证据清楚地表明,尽管网络安全投资在不断扩大,但复杂的网络威胁越来越成功。优步和苹果等家喻户晓的品牌,殖民地管道等基本服务提供商,甚至整个民族国家都成为网络攻击的受害者,这些攻击逃避了同类最好的控制。除了头条新闻,袭击事件也在螺旋式上升。每分钟不止一次,才华横溢、资金充裕的安全团队在理应先进的威胁防御系统被攻破后,只能收拾残局。
将当今的网络攻击联系在一起的一个共同线索是,它们具有令人难以置信的破坏性。现在,威胁在受害者网络中徘徊的时间比以往任何时候都要长。2020至2021年间,攻击者停留时间增加了36%。而且爆炸半径比过去大得多。
因此,制定有效的战略来阻止高级威胁从未像现在这样重要。
高级威胁的工作原理
很久以前,即使是最基本的计算机病毒也是高级威胁。在无法阻止它们的情况下,像ILOVEYOU蠕虫这样的恶意软件可能会在21世纪初危害数千万台电脑。作为回应,反病毒(AV)程序被构建来防御这些威胁。他们的工作前提是在受保护的网络环境中发现并隔离看起来危险的文件、行为和附件。
威胁参与者在回应中发生了变化,像WANNACRY、Petya和NotPetya这样的攻击被认为是高级的、自我传播的威胁。作为回应,下一代反病毒软件(NGAV)应运而生。因此,威胁做出了回应。高级勒索软件现在以服务形式提供(RAAS)。开源恶意软件被黑客社区利用。事实证明,像SolarWinds和Kaseya这样的供应链攻击尤其具有破坏性。
基于端点保护平台(EPP)和端点检测和响应(EDR)等技术的现代安全堆栈的工作方式类似于早期的防病毒程序。这些技术比早期的同类技术在发现和阻止威胁方面做得更好。但它们都是在相同的“搜索和摧毁”概念下运作的。因此,典型的企业级安全态势几乎完全依赖于发现并隔离磁盘和网络环境中的已知威胁。
这些基本的安全控制和基于签名、模式和AI的解决方案仍然是必不可少的。但它们不再足以创造真正的安全。如今,最危险的威胁旨在绕过和逃避网络安全工具。
高级威胁不会出现在大多数安全解决方案的雷达上,直到为时已晚,如果真的有的话。他们使用与合法系统管理员相同的应用程序来探测网络并横向移动。
破解版本的红色团队工具,如Cobalt Strike,允许威胁参与者攻击设备内存中的合法进程。这些工具允许攻击者在使用合法应用程序时搜索内存中存在的密码和可利用的错误。它们还隐藏了防御者在应用程序运行时无法有效地扫描内存的地方。
因此,高级威胁绕过了基于扫描的安全解决方案(在运行时不能查看内存)和像Allow Listing这样的控制。根据Picus最近的一份报告,91%的Darkside勒索软件事件使用了合法的工具和进程。
高级威胁在运行时存在于内存中,在重启、磁盘重新格式化和重新安装设备操作系统的尝试中也可以幸存下来。
这些复杂的攻击过去只有国家支持的威胁参与者才能做。然而,今天,它们很常见。被黑客攻击的Cobalt Strike版本允许威胁参与者以廉价和轻松的方式攻击受害者的记忆。去年,排名前五的攻击技术中有三种涉及设备内存。
如何阻止高级威胁
高级威胁正在利用典型企业安全状态-设备内存中的明显安全漏洞。但他们是可以被阻止的。
从长远来看,防止威胁损害内存的最好方法是在应用程序和设备中构建更好的防御。软件开发人员可以做更多的工作来构建对内存利用的缓解。它们可能会使威胁参与者更难利用合法网络管理员使用的相同工具。
但是,只要应用程序构建并集成新功能(并且总是会产生错误),内存损坏就是可能的。对于在遥远的未来仍将在IT环境中运行的数以百万计的传统设备和应用程序而言,情况尤其如此。
目前,安全团队为阻止高级威胁所能做的最好的事情是添加控制,从一开始就阻止对设备内存的访问:
●建立纵深防御。没有一种控制或解决方案可以保护组织免受高级威胁。安全团队必须在从终端 到业务关键型服务器的每一层创建冗余。
●实行零信任。零信任的概念已经有47年的历史了。然而,对于大多数企业来说,这仍然是一个难以实现的目标。根据Forrester最近的一项研究,实施零信任的组织将数据泄露的机会降低了50%。
●使用移动目标防御(MTD)技术保护设备内存。您不能在运行时有效地扫描设备内存。但您可以使密码等记忆资产对威胁参与者实际上是不可见的。使用使用MTD变形(随机化)内存的解决方案,使威胁无法找到他们的目标。
使用MTD构建高级威胁防御
NGAV、EPP和EDR等解决方案仍然是任何组织安全战略的重要组成部分。它们对于阻止大多数表现出可识别特征和行为模式的攻击链至关重要。
然而,随着零日攻击、内存威胁和无文件攻击方法的增加,这些工具给防御者留下了一个严重的安全漏洞。迫切需要一种不同的解决方案来有效防御这些高级威胁目标的攻击载体。它可以防止内存受损并阻止以前未见过的威胁。
进入移动目标防御(MTD)。被Gartner称为最具影响力的新兴技术之一,MTD创造了一个不可预测的内存攻击面。这使得威胁不可能找到它们寻求的资源,无论它们有多复杂。同样重要的是,MTD技术与其他网络安全解决方案无缝集成,易于实施,并且可扩展。
