導(dǎo)語：在2023年Gartner終端安全發(fā)展規(guī)律周期中，自動移動目標(biāo)防御（AMTD）嶄露頭角，虹科Morphisec被譽(yù)為AMTD領(lǐng)域的樣本供應(yīng)商。該周期呈現(xiàn)出終端安全領(lǐng)域的最新創(chuàng)新，旨在幫助安全領(lǐng)導(dǎo)者更好地規(guī)劃、采納和實施新技術(shù)。AMTD技術(shù)的預(yù)防性解決方案標(biāo)志著網(wǎng)絡(luò)安全邁出了新的一步，它以在攻擊開始前預(yù)防和阻止攻擊為主，不同于傳統(tǒng)的檢測和響應(yīng)技術(shù)。

自動移動目標(biāo)防御(AMTD)首次被囊括在2023年Gartner Endpoint Security的發(fā)展規(guī)律周期中，作為一項正在崛起的技術(shù)。虹科Morphisec被評為AMTD類別中的樣本供應(yīng)商。這一發(fā)展規(guī)律周期展示了終端安全領(lǐng)域最相關(guān)的創(chuàng)新，以幫助安全領(lǐng)導(dǎo)者規(guī)劃、采用和實施新興技術(shù)。終端安全創(chuàng)新側(cè)重于更快的自動檢測和預(yù)防，以及威脅的補(bǔ)救，為集成的擴(kuò)展檢測和響應(yīng)(XDR)提供動力，以將來自終端、網(wǎng)絡(luò)、網(wǎng)絡(luò)、電子郵件和身份識別等解決方案的數(shù)據(jù)點(diǎn)和遙測關(guān)聯(lián)起來。“。正如Gartner所指出的，“企業(yè)需要尖端的解決方案來保護(hù)終端免受攻擊和入侵。”

從歷史上看，終端安全一直側(cè)重于檢測和響應(yīng)技術(shù)?！癆MTD從‘檢測和響應(yīng)’轉(zhuǎn)變?yōu)椤鲃悠垓_和不可預(yù)測的變化’，使攻擊者更難利用目標(biāo)IT環(huán)境中的漏洞?！弊鳛橐环N預(yù)防性解決方案，我們認(rèn)為AMTD被納入報告標(biāo)志著該行業(yè)發(fā)生了結(jié)構(gòu)性轉(zhuǎn)變，并重新調(diào)整了終端安全最佳實踐建議。

威脅正變得更加復(fù)雜和難以捉摸

從技術(shù)上講，檢測和響應(yīng)始于反病毒軟件的引入。反病毒程序?qū)ΧM(jìn)制文件和文件進(jìn)行靜態(tài)評估，以確定它們與已知惡意軟件的一致性。

下一代反病毒(NGAV)軟件和終端保護(hù)平臺隨后引入了動態(tài)分析，這需要在受限環(huán)境中執(zhí)行文件，同時監(jiān)控它們的行為。

終端安全方面的下一項創(chuàng)新引入了業(yè)界當(dāng)前級別的EDR和擴(kuò)展檢測與響應(yīng)(XDR)技術(shù)，并管理檢測和響應(yīng)(MDR)服務(wù)。這些產(chǎn)品使用行為分析來監(jiān)控計算機(jī)上進(jìn)程的執(zhí)行，攔截關(guān)鍵功能，并進(jìn)行調(diào)查以獲得對行為的實時洞察。這種方法不僅仔細(xì)檢查了二進(jìn)制代碼，還仔細(xì)檢查了圍繞執(zhí)行的上下文因素。

如今，NGAV、EDR和XDR為檢測和響應(yīng)基于特征碼的已知威脅提供了基準(zhǔn)安全。然而，包括內(nèi)存、無文件和勒索軟件攻擊在內(nèi)的復(fù)雜且無法檢測的威脅越來越多地繞過了NGAV和EDR等傳統(tǒng)安全控制，現(xiàn)在占外部檢測到的攻擊的30%。

最近的例子包括一種針對金融和物流公司的新型Chaes惡意軟件變種，GuLoader，一種針對美國法律和投資公司的高級威脅，以及InvalidPrint，一種高度隱身的加載程序，在很長一段時間內(nèi)對病毒Total的檢測為零。

根據(jù)Gartner的報告：“在過度強(qiáng)調(diào)檢測和響應(yīng)策略未能防止入侵的背景下，AMTD技術(shù)已經(jīng)出現(xiàn)，能夠在防御方面提供新的價值。”

AMTD提供的混淆和多態(tài)功能可以抵御攻擊

攻擊者在偵察方面投入了大量資金，以發(fā)現(xiàn)漏洞和利用機(jī)會。他們使用無文件惡意軟件和內(nèi)存攻擊等復(fù)雜技術(shù)來隱藏行為并逃避檢測。

防守者甚至可以在進(jìn)攻開始之前就應(yīng)用類似的戰(zhàn)術(shù)，使用AMTD技術(shù)來摧毀攻擊。AMTD借鑒了成熟的軍事戰(zhàn)略，即移動的目標(biāo)比靜止的目標(biāo)更難“擊中”。在網(wǎng)絡(luò)安全領(lǐng)域，AMTD部署的戰(zhàn)術(shù)可以在IT環(huán)境中設(shè)計跨越攻擊面的變化或變化。這種基于多態(tài)的方法增加了潛在攻擊者面臨的不可預(yù)測性和復(fù)雜性。

