今天的網(wǎng)絡安全解決方案并不能對抗威脅者的高級攻擊。在SolarWinds漏洞事件發(fā)生后，即使是最大的公司和最安全的公共機構也有嚴重的漏洞暴露。如果現(xiàn)有的解決方案能夠發(fā)揮作用，勒索軟件漏洞就不會發(fā)生，也不會造成如此大的經(jīng)濟破壞、品牌侵蝕和業(yè)務損失。在這種環(huán)境下，需要像移動目標防御（MTD）這樣的顛覆性創(chuàng)新技術來改善網(wǎng)絡安全。

技術研究公司Gartner確定了推動安全市場創(chuàng)新的最具影響力的新興技術。他們認為移動目標防御是提高內存、網(wǎng)絡、應用程序和操作系統(tǒng)安全性的關鍵技術。這是因為移動目標防御被證明可以阻止勒索軟件和其他高級零日攻擊，使預防為主的安全成為現(xiàn)實。

但讓我們退一步講。到2025年，對網(wǎng)絡安全的投資預計將增長到3160億美元。但是，網(wǎng)絡攻擊造成的損失正以指數(shù)級的速度上升，預計到2025年將達到10萬億美元以上。Infosecurity雜志報道，2021年贖金軟件的平均付款額達到創(chuàng)紀錄的57萬美元，而2020年為31.2萬美元–這比2019年高出171%。

傳統(tǒng)的解決方案，如下一代防病毒（NGAV）、端點保護平臺（EPP）和端點檢測和響應（EDR）解決方案，確實可以通過公認的簽名和行為模式阻止已知的攻擊。但它們并不能防止先進的攻擊，而這些攻擊是當今對企業(yè)打擊最大的攻擊。繼續(xù)保持網(wǎng)絡安全的現(xiàn)狀，只會使這種情況變得更糟。

為什么？因為即使是由人工智能、機器學習或異常檢測輔助的傳統(tǒng)解決方案也需要事先接觸到攻擊，以 “學習 “如何阻止后續(xù)威脅。簽名和基于行為的防御措施在挫敗已知攻擊方面非常出色。但它們對高級持久性威脅，如零日、無文件、自定義打包的惡意軟件、內存中白名單繞過和運行時攻擊，基本上是盲目的。

為傳統(tǒng)的網(wǎng)絡安全解決方案提供動力

這意味著目前受信任的技術錯過了許多攻擊–包括最具破壞性的，如最初攻擊Minecraft的Log4J漏洞。當這些攻擊沒有被發(fā)現(xiàn)或預防時，安全團隊只能在損害開始后做出反應。僅僅基于這些解決方案的網(wǎng)絡安全使企業(yè)面臨重大的合規(guī)罰款、訴訟和品牌損害。

也就是說，已知的攻擊也必須被阻止。因此，基于簽名和類似的防御措施仍然是任何安全戰(zhàn)略所不可或缺的。NGAV、EPP和EDR是努力實現(xiàn)零信任架構（ZTA）框架的重要工具（如下所述）。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了。它們的終點就是基于移動目標防御的ZTA戰(zhàn)略的起點。

那么什么是ZTA？2020年8月，美國國家標準與技術研究所（NIST）發(fā)布了一個名為零信任架構（ZTA）的框架（800-207）。這份文件建議對端點采用零信任方法，以確保成熟的網(wǎng)絡安全態(tài)勢。在ZTA框架內，沒有任何東西具有信任狀態(tài)。相反，所有的東西都必須經(jīng)過驗證和授權，早期和反復的驗證。移動目標防御幫助安全團隊采用ZTA并接受阻止高級攻擊所需的變化。

塞翁失馬，焉知非福

大多數(shù)的安全團隊都有很大的資源和時間限制。因此，他們往往無法實施一個完整的ZTA框架。他們通常專注于建立強大和可觀的防御，這些防御在本質上是靜態(tài)的–圍繞重要端點的防御’墻’。這種方法不再有效。

為什么？一個熟悉的、不變的攻擊面使壞人很容易找到、到達和破壞他們的預定目標。繞過現(xiàn)有防御措施（如NGAV、EPP和EDR解決方案）的威脅給IT安全團隊帶來巨大壓力。而且，它們導致了重大的經(jīng)濟損失。如果感覺網(wǎng)絡安全總是在追趕，那是使用 “掘地三尺 “的防御措施的結果，這些防御措施對最具規(guī)避性的攻擊是無效的。

