【知識分享】 端點威脅防禦—為什麼進階持續性威脅(APT)正在取勝?如何透過零信任(Zero Trust)來阻止?

證據清楚地表明,儘管網路安全投資在不斷擴大,但複雜的網路威脅越來越強大,且它們越來越成功。UBER和APPLE等家喻戶曉的品牌,殖民地管道等基本服務提供商,甚至整個民族國家都成為網路攻擊的受害者,這些攻擊逃避了同類最好的控制。除了頭條新聞,襲擊事件也在螺旋式上升。每分鐘不止一次,才華橫溢、資金充裕的安全團隊在理應先進的威脅防禦系統被攻破後,只能收拾殘局。

將當今的網路攻擊聯繫在一起的一個共同線索是,它們具有令人難以置信的破壞性。現在,威脅在受害者網路中徘徊的時間比以往任何時候都要長。2020至2021年間,攻擊者停留時間增加了36%。而且爆炸半徑比過去大得多。

因此,制定有效的戰略來阻止進階持續性威脅(APT)從未像現在這樣重要。

進階持續性威脅(APT)的工作原理

很久以前,即使是最基本的計算機病毒也是進階持續性威脅(APT)。在無法阻止它們的情況下,像ILOVEYOU蠕蟲這樣的惡意軟體可能會在21世紀初危害數千萬台電腦。作為回應,反病毒(AV)程式被構建來防禦這些威脅。他們的工作前提是在受保護的網路環境中發現並隔離看起來危險的文件、行為和附件。

駭客手法也在不斷的進化,像WANNACRY、Petya和NotPetya這樣的攻擊被認為是高級的、能夠自我傳播的威脅,而下一代反病毒軟體(NGAV)應運而生,高級勒索軟體現在以服務形式提供(RAAS)。事實證明,像SolarWinds和Kaseya這樣的供應鏈攻擊尤其具有破壞性。

图片

基於端點保護平台(EPP)和端點偵測與回應(EDR)等技術的現代安全堆棧的工作方式類似於早期的防病毒程式。這些技術比早期的同類技術,在前期發現和阻止威脅方面做得更好。但它們都是在相同的“搜索和摧毀”概念下運作的。因此,典型的企業級安全態勢幾乎完全依賴於發現並隔離磁盤和網路環境中的已知威脅。

這些基本的安全控制和基於簽名、模式和AI的解決方案仍然是必不可少的,但它們不再能夠確保真正的安全。如今,最危險的威脅旨在繞過和逃避網路安全工具。

進階持續性威脅(APT)不會出現在大多數安全解決方案的雷達上,他們不會被偵測到,直到為時已晚。他們使用與合法系統管理員相同的應用程式來探測網路並橫向移動。

图片

破解版本的紅色團隊工具,如Cobalt Strike,允許駭客攻擊內部儲存空間(RAM)中的合法進程。這些工具允許攻擊者在使用合法應用程式時搜索RAM中存在的密碼和可利用的錯誤。它們還隱藏了防禦者在應用程式運行時無法有效地掃描RAM的地方。

因此,進階持續性威脅(APT)繞過了基於掃描的安全解決方案(在運行時不能查看RAM)和像Allow Listing這樣的控制。根據Picus最近的一份報告,91%的Darkside勒索軟體事件使用了合法的工具和進程。

進階持續性威脅(APT)在運行時存在於RAM中,在重啟、磁盤重新格式化和重新安裝設備操作系統的嘗試中也可以倖存下來。

這些複雜的攻擊過去只有國家支持的駭客才能做,然而,現在越來越常見。被駭客攻擊的Cobalt Strike版本允許駭客以廉價和輕鬆的方式攻擊受害者的設備RAM。去年,排名前五的攻擊技術中有三種涉及設備RAM

图片

如何阻止進階持續性威脅(APT)

進階持續性威脅(APT)正在利用典型企業安全狀態-設備RAM中的明顯安全漏洞。但他們是可以被阻止的。

從長遠來看,防止威脅損害RAM的最好方法是在應用程式和設備中構建更好的防禦。軟體開發人員可以做更多的工作來構建對RAM利用的緩解。它們可能會使駭客更難利用合法網路管理員使用的相同工具。

但是,只要應用程式構建並整合新功能(並且總是會產生錯誤),RAM損壞就是可能的。對於在遙遠的未來仍將在IT環境中運行的數以百萬計的傳統設備和應用程式而言,情況尤其如此。

图片

目前,安全團隊為阻止進階持續性威脅(APT)所能做的最好的事情是添加控制,從一開始就阻止對設備RAM的存取:

建立縱深防禦。沒有一種控制或解決方案可以保護組織免受進階持續性威脅(APT)。安全團隊必須在從終端到業務關鍵型服務器的每一層創建冗餘。

好文閱讀 >> 縱深防禦是甚麼?

實行零信任。零信任的概念已經有47年的歷史了。然而,對於大多數企業來說,這仍然是一個難以實現的目標。根據Forrester最近的一項研究,實施零信任的組織將數據洩露的機會降低了50%。 

好文閱讀 >> 零信任(Zero Trust)是甚麼?

>> 零信任(Zero Trust)案例分享

 ● 使用移動目標防禦(MTD)技術保護設備RAM。您不能在運行時有效地掃描設備RAM。但您可以使密碼等記憶資產對駭客實際上是不可見的。使用使用MTD變形(隨機化)RAM的解決方案,使駭客無法找到他們的目標。

图片

使用MTD構建進階持續性威脅(APT)防禦

NGAV、EPP和EDR等解決方案仍然是任何組織安全戰略的重要組成部分。它們對於阻止大多數表現出可識別特徵和行為模式的攻擊鏈至關重要。

然而,隨著零日攻擊、RAM威脅和無文件攻擊方法的增加,這些工具給防禦者留下了一個嚴重的安全漏洞。迫切需要一種不同的解決方案來有效防禦這些進階持續性威脅(APT)目標的攻擊載體。它可以防止RAM受損並阻止以前未見過的威脅。

進入移動目標防禦(MTD)。被Gartner稱為最具影響力的新興技術之一,MTD創造了一個不可預測的RAM攻擊面。這使得威脅不可能找到它們尋求的資源,無論它們有多複雜。同樣重要的是,MTD技術與其他網路安全解決方案無縫整合,易於實施,並且可擴展。

Morphisec(摩菲斯)

Morphisec(摩菲斯)作為移動目標防禦的領導者,已經證明了這項技術的威力。他們已經在5000多家企業部署了MTD驅動的漏洞預防解決方案,每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟體、惡意軟體和無文件攻擊,這些攻擊是NGAV、EDR解決方案和端點保護平台(EPP)未能檢測和/或阻止的。 (例如,Morphisec客戶的成功案例,Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下,在第零日就被阻止的此類攻擊的例子包括但不限於:

– 勒索軟體(例如,Conti、Darkside、Lockbit)

– 後門程式(例如,Cobalt Strike、其他RAM信標)

– 供應鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)

– 惡意軟體下載程式(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec(摩菲斯)為關鍵應用程式windows和linux本地和雲端服務器提供解決方案,2MB大小快速部署。免費的Guard Lite解決方案,將微軟的Defener AV變成一個企業級的解決方案。讓企業可以從單一地點控制所有終端。請聯繫我們免費獲取!

更多資訊歡迎到宏虹官網了解,或聯繫我們! >> https://hongtronics.com/morphisec-safe-internet-situation/