在一場永無止境的網(wǎng)絡(luò)軍備競賽中，攻擊者將利用人工智能來生成能夠繞過基于人工智能的保護(hù)解決方案的威脅。生成性人工智能進(jìn)一步提高了攻擊的復(fù)雜性、速度和規(guī)模，因此安全領(lǐng)導(dǎo)者必須尋求使用先于反應(yīng)性和資源密集型檢測和響應(yīng)解決方案的主動和預(yù)防性技術(shù)來加強(qiáng)防御。正如Gartner所指出的，“AMTD幫助普通公司應(yīng)對新出現(xiàn)的人工智能威脅。對于沒有預(yù)算、人員或時間使用人工智能的組織來說，AMTD是一種替代方案?！?/p>

安全團(tuán)隊的工作必須優(yōu)先考慮高保真警報

由于復(fù)雜且無法檢測的威脅向量(如前面提到的無文件、內(nèi)存和基于零日的技術(shù))繞過了傳統(tǒng)的安全控制以及檢測和響應(yīng)技術(shù)，漏洞風(fēng)險和警報隨之而來。

未知和無法檢測的攻擊造成了越來越多的入侵，超過30%的攻擊被反病毒和EDR系統(tǒng)漏掉。作為回應(yīng)，IT和安全團(tuán)隊將檢測系統(tǒng)警報模型設(shè)置為最高設(shè)置，以標(biāo)記異常行為。但這些設(shè)置對系統(tǒng)性能產(chǎn)生了負(fù)面影響，并產(chǎn)生了大量警報，目前約占通知總數(shù)的40%。

安全團(tuán)隊正被誤報警報和耗時的警報調(diào)查淹沒。全國草坪護(hù)理和治療服務(wù)提供商TruGreen就是這種情況。TruGreen使用了多層安全模型，但他們不相信這能保護(hù)他們免受躲避攻擊。它的性能開銷很大，并且會產(chǎn)生大量的誤報警報，每天都需要數(shù)小時的團(tuán)隊分析。該團(tuán)隊需要一個運(yùn)營高效且對性能影響微乎其微的解決方案。

Morphisec幫助TruGreen將誤報減少了95%；首席安全架構(gòu)師Dale Slawinski指出：“使用我們之前的安全平臺，我們過去每天都會收到多達(dá)50個警報?，F(xiàn)在(有了Morphisec AMTD)，我們可能只有一兩個。

Morphisec的確定性機(jī)制創(chuàng)建高優(yōu)先級和保真度警報，幫助安全團(tuán)隊確定補(bǔ)救工作的優(yōu)先順序。Morphisec通過冷阻止攻擊并殺死惡意進(jìn)程來防止攻擊，從而為安全團(tuán)隊贏得時間。使用Morphisec AMTD，惡意進(jìn)程不再處于活動狀態(tài)；相比之下，EDR技術(shù)可能只會在惡意進(jìn)程仍處于活動狀態(tài)時創(chuàng)建警報。

使用AMTD采取預(yù)防性的安全措施

將當(dāng)前的終端安全解決方案與AMTD相結(jié)合是網(wǎng)絡(luò)安全的下一步發(fā)展，是組織抵御不斷變化的威脅格局的必備條件，尤其是在保護(hù)傳統(tǒng)系統(tǒng)方面。隨著新的集成層覆蓋在舊的服務(wù)器和設(shè)備之上，攻擊面擴(kuò)大，與傳統(tǒng)IT相關(guān)的風(fēng)險也隨之?dāng)U大。

在通常無法修補(bǔ)的遺留系統(tǒng)中，即使是眾所周知的攻擊載體，如Internet Explorer漏洞，仍在導(dǎo)致數(shù)據(jù)泄露。例如，在2021年，18%的攻擊利用了2013年或更早披露的漏洞。隨著Windows7和Windows 8從那時起退出支持，這個數(shù)字現(xiàn)在可能會高得多。

自動移動目標(biāo)防御(AMTD)是對保護(hù)遺留系統(tǒng)的挑戰(zhàn)的一種成熟的回應(yīng)。它通過預(yù)防而不是應(yīng)對威脅來克服終端安全的架構(gòu)、技術(shù)和文化挑戰(zhàn)。通過一個極其輕量級(6MB)的代理，Morphisec的AMTD可以在系統(tǒng)使用時改變運(yùn)行時內(nèi)存。它通過移動系統(tǒng)資產(chǎn)并將誘餌留在原來的位置來減少遺留攻擊面。

以下是考慮使用AMTD的IT或安全領(lǐng)導(dǎo)者的其他優(yōu)勢：

• 深度防御-所有組織都面臨勒索軟件、供應(yīng)鏈零日和無文件攻擊的風(fēng)險增加；多態(tài)防御隱藏漏洞，使其免受多態(tài)攻擊。
• 運(yùn)營效率-AMTD解決了遺留的安全問題，并與您已經(jīng)使用的NGAV、EDR和XDR技術(shù)完全兼容，無需額外的員工或性能資源來運(yùn)行它。
• 減少開支-通過在攻擊開始前停止攻擊，AMTD減少了誤報警報，從而減少了對警報進(jìn)行分類和分析的IT支持工單和人員需求。

據(jù)美國一家領(lǐng)先的對沖基金的CISO表示：“Morphisec提供了新型內(nèi)存保護(hù)技術(shù)，維護(hù)成本低，管理費(fèi)用少。在我們的技術(shù)堆棧中，Morphisec需要的維護(hù)和維護(hù)最少，提供卓越的保護(hù)?！?。AMTD技術(shù)標(biāo)志著網(wǎng)絡(luò)安全的下一步發(fā)展。與檢測和響應(yīng)技術(shù)不同，它專注于在攻擊開始之前預(yù)防和阻止攻擊。