以不可预测的方式隐藏应用程序、操作系统和其他关键资产目标，导致攻击面大幅减少，安全运营成本降低。”

有一个关于移动目标防御的工作方式的比喻。每家银行的门上都有锁（下一代防病毒），以防止骗子进入。也许还有录像机（端点保护或端点检测和响应）来警告犯罪者，并在犯罪分子穿透防线时记录非法活动。

大多数攻击都是按照规定的路线到达其预定目标。但是，如果该路线中的入口点一直处于运动状态，那么它们就是不可预测的和未知的。因此，当攻击者不能找到他们所期望的–进入一个组织的门或窗–他们就会失败。鉴于延续这些攻击的额外努力和成本，大多数攻击者会转向其他更容易的目标。

移动目标防御将漏洞和弱点隐藏起来，不影响当前的NGAV、EPP或EDR功能。它确保在零日、勒索软件和其他高级攻击造成损害之前就被阻止。

MTD可以应用在网络、主机和应用层面。这三种类型都有价值，但应用层面是最重要的。这是因为应用程序、操作系统和端点资源是最受欢迎的攻击入口。

在应用层面上阻止攻击意味着即使他们在之前的层面上取得成功，最终仍然会失败。这是攻击变成事件之前的最后一道防线。MTD在恶意软件部署之前阻止攻击。而且，它不需要设备资源的压力，不需要人类分析员的干预，甚至不需要强大的互联网连接。

移动目标防御的概念很简单，但它的影响却很深远：网络安全不再停滞不前。相反，它超越并战胜了攻击者。当防御系统保持移动时，他们会比攻击者领先一步。面对MTD，处于劣势的是攻击者，而不是防御者。

对于一个现实世界的例子，Morphisec的MTD的三个步骤包括：

1.变形和隐蔽。当一个应用程序加载到内存空间时，Morphisec会安全地改变进程结构。这使得内存对攻击者来说始终是不可预测的。

2.保护和欺骗。合法的应用程序代码内存被动态更新以使用变形的资源。应用程序照常加载和运行。原有结构的架构被作为一个陷阱留下。

3.防止和暴露攻击。攻击以原始结构为目标，但无法找到他们期望和需要的资源。攻击会被立即阻止、抓获，并记录下完整的取证细节。

什么是零信任架构

传统的网络安全是围绕着一个防御性的外围，允许任何有授权的人进入。然后，它 “相信 “发生在外围的一切都有广泛的权限。

不幸的是，攻击者善于获得证书，以潜入周边地区。一旦进入，他们就会利用自己受信任的身份，在不触发警报的情况下随意行动。

在ZTA框架中，没有任何东西具有信任状态，包括笔记本电脑和移动设备等端点。相反，一切都必须尽早和反复地进行验证和授权。零信任尽可能限制访问权限，并验证任何给定的访问权限。当这种方法应用于网络安全的各个方面时，攻击必须克服反复出现的障碍并逃避不断的审查。

ZTA在十年的时间里已经从一个假设的框架发展成为网络安全的核心。2021年5月，拜登政府签署了第14028号行政命令，指示NIST更新ZTA框架等授权。所有联邦机构以及与这些机构有业务往来的人都必须遵守。

无数安全团队要么首次采用NIST ZTA，要么将其推向安全战略的最前沿。所有迹象都表明，ZTA将更多地成为网络安全标准。
 

躲避攻击的剖析
 

仔细研究规避攻击可以清楚地了解为什么ZTA和移动目标防御对于网络安全至关重要。在过去的一年里，零日漏洞利用和勒索软件攻击创下了记录。随着大量资源支撑着网络犯罪，攻击者在逃避检测和预防方面只会越来越好。

攻击可以通过多种方式隐藏恶意意图并掩盖自己的真实性。该列表始终在扩展和发展，但一些关键技术包括：

多态性 – 更改恶意软件签名

变形 – 在执行时更改恶意软件代码

混淆 – 混淆恶意活动

自加密 – 使用加密来隐藏恶意代码和数据

反虚拟机/沙盒 – 更改行为以逃避取证分析

防调试 – 在取证环境中切换策略以中断调试

加密漏洞 – 更改参数和签名以逃避调查

行为更改 – 在执行之前等待使用活动

事实证明，这些规避技术非常有效，攻击者的优势随着时间的推移而扩大。

零信任承认了这一现实。任何将攻击与敏感资产保持距离的尝试都不可避免地会失败。因此，安全性必须围绕资产本身。ZTA MTD保护目标而不是入口点。这缩小了攻击面，并防止了破坏安全外层的攻击。
 

终端：网络安全的新前沿

近年来，终端已经从物理设备发展到各种虚拟等效设备。流行的例子包括虚拟桌面基础架构（VDI）、云工作负载和远程桌面，所有这些最近都得到了迅速的采用。它们已成为现代办公室的重要工具。但是，在此过程中，它们也已成为严重的安全负担 – 攻击者敏锐地意识到了这一点。

针对远程桌面协议 （RDP） 的攻击增加了两倍多，针对云服务的攻击增加了500%以上。尽管存在令人不安的安全漏洞，但 VDI 使用率仍增加了 100%。这些新终结点的示例具有几个共同点。传统的终端安全方法不容易或充分保护它们。他们每个人都依赖众多的信任关系，这些关系使他们面临剥削，原因如前所述。

从勒索软件到零日威胁，再到社会工程计划，终端攻击越来越普遍，而且具有破坏性。在一项调查中，近70%的受访者看到终端攻击增加，并成为至少一个攻击的受害者。

向远程工作的突然转变使许多现有的终端防御措施不足或过时。它解释了终端攻击激增的部分原因。但更大的解释是构成终端的扩展。这为黑客提供了更大的攻击目标和新的漏洞利用。

移动目标防御具有无与伦比的能力，使ZTA终端安全变得简单有效。MTD 将防御重点放在应用程序内存上，大多数攻击都试图攻击应用程序内存。它可以挫败这些攻击，而无需提前发现它们或转移攻击。它使端点免受未知和规避威胁，而无需扩展的安全设备。基于MTD的ZTA使攻击者最难赢得最后的战斗。
 

移动目标防御是网络安全的下一个时代

规避攻击者专注于终端。随着新的违规行为成为头条新闻，安全团队必须以不同的方式做出反应和思考，以保护其组织的福祉。

网络攻击的下一个时代已经到来。下一个网络安全时代需要做出回应。当今同类最佳的网络安全需要将 ZTA 技术与 MTD 技术相结合。安全团队应该关注速度而不是实力;智能而不是规模。