但是，如果你能創(chuàng)造一個靈活的攻擊面，就像一架能夠晃動的戰(zhàn)斗機一樣，會怎么樣呢？這就是移動目標防御背后的理念。這也是ZTA網(wǎng)絡安全的目標，它正在成為數(shù)字防御的主導范式。

什么是移動目標防御

移動目標防御是一種預防為主的網(wǎng)絡攻擊方法，它的運作原理是移動的目標比固定的目標更難擊中。它不斷轉移和隱藏犯罪分子的進入點，以拒絕他們的訪問，補充反應性的防御措施，如基于簽名的防病毒防御系統(tǒng)。此外，它還設置陷阱，捕捉威脅者的行動，以進一步防范未來的攻擊。一個更正式的定義如下：

“移動目標防御通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊，以不可預測的方式隱藏應用程序、操作系統(tǒng)和其他關鍵資產(chǎn)目標，導致攻擊面大幅減少，安全運營成本降低。”

有一個關于移動目標防御的工作方式的比喻。每家銀行的門上都有鎖（下一代防病毒），以防止騙子進入。也許還有錄像機（端點保護或端點檢測和響應）來警告犯罪者，并在犯罪分子穿透防線時記錄非法活動。

大多數(shù)攻擊都是按照規(guī)定的路線到達其預定目標。但是，如果該路線中的入口點一直處于運動狀態(tài)，那么它們就是不可預測的和未知的。因此，當攻擊者不能找到他們所期望的–進入一個組織的門或窗–他們就會失敗。鑒于延續(xù)這些攻擊的額外努力和成本，大多數(shù)攻擊者會轉向其他更容易的目標。

移動目標防御將漏洞和弱點隱藏起來，不影響當前的NGAV、EPP或EDR功能。它確保在零日、勒索軟件和其他高級攻擊造成損害之前就被阻止。

MTD可以應用在網(wǎng)絡、主機和應用層面。這三種類型都有價值，但應用層面是最重要的。這是因為應用程序、操作系統(tǒng)和端點資源是最受歡迎的攻擊入口。

在應用層面上阻止攻擊意味著即使他們在之前的層面上取得成功，最終仍然會失敗。這是攻擊變成事件之前的最后一道防線。MTD在惡意軟件部署之前阻止攻擊。而且，它不需要設備資源的壓力，不需要人類分析員的干預，甚至不需要強大的互聯(lián)網(wǎng)連接。

移動目標防御的概念很簡單，但它的影響卻很深遠：網(wǎng)絡安全不再停滯不前。相反，它超越并戰(zhàn)勝了攻擊者。當防御系統(tǒng)保持移動時，他們會比攻擊者領先一步。面對MTD，處于劣勢的是攻擊者，而不是防御者。

對于一個現(xiàn)實世界的例子，Morphisec的MTD的三個步驟包括：

1.變形和隱蔽。當一個應用程序加載到內存空間時，Morphisec會安全地改變進程結構。這使得內存對攻擊者來說始終是不可預測的。

2.保護和欺騙。合法的應用程序代碼內存被動態(tài)更新以使用變形的資源。應用程序照常加載和運行。原有結構的架構被作為一個陷阱留下。

3.防止和暴露攻擊。攻擊以原始結構為目標，但無法找到他們期望和需要的資源。攻擊會被立即阻止、抓獲，并記錄下完整的取證細節(jié)。

什么是零信任架構

傳統(tǒng)的網(wǎng)絡安全是圍繞著一個防御性的外圍，允許任何有授權的人進入。然后，它 “相信 “發(fā)生在外圍的一切都有廣泛的權限。

不幸的是，攻擊者善于獲得證書，以潛入周邊地區(qū)。一旦進入，他們就會利用自己受信任的身份，在不觸發(fā)警報的情況下隨意行動。

在ZTA框架中，沒有任何東西具有信任狀態(tài)，包括筆記本電腦和移動設備等端點。相反，一切都必須盡早和反復地進行驗證和授權。零信任盡可能限制訪問權限，并驗證任何給定的訪問權限。當這種方法應用于網(wǎng)絡安全的各個方面時，攻擊必須克服反復出現(xiàn)的障礙并逃避不斷的審查。

