加入星計劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴散
  • 作品版權(quán)保護
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入

虹科分享 | 如何構(gòu)建深度防御層 | 自動移動目標防御

2023/08/23
3792
服務(wù)支持:
技術(shù)交流群

完成交易后在“購買成功”頁面掃碼入群,即可與技術(shù)大咖們分享疑惑和經(jīng)驗、收獲成長和認同、領(lǐng)取優(yōu)惠和紅包等。

虛擬商品不可退

當前內(nèi)容為數(shù)字版權(quán)作品,購買后不支持退換且無法轉(zhuǎn)移使用。

加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點資訊討論
放大
實物圖
相關(guān)方案
  • 方案介紹
    • 虹科推薦
  • 相關(guān)文件
  • 推薦器件
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

在當今的威脅環(huán)境中,多層縱深防御是安全團隊獲得安心的唯一方法之一。為什么?有兩個原因:

1.攻擊面越來越大。

隨著DevOps等遠程工作和數(shù)字化轉(zhuǎn)型項目的興起,攻擊面已經(jīng)超出了大多數(shù)安全團隊的定義能力。創(chuàng)建一個完全安全的網(wǎng)絡(luò)邊界是不可能的。正如Twilio漏洞所表明的,威脅參與者甚至可以繞過高級的雙因素認證(2FA)協(xié)議。

2.威脅變得越來越隱晦。

進入網(wǎng)絡(luò)環(huán)境的威脅越來越難以發(fā)現(xiàn),并且離初始訪問點越來越遠。Eurecom大學(FR)的一項研究回顧了超過17萬個真實的惡意軟件樣本,顯示使用規(guī)避和內(nèi)存中技術(shù)能夠繞過NGAV/EPP/EDRs提供的保護占40%以上。在至少25%的網(wǎng)絡(luò)攻擊中,橫向移動是一個特征。

有針對性和規(guī)避性威脅的增加意味著任何級別的單一安全層(從端點到關(guān)鍵服務(wù)器)都無法依靠自身來阻止攻擊。相反,就像層層身份檢查和保鏢保護VIP一樣,安全團隊需要在關(guān)鍵資產(chǎn)和潛在威脅之間設(shè)置多層安全障礙。

縱深防御不僅僅是部署多種安全產(chǎn)品。在這個過程中,組織可以強化他們的人員、流程和技術(shù),以產(chǎn)生高度彈性的安全結(jié)果。

虹科推薦的構(gòu)建縱深防御層的最佳實踐

1. 從人開始——根據(jù)Verizon最近的數(shù)據(jù)泄露報告,去年82%的安全漏洞涉及人為錯誤。連接網(wǎng)絡(luò)的個體通過社會工程、犯錯誤或故意允許惡意訪問,使攻擊成為可能。

這一統(tǒng)計數(shù)據(jù)顯示了在任何縱深防御策略中強化“人員層”的重要性。但是,盡管許多組織每年都對個人進行培訓,以證明他們符合保險要求,但研究證明,只有少數(shù)人這樣做的頻率足以改變他們的安全態(tài)勢。最好的情況是,人力資源是最后一道防線。

需要更多的培訓。然而,安全不應(yīng)該依賴于遵守政策。確保適當?shù)目刂?如多因素身份驗證(MFA))作為備份是至關(guān)重要的。

2. 要認識到扁平化的網(wǎng)絡(luò)架構(gòu)≠安全——破壞性的網(wǎng)絡(luò)攻擊不僅僅是熟練的威脅行為者或先進技術(shù)的結(jié)果。通常,受害者自己的網(wǎng)絡(luò)設(shè)計是網(wǎng)絡(luò)罪犯最大的資產(chǎn)。

平面網(wǎng)絡(luò)環(huán)境的默認策略是允許所有設(shè)備和應(yīng)用程序共享信息。盡管這使得網(wǎng)絡(luò)易于管理,但其安全方面的缺點是,一旦平面網(wǎng)絡(luò)中單個網(wǎng)絡(luò)連接的資產(chǎn)被破壞,威脅參與者就相對容易建立橫向移動到網(wǎng)絡(luò)的其他部分。
為了阻止這種情況發(fā)生,安全團隊應(yīng)該使用某種形式的網(wǎng)絡(luò)分段和子網(wǎng)劃分來保護脆弱的網(wǎng)絡(luò)資產(chǎn),并減緩橫向移動。

網(wǎng)絡(luò)分段還使安全團隊能夠在不破壞整個組織的情況下響應(yīng)和隔離威脅。

3.在每一層使用最佳技術(shù)——超過70%的安全專業(yè)人員更喜歡最佳解決方案,而不是基于平臺的控制,這是有充分理由的。符合供應(yīng)商營銷策略的安全程序并不總能滿足客戶的實際需求。

針對高級攻擊,統(tǒng)一適用于所有工具或工具集可能會留下空白,并造成與業(yè)務(wù)需求不兼容的管理負擔。

更好的選擇是根據(jù)需要為每個環(huán)境和業(yè)務(wù)情況定制深度防御工具棧。安全團隊必須查看用戶和系統(tǒng)如何在這些層中運行,并選擇最佳的解決方案。

為了阻止已知的威脅,終端和服務(wù)器必須至少有一個有效的防病毒(AV)。理想情況下,還將提供端點保護(EPP)和端點檢測與響應(yīng)(EDR)。還需要有面向內(nèi)部的解決方案,如安全信息和事件管理(SIEM)或安全編排、自動化和響應(yīng)(SOAR)平臺,該平臺可以集中安全日志,并使安全團隊能夠識別、調(diào)查和減輕風險。

