當(dāng)類似SolarWinds漏洞事件發(fā)生時，很多大型企業(yè)組織機構(gòu)也被發(fā)現(xiàn)存在嚴(yán)重的漏洞暴露，這反映出目前的網(wǎng)絡(luò)安全解決方案并不足以對抗不斷演變的高級攻擊威脅。在此背景下，行業(yè)需要像移動目標(biāo)防御（MTD）這樣的創(chuàng)新技術(shù)來改善網(wǎng)絡(luò)安全。

研究機構(gòu)Gartner認(rèn)為，MTD已被證明可以有效阻止勒索軟件和其他高級零日攻擊，將會成為提高內(nèi)存、網(wǎng)絡(luò)、應(yīng)用程序和操作系統(tǒng)安全性的關(guān)鍵技術(shù)，讓主動安全防護(hù)理念成為現(xiàn)實。

安全防護(hù)技術(shù)的變革

網(wǎng)絡(luò)攻擊包括已知和未知兩種形態(tài)，已知攻擊必須被阻止，因此基于簽名技術(shù)等防御措施仍然是任何組織的安全戰(zhàn)略中不可或缺的部分。然而，隨著現(xiàn)在的攻擊更加靈活和新穎，這些工具已經(jīng)不夠用了，企業(yè)安全建設(shè)的終極目標(biāo)應(yīng)該是以MTD為起點，實現(xiàn)零信任（ZTA）戰(zhàn)略架構(gòu)的構(gòu)建與升級。在美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布的零信任架構(gòu)框架（800-207）中，明確建議企業(yè)組織對端點安全采用零信任方法，以確保更加可靠的網(wǎng)絡(luò)安全防護(hù)態(tài)勢。在ZTA框架內(nèi)，所有的東西都必須經(jīng)過持續(xù)不斷驗證和授權(quán)，MTD技術(shù)可以幫助企業(yè)安全團(tuán)隊更容易的向ZTA架構(gòu)演進(jìn)。

由于時間和資源的限制，大多數(shù)企業(yè)的安全團(tuán)隊短時間內(nèi)還難以實施一個完整的ZTA框架。他們通常會優(yōu)先在網(wǎng)絡(luò)的邊界處建立靜態(tài)的防御體系，這種方法不再有效。

為什么？一個熟悉的、固化的攻擊面很容易被攻擊者發(fā)現(xiàn)、到達(dá)并利用，這將導(dǎo)致重大的經(jīng)濟(jì)損失。如果感覺網(wǎng)絡(luò)安全總是在追趕，那么網(wǎng)絡(luò)攻防兩端的平衡將永遠(yuǎn)無法建立。但是，如果企業(yè)能創(chuàng)造一個靈活的攻擊面，就像一架能夠高速飛行的戰(zhàn)斗機一樣，結(jié)果將會大為改善。這就是移動目標(biāo)防御背后的理念。這也是ZTA網(wǎng)絡(luò)安全的目標(biāo)之一，它正在成為數(shù)字防御的主導(dǎo)范式。

什么是MTD？

Gartner對MTD進(jìn)行了正式的定義：MTD通過使用系統(tǒng)多態(tài)性來防止未知和零日攻擊，以不可預(yù)測的方式隱藏應(yīng)用程序、操作系統(tǒng)和其他關(guān)鍵資產(chǎn)目標(biāo)，導(dǎo)致攻擊面大幅減少，安全運營成本降低。從定義可以看出，MTD是一種預(yù)防為主的網(wǎng)絡(luò)攻擊方法，它的運作原理是移動的目標(biāo)比固定的目標(biāo)更難擊中，因此可以通過動態(tài)或靜態(tài)排列、變形、變換或混淆應(yīng)用訪問入口，來達(dá)到轉(zhuǎn)移網(wǎng)絡(luò)攻擊的目的。此外，MTD還可以設(shè)置陷阱，捕捉威脅者的行動，以進(jìn)一步防范未來的攻擊。通過MTD技術(shù)的引用，企業(yè)可以將漏洞和弱點隱藏起來，不影響當(dāng)前的NGAV、EPP或EDR等防護(hù)產(chǎn)品的功能。它可以讓勒索軟件和其他高級攻擊造成損害之前就被發(fā)現(xiàn)并快速得到阻斷。

