在從1到10的評(píng)分中，現(xiàn)狀方法對(duì)服務(wù)器安全的有效性如何？

從理論上講，應(yīng)該是10分。保護(hù)服務(wù)器免受外界影響的途徑(分段、防火墻、漏洞修補(bǔ)、安全解決方案等)是眾所周知的。

然而，現(xiàn)實(shí)生活的結(jié)果顯示出與理論的巨大差距。從紅十字會(huì)到優(yōu)步，今年的新聞標(biāo)題充斥著服務(wù)器安全漏洞的例子。利用面向互聯(lián)網(wǎng)的服務(wù)是2021年的主要攻擊媒介，占事件的50%以上。

在金融領(lǐng)域，90%的入侵涉及服務(wù)器。在CISA的2021年最受攻擊漏洞列表中，服務(wù)器攻擊技術(shù)構(gòu)成了大多數(shù)漏洞，其中包括Log4j、Microsoft Exchange、Active Directory、FortiOS、Accellion FTA等漏洞。

服務(wù)器安全面臨的三個(gè)現(xiàn)實(shí)障礙

服務(wù)器安全顯然沒(méi)有發(fā)揮應(yīng)有的作用。相反，我們生活在一個(gè)高級(jí)威脅正在尋找安全漏洞的世界。它們正在越過(guò)防火墻、下一代防病毒(NGAV)解決方案以及終端檢測(cè)和響應(yīng)(EDR)防御，而這些本應(yīng)是堅(jiān)不可摧的。這些工具顯然沒(méi)有解決現(xiàn)實(shí)世界服務(wù)器環(huán)境的弱點(diǎn)。

遺留系統(tǒng)

2019年，微軟估計(jì)超過(guò)60%的Windows服務(wù)器仍在使用Windows 2008，Windows 2008將于2020年停產(chǎn)(EOL)。Windows 2012將在2023年失去支持。

停產(chǎn)的Windows和Linux操作系統(tǒng)以及它們所部署的遺留系統(tǒng)無(wú)處不在。它們實(shí)際上也是不可替代的，通常為關(guān)鍵流程提供動(dòng)力。使用掃描安全解決方案來(lái)保護(hù)它們幾乎是不可能的。EOL和傳統(tǒng)服務(wù)器要么無(wú)法容忍現(xiàn)代EDR和NGAV解決方案的計(jì)算要求，要么與它們完全不兼容。

停機(jī)時(shí)間

75%的攻擊利用了兩年以上的漏洞。為什么服務(wù)器漏洞不打補(bǔ)??？許多組織被迫在服務(wù)器正常運(yùn)行時(shí)間和補(bǔ)丁延遲之間進(jìn)行權(quán)衡。

為關(guān)鍵操作提供支持或受制于嚴(yán)格的服務(wù)級(jí)別協(xié)議的服務(wù)器無(wú)法承受與修補(bǔ)相關(guān)的停機(jī)和中斷。如果打補(bǔ)丁的成本高得令人望而卻步，或者實(shí)際上是不可能的，那么關(guān)鍵服務(wù)器不可避免地會(huì)受到眾所周知的攻擊。

性能

EDR和其他網(wǎng)絡(luò)安全工具需要大量的CPU/內(nèi)存和互聯(lián)網(wǎng)帶寬才能有效運(yùn)行。運(yùn)行關(guān)鍵應(yīng)用程序或支持虛擬機(jī)的服務(wù)器對(duì)這些資源要求非常敏感。

因此，部署像EDR這樣的安全解決方案可能需要進(jìn)一步的投資來(lái)升級(jí)服務(wù)器硬件或增加云容量，特別是如果它們不是專門(mén)針對(duì)Windows和/或Linux服務(wù)器構(gòu)建的。

服務(wù)器安全漏洞

部署在服務(wù)器上的安全解決方案必須發(fā)揮微妙的平衡作用。他們不能：

●給服務(wù)器計(jì)算帶來(lái)太大的壓力并降低性能。
●產(chǎn)生太多誤報(bào)，導(dǎo)致服務(wù)器停機(jī)，并給本已緊張的網(wǎng)絡(luò)安全人員和資源帶來(lái)更大壓力。

這些限制意味著，像EDR這樣依賴概率掃描和檢測(cè)的解決方案只能做到這一點(diǎn)。

供應(yīng)商和安全團(tuán)隊(duì)可以調(diào)整EDR，以一定的準(zhǔn)確性和速度發(fā)現(xiàn)可能的惡意代碼或活動(dòng)-但只能在一定程度上。如果您將EDR的敏感度調(diào)至最高，則由于性能下降和誤報(bào)警報(bào)的數(shù)量，它保護(hù)的服務(wù)器實(shí)際上將變得不可用。

