虹科分享 | 2023Gartner?終端安全發展規律周期:AMTD引領未來
導語:在2023年Gartner終端安全發展規律周期中,自動移動目標防御(AMTD)嶄露頭角,虹科Morphisec被譽為AMTD領域的樣本供應商。該周期呈現出終端安全領域的最新創新,旨在幫助安全領導者更好地規劃、采納和實施新技術。AMTD技術的預防性解決方案標志著網絡安全邁出了新的一步,它以在攻擊開始前預防和阻止攻擊為主,不同于傳統的檢測和響應技術。
自動移動目標防御(AMTD)首次被囊括在2023年Gartner Endpoint Security的發展規律周期中,作為一項正在崛起的技術。虹科Morphisec被評為AMTD類別中的樣本供應商。這一發展規律周期展示了終端安全領域最相關的創新,以幫助安全領導者規劃、采用和實施新興技術。終端安全創新側重于更快的自動檢測和預防,以及威脅的補救,為集成的擴展檢測和響應(XDR)提供動力,以將來自終端、網絡、網絡、電子郵件和身份識別等解決方案的數據點和遙測關聯起來。“。正如Gartner所指出的,“企業需要尖端的解決方案來保護終端免受攻擊和入侵。”
從歷史上看,終端安全一直側重于檢測和響應技術。“AMTD從‘檢測和響應’轉變為‘主動欺騙和不可預測的變化’,使攻擊者更難利用目標IT環境中的漏洞。”作為一種預防性解決方案,我們認為AMTD被納入報告標志著該行業發生了結構性轉變,并重新調整了終端安全最佳實踐建議。
威脅正變得更加復雜和難以捉摸
從技術上講,檢測和響應始于反病毒軟件的引入。反病毒程序對二進制文件和文件進行靜態評估,以確定它們與已知惡意軟件的一致性。
下一代反病毒(NGAV)軟件和終端保護平臺隨后引入了動態分析,這需要在受限環境中執行文件,同時監控它們的行為。
終端安全方面的下一項創新引入了業界當前級別的EDR和擴展檢測與響應(XDR)技術,并管理檢測和響應(MDR)服務。這些產品使用行為分析來監控計算機上進程的執行,攔截關鍵功能,并進行調查以獲得對行為的實時洞察。這種方法不僅仔細檢查了二進制代碼,還仔細檢查了圍繞執行的上下文因素。
如今,NGAV、EDR和XDR為檢測和響應基于特征碼的已知威脅提供了基準安全。然而,包括內存、無文件和勒索軟件攻擊在內的復雜且無法檢測的威脅越來越多地繞過了NGAV和EDR等傳統安全控制,現在占外部檢測到的攻擊的30%。
最近的例子包括一種針對金融和物流公司的新型Chaes惡意軟件變種,GuLoader,一種針對美國法律和投資公司的高級威脅,以及InvalidPrint,一種高度隱身的加載程序,在很長一段時間內對病毒Total的檢測為零。
根據Gartner的報告:“在過度強調檢測和響應策略未能防止入侵的背景下,AMTD技術已經出現,能夠在防御方面提供新的價值。”
AMTD提供的混淆和多態功能可以抵御攻擊
攻擊者在偵察方面投入了大量資金,以發現漏洞和利用機會。他們使用無文件惡意軟件和內存攻擊等復雜技術來隱藏行為并逃避檢測。
防守者甚至可以在進攻開始之前就應用類似的戰術,使用AMTD技術來摧毀攻擊。AMTD借鑒了成熟的軍事戰略,即移動的目標比靜止的目標更難“擊中”。在網絡安全領域,AMTD部署的戰術可以在IT環境中設計跨越攻擊面的變化或變化。這種基于多態的方法增加了潛在攻擊者面臨的不可預測性和復雜性。
在一場永無止境的網絡軍備競賽中,攻擊者將利用人工智能來生成能夠繞過基于人工智能的保護解決方案的威脅。生成性人工智能進一步提高了攻擊的復雜性、速度和規模,因此安全領導者必須尋求使用先于反應性和資源密集型檢測和響應解決方案的主動和預防性技術來加強防御。正如Gartner所指出的,“AMTD幫助普通公司應對新出現的人工智能威脅。對于沒有預算、人員或時間使用人工智能的組織來說,AMTD是一種替代方案。”