在網(wǎng)絡(luò)邊界周圍,防火墻是必不可少的,面向internet的資產(chǎn)需要由Web應(yīng)用程序防火墻(Web Application firewall, WAFs)來保護。

4. 確保安全解決方案和應(yīng)用程序得到適當更新和配置——根據(jù)2023年Verizon數(shù)據(jù)泄露調(diào)查報告,未修補的漏洞和錯誤配置占了超過40%的事件。僅使用最佳安全控制是不夠的。這些解決方案、組織的業(yè)務(wù)應(yīng)用程序和操作系統(tǒng)必須不斷地打補丁和正確地配置。

例如,在2021年,Microsoft Exchange上的ProxyLogon漏洞影響了全球數(shù)千個組織。雖然微軟發(fā)布了糾正措施的說明,但ProxyShellMiner等變體目前仍然活躍。

部署移動目標防御(AMTD)防御躲避和內(nèi)存網(wǎng)絡(luò)攻擊

除了這些最佳實踐之外,現(xiàn)實情況是,即使完全部署安全人工智能和自動化,識別和遏制數(shù)據(jù)泄露的平均時間是249天。

因此,保護終端、服務(wù)器和工作負載免受能夠躲避基于檢測技術(shù)提供的保護機制的攻擊是很重要的。

自動移動目標防御(Automated Moving Target Defense, AMTD)是一種重要的深度防御層,因為它在運行時將威脅阻止在脆弱且通常不受保護的空間設(shè)備內(nèi)存中。

像進程注入和PowerShell妥協(xié)這樣的代碼和內(nèi)存利用技術(shù)是MITRE十大最常見的ATT&CK技術(shù)之一。AMTD通過改變內(nèi)存,使其基本上不受威脅,從而降低了這種風險。這意味著內(nèi)存資產(chǎn)和漏洞(如哈希密碼和bug)對威脅參與者來說是不可訪問的。

作為深度防御安全態(tài)勢中的一層,AMTD阻止了繞過其他級別控制的零日、無文件和內(nèi)存攻擊。

虹科推薦

虹科入侵防御方案

虹科終端安全解決方案,針對最高級的威脅提供了以預(yù)防為優(yōu)先的安全,阻止從終端到云的其他攻擊。虹科摩菲斯以自動移動目標防御(AMTD)技術(shù)為支持。AMTD是一項提高網(wǎng)絡(luò)防御水平并改變游戲規(guī)則的新興技術(shù),能夠阻止勒索軟件、供應(yīng)鏈攻擊、零日攻擊、無文件攻擊和其他高級攻擊。Gartner研究表明,AMTD是網(wǎng)絡(luò)的未來,其提供了超輕量級深度防御安全層,以增強NGAV、EPP和EDR/XDR等解決方案。我們在不影響性能或不需要額外工作人員的情況下,針對無法檢測的網(wǎng)絡(luò)攻擊縮小他們的運行時內(nèi)存安全漏洞。超過5,000家組織信任摩菲斯來保護900萬臺Windows和Linux服務(wù)器、工作負載和終端。虹科摩菲斯每天都在阻止Lenovo, Motorola、TruGreen、Covenant Health、公民醫(yī)療中心等數(shù)千次高級攻擊。

虹科摩菲斯的自動移動目標防御ATMD做到了什么?

1、主動進行預(yù)防(簽名、規(guī)則、IOCs/IOA);

2、主動自動防御運行時內(nèi)存攻擊、防御規(guī)避、憑據(jù)盜竊、勒索軟件;

3、在執(zhí)行時立即阻止惡意軟件;

4、為舊版本操作系統(tǒng)提供全面保護;

5、可以忽略不計的性能影響(CPU/RAM);

6、無誤報,通過確定警報優(yōu)先級來減少分析人員/SOC的工作量。

  • 虹科分享 如何構(gòu)建深度防御層 自動移動目標防御.docx

推薦器件

更多器件
器件型號 數(shù)量 器件廠商 器件描述 數(shù)據(jù)手冊 ECAD模型 風險等級 參考價格 更多信息
SFH619A-X009T 1 Vishay Intertechnologies SFH619A Optocoupler, Photodarlington Output, High Gain, 300 V BVCEO

ECAD模型

下載ECAD模型
$1.5 查看
AFBR-1624Z 1 Foxconn Transmitter, 630nm Min, 685nm Max, Through Hole Mount, ROHS COMPLIANT, PLASTIC, PACKAGE-8
$22.76 查看
IS61WV102416BLL-10TLI 1 Integrated Silicon Solution Inc Standard SRAM, 1MX16, 10ns, CMOS, PDSO48, 12 X 20 MM, LEAD FREE, TSOP1-48

ECAD模型

下載ECAD模型
$23.94 查看

相關(guān)推薦

電子產(chǎn)業(yè)圖譜

虹科是一家資源整合及技術(shù)服務(wù)落地供應(yīng)商,與全球頂尖公司深度技術(shù)合作,專注于制造業(yè)、汽車、生物、醫(yī)藥、測試與測量、廣播電視與媒體、通信、網(wǎng)絡(luò)安全、光電等領(lǐng)域,為客戶提供:智能自動化、工業(yè)物聯(lián)網(wǎng)、智能感知、數(shù)字化+AR、光電、網(wǎng)絡(luò)安全、測試測量、衛(wèi)星與無線通信、醫(yī)藥環(huán)境監(jiān)測與驗證、生命科學、汽車電子、汽車維修診斷、云科技等解決方案。虹科始終致力于為行業(yè)客戶提供創(chuàng)新及前端的產(chǎn)品和技術(shù)解決方案,為科技社會發(fā)展助力加碼。