MTD可以應(yīng)用在網(wǎng)絡(luò)、主機和應(yīng)用層面。這三種類型都有價值，但應(yīng)用層面是最重要的。這是因為應(yīng)用程序、操作系統(tǒng)和端點資源是最受歡迎的攻擊入口。在應(yīng)用層面上阻止攻擊意味著即使他們在之前的層面上取得成功，最終仍然會失敗。這是攻擊變成事件之前的最后一道防線。而且，MTD不需要占用太多的設(shè)備計算資源，也不需要安全分析師的頻繁干預(yù)，甚至不會占用太多的網(wǎng)絡(luò)連接帶寬。

盡管MTD的概念聽起來很簡單，但它的影響卻很深遠(yuǎn)：讓網(wǎng)絡(luò)安全防護(hù)真正的動起來。當(dāng)防御系統(tǒng)保持移動狀態(tài)時，他們會比攻擊者領(lǐng)先一步。網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對抗，MTD的應(yīng)用，將改變一直以來的攻防力量態(tài)勢，處于劣勢的將會是攻擊者，而不是防御者。

以Morphisec公司的MTD方案為例，其安全防護(hù)主要包括三個步驟：

(1) 變形和隱蔽

當(dāng)一個應(yīng)用程序加載到內(nèi)存空間時，Morphisec會安全地改變進(jìn)程結(jié)構(gòu)。這使得內(nèi)存對攻擊者來說始終是不可預(yù)測的。

(2) 保護(hù)和欺騙

合法的應(yīng)用程序代碼內(nèi)存會被動態(tài)更新以使用變形的資源，應(yīng)用程序照常加載和運行。原有的內(nèi)存空間被作為一個陷阱留下。

(3) 防止和暴露攻擊

如果攻擊以原始內(nèi)存結(jié)構(gòu)為目標(biāo)發(fā)起，將無法找到他們期望和需要的資源。攻擊會被立即阻止、抓獲，并記錄下完整的取證細(xì)節(jié)。

網(wǎng)絡(luò)安全的下一個時代

網(wǎng)絡(luò)安全的下一個時代已經(jīng)到來。安全團(tuán)隊?wèi)?yīng)該關(guān)注對安全威脅的反應(yīng)速度而不是安全能力的堆疊。傳統(tǒng)的網(wǎng)絡(luò)安全是圍繞著一個防御性的外圍，允許任何有授權(quán)的人進(jìn)入。而在ZTA框架中，沒有任何東西具有信任狀態(tài)，包括筆記本電腦和移動設(shè)備等端點。很多跡象都表明，ZTA將更可能成為未來網(wǎng)絡(luò)安全建設(shè)的新標(biāo)準(zhǔn)。

在過去的一年里，攻擊者在逃避檢測和預(yù)防方面做的越來越好，攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實性，其使用的一些關(guān)鍵技術(shù)包括：

• 多態(tài)性 – 更改惡意軟件簽名
• 變形 – 在執(zhí)行時更改惡意軟件代碼
• 混淆 – 混淆惡意活動
• 自加密 – 使用加密來隱藏惡意代碼和數(shù)據(jù)
• 反虛擬機/沙盒 – 更改行為以逃避取證分析
• 防調(diào)試 – 在取證環(huán)境中切換策略以中斷調(diào)試
• 加密漏洞 – 更改參數(shù)和簽名以逃避調(diào)查
• 行為更改 – 在執(zhí)行之前等待使用活動

事實證明，這些技術(shù)在規(guī)避檢測的時候非常有效，攻擊者的優(yōu)勢會隨著時間的推移而擴(kuò)大。任何將攻擊與敏感資產(chǎn)保持距離的嘗試都不可避免地會失敗。因此，安全性必須圍繞資產(chǎn)本身。安全團(tuán)隊?wèi)?yīng)該為MTD技術(shù)應(yīng)用提前做好準(zhǔn)備，它可以幫助企業(yè)更好地保護(hù)資產(chǎn)本身而不是攻擊入口，將防御重點放在應(yīng)用程序運行時所分配內(nèi)存資源上，實現(xiàn)對未知威脅的主動防御。