ZTA在十年的時間里已經(jīng)從一個假設的框架發(fā)展成為網(wǎng)絡安全的核心。2021年5月，拜登政府簽署了第14028號行政命令，指示NIST更新ZTA框架等授權。所有聯(lián)邦機構以及與這些機構有業(yè)務往來的人都必須遵守。

無數(shù)安全團隊要么首次采用NIST ZTA，要么將其推向安全戰(zhàn)略的最前沿。所有跡象都表明，ZTA將更多地成為網(wǎng)絡安全標準。

躲避攻擊的剖析

仔細研究規(guī)避攻擊可以清楚地了解為什么ZTA和移動目標防御對于網(wǎng)絡安全至關重要。在過去的一年里，零日漏洞利用和勒索軟件攻擊創(chuàng)下了記錄。隨著大量資源支撐著網(wǎng)絡犯罪，攻擊者在逃避檢測和預防方面只會越來越好。

攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實性。該列表始終在擴展和發(fā)展，但一些關鍵技術包括：

多態(tài)性 – 更改惡意軟件簽名

變形 – 在執(zhí)行時更改惡意軟件代碼

混淆 – 混淆惡意活動

自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)

反虛擬機/沙盒 – 更改行為以逃避取證分析

防調試 – 在取證環(huán)境中切換策略以中斷調試

加密漏洞 – 更改參數(shù)和簽名以逃避調查

行為更改 – 在執(zhí)行之前等待使用活動

事實證明，這些規(guī)避技術非常有效，攻擊者的優(yōu)勢隨著時間的推移而擴大。

零信任承認了這一現(xiàn)實。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會失敗。因此，安全性必須圍繞資產(chǎn)本身。ZTA MTD保護目標而不是入口點。這縮小了攻擊面，并防止了破壞安全外層的攻擊。

終端：網(wǎng)絡安全的新前沿

近年來，終端已經(jīng)從物理設備發(fā)展到各種虛擬等效設備。流行的例子包括虛擬桌面基礎架構（VDI）、云工作負載和遠程桌面，所有這些最近都得到了迅速的采用。它們已成為現(xiàn)代辦公室的重要工具。但是，在此過程中，它們也已成為嚴重的安全負擔 – 攻擊者敏銳地意識到了這一點。

針對遠程桌面協(xié)議 （RDP） 的攻擊增加了兩倍多，針對云服務的攻擊增加了500%以上。盡管存在令人不安的安全漏洞，但 VDI 使用率仍增加了 100%。這些新終結點的示例具有幾個共同點。傳統(tǒng)的終端安全方法不容易或充分保護它們。他們每個人都依賴眾多的信任關系，這些關系使他們面臨剝削，原因如前所述。

從勒索軟件到零日威脅，再到社會工程計劃，終端攻擊越來越普遍，而且具有破壞性。在一項調查中，近70%的受訪者看到終端攻擊增加，并成為至少一個攻擊的受害者。

向遠程工作的突然轉變使許多現(xiàn)有的終端防御措施不足或過時。它解釋了終端攻擊激增的部分原因。但更大的解釋是構成終端的擴展。這為黑客提供了更大的攻擊目標和新的漏洞利用。

移動目標防御具有無與倫比的能力，使ZTA終端安全變得簡單有效。MTD 將防御重點放在應用程序內存上，大多數(shù)攻擊都試圖攻擊應用程序內存。它可以挫敗這些攻擊，而無需提前發(fā)現(xiàn)它們或轉移攻擊。它使端點免受未知和規(guī)避威脅，而無需擴展的安全設備。基于MTD的ZTA使攻擊者最難贏得最后的戰(zhàn)斗。

移動目標防御是網(wǎng)絡安全的下一個時代

規(guī)避攻擊者專注于終端。隨著新的違規(guī)行為成為頭條新聞，安全團隊必須以不同的方式做出反應和思考，以保護其組織的福祉。

網(wǎng)絡攻擊的下一個時代已經(jīng)到來。下一個網(wǎng)絡安全時代需要做出回應。當今同類最佳的網(wǎng)絡安全需要將 ZTA 技術與 MTD 技術相結合。安全團隊應該關注速度而不是實力;智能而不是規(guī)模。