安全團隊的工作必須優先考慮高保真警報
由于復雜且無法檢測的威脅向量(如前面提到的無文件、內存和基于零日的技術)繞過了傳統的安全控制以及檢測和響應技術,漏洞風險和警報隨之而來。
未知和無法檢測的攻擊造成了越來越多的入侵,超過30%的攻擊被反病毒和EDR系統漏掉。作為回應,IT和安全團隊將檢測系統警報模型設置為最高設置,以標記異常行為。但這些設置對系統性能產生了負面影響,并產生了大量警報,目前約占通知總數的40%。
安全團隊正被誤報警報和耗時的警報調查淹沒。全國草坪護理和治療服務提供商TruGreen就是這種情況。TruGreen使用了多層安全模型,但他們不相信這能保護他們免受躲避攻擊。它的性能開銷很大,并且會產生大量的誤報警報,每天都需要數小時的團隊分析。該團隊需要一個運營高效且對性能影響微乎其微的解決方案。
Morphisec幫助TruGreen將誤報減少了95%;首席安全架構師Dale Slawinski指出:“使用我們之前的安全平臺,我們過去每天都會收到多達50個警報。現在(有了Morphisec AMTD),我們可能只有一兩個。
Morphisec的確定性機制創建高優先級和保真度警報,幫助安全團隊確定補救工作的優先順序。Morphisec通過冷阻止攻擊并殺死惡意進程來防止攻擊,從而為安全團隊贏得時間。使用Morphisec AMTD,惡意進程不再處于活動狀態;相比之下,EDR技術可能只會在惡意進程仍處于活動狀態時創建警報。
使用AMTD采取預防性的安全措施
將當前的終端安全解決方案與AMTD相結合是網絡安全的下一步發展,是組織抵御不斷變化的威脅格局的必備條件,尤其是在保護傳統系統方面。隨著新的集成層覆蓋在舊的服務器和設備之上,攻擊面擴大,與傳統IT相關的風險也隨之擴大。
在通常無法修補的遺留系統中,即使是眾所周知的攻擊載體,如Internet Explorer漏洞,仍在導致數據泄露。例如,在2021年,18%的攻擊利用了2013年或更早披露的漏洞。隨著Windows7和Windows 8從那時起退出支持,這個數字現在可能會高得多。
自動移動目標防御(AMTD)是對保護遺留系統的挑戰的一種成熟的回應。它通過預防而不是應對威脅來克服終端安全的架構、技術和文化挑戰。通過一個極其輕量級(6MB)的代理,Morphisec的AMTD可以在系統使用時改變運行時內存。它通過移動系統資產并將誘餌留在原來的位置來減少遺留攻擊面。
以下是考慮使用AMTD的IT或安全領導者的其他優勢:
- 深度防御-所有組織都面臨勒索軟件、供應鏈零日和無文件攻擊的風險增加;多態防御隱藏漏洞,使其免受多態攻擊。
- 運營效率-AMTD解決了遺留的安全問題,并與您已經使用的NGAV、EDR和XDR技術完全兼容,無需額外的員工或性能資源來運行它。
- 減少開支-通過在攻擊開始前停止攻擊,AMTD減少了誤報警報,從而減少了對警報進行分類和分析的IT支持工單和人員需求。
據美國一家領先的對沖基金的CISO表示:“Morphisec提供了新型內存保護技術,維護成本低,管理費用少。在我們的技術堆棧中,Morphisec需要的維護和維護最少,提供卓越的保護。“。AMTD技術標志著網絡安全的下一步發展。與檢測和響應技術不同,它專注于在攻擊開始之前預防和阻止攻擊。
了解虹科網絡安全更多資訊,歡迎前往【虹科網絡安全】官方網站:https://haocst.com/
掃碼加入虹科網絡安全技術交流群或微信公眾號,及時獲取更多技術咨詢/應用案例。