這種動(dòng)態(tài)導(dǎo)致了安全漏洞。

首先，掃描解決方案的有限能力意味著，對(duì)于大多數(shù)組織來(lái)說(shuō)，服務(wù)器內(nèi)存是一個(gè)沒(méi)有防御措施的環(huán)境。因此，服務(wù)器很容易受到無(wú)文件和內(nèi)存中的攻擊。根據(jù)Picus 2021年紅色報(bào)告，這些攻擊構(gòu)成了野外最常見(jiàn)的五種MITRE ATT&CK技術(shù)中的三種。

假設(shè)EDR發(fā)現(xiàn)服務(wù)器受到威脅，安全團(tuán)隊(duì)采取行動(dòng)。這通常是一個(gè)造成了多大破壞的問(wèn)題，而不是襲擊是否已經(jīng)停止的問(wèn)題。

這種反應(yīng)滯后讓網(wǎng)絡(luò)犯罪分子有足夠的時(shí)間轉(zhuǎn)移攻擊，危害他們的目標(biāo)。平均而言，組織需要212天才能檢測(cè)到漏洞。

全年工作總結(jié)

服務(wù)器防御-具有移動(dòng)目標(biāo)防御的縱深防御

服務(wù)器一直是風(fēng)險(xiǎn)的來(lái)源，但供應(yīng)商提供的保護(hù)服務(wù)器的解決方案并沒(méi)有采取足夠的措施來(lái)降低風(fēng)險(xiǎn)。
從應(yīng)用程序漏洞到內(nèi)存中發(fā)生的合法進(jìn)程，服務(wù)器面臨著針對(duì)其環(huán)境不同部分的一系列威脅。這意味著任何組織都不能依賴一站式解決方案來(lái)降低服務(wù)器泄露風(fēng)險(xiǎn)。EDR平臺(tái)不足以進(jìn)行有效的服務(wù)器防御。

相反，服務(wù)器應(yīng)該由多層同類最好的解決方案來(lái)保護(hù)。

盡管EDR在網(wǎng)絡(luò)安全中發(fā)揮著關(guān)鍵作用，但它并不總是可行的，也無(wú)法阻止服務(wù)器面臨的所有攻擊。雖然對(duì)已知威脅有效，但根據(jù)定義，基于概率掃描的解決方案(如EDR)將錯(cuò)過(guò)躲避的惡意軟件，從而造成安全漏洞。

保護(hù)服務(wù)器安全的最佳方法是使用縱深防御策略。這從基本的安全衛(wèi)生開(kāi)始。需要仔細(xì)配置服務(wù)器，并控制和限制對(duì)它們的訪問(wèn)。要阻止已知的威脅，一流的NGAV和EDR也很重要。

為了擊敗這些解決方案錯(cuò)過(guò)的威脅并保護(hù)它們忽略的傳統(tǒng)服務(wù)器，使用移動(dòng)目標(biāo)防御(MTD)技術(shù)來(lái)增強(qiáng)NGAV和EDR。被Gartner認(rèn)為是一項(xiàng)有影響力的新興技術(shù)，MTD改變運(yùn)行時(shí)內(nèi)存環(huán)境以創(chuàng)建不可預(yù)測(cè)的攻擊面，以確定性和主動(dòng)性的方式阻止威脅，而不是以概率和反應(yīng)性的方式。

MTD：

●保護(hù)舊式和EOL服務(wù)器。通過(guò)保護(hù)內(nèi)存中的服務(wù)器，MTD可繞過(guò)兼容性問(wèn)題，并在EOL支持結(jié)束后很長(zhǎng)一段時(shí)間內(nèi)保護(hù)服務(wù)器。

●阻止內(nèi)存中的高級(jí)威脅。MTD阻止零日攻擊、無(wú)文件攻擊、內(nèi)存攻擊、供應(yīng)鏈攻擊和其他高級(jí)威脅，這些威脅旨在通過(guò)利用內(nèi)存安全漏洞來(lái)逃避當(dāng)前的網(wǎng)絡(luò)安全工具。

Morphisec的MTD技術(shù)獲得專利，為我們的Windows和Linux服務(wù)器保護(hù)解決方案Keep和Knight提供動(dòng)力。它不需要部署或維護(hù)額外的人員，不需要停機(jī)，在空閑的環(huán)境中運(yùn)行，不會(huì)顯著影響服務(wù)器性能，也不需要重新啟動(dòng)。

擴(kuò)展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門(mén)程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。