改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD

自动移动目标防御技术通过启用终端配置的自适应防御来改变终端检测和响应能力。产品领导者可以实施AMTD来确保实时威胁响应,并减少检测和响应安全威胁所需的时间。

主要发现

  • 通过动态修改系统配置、软件堆栈或网络特征,自动移动目标防御(AMTD)使攻击者更难识别和利用漏洞。

  • 保护性防御的需求将由政府、金融服务、医疗保健和保险等垂直行业主导,以解决基于终端数据分析的检测和响应策略的局限性。

  • 在终端上使用AMTD技术和策略可以破坏威胁行为者在几乎所有攻击方式中使用的逆向工程工作。

建议

作为希望在终端防御中利用新兴AMTD技术的产品领导者,您必须:

  • 专注于获取或构建支持 ATMD 的终端防御策略,以增强终端预防技术,超越检测和响应,转向主动、自适应防御。

  • 针对联邦和州政府机构、金融服务、医疗保健和保险等垂直行业,这些行业对于AMTD的主动、适应性防御功能来说已经成熟,因为它们优先考虑预防而不是合规。

  • 清楚地传达AMTD支持的解决方案如何解决最终客户对其试图阻止的逆向工程高级持续威胁 (APT) 攻击的担忧。

分析

技术说明

自动移动目标防御(AMTD)是一项新兴技术,专注于不断改变系统或网络的攻击面。AMTD通过动态修改系统配置、软件堆栈或网络特征,使攻击者更难识别和利用漏洞。这种主动方法有助于改善网络防御并降低成功攻击的风险。AMTD通过机密计算能力增强,正在改变我们保护终端系统的方式。

在终端(工作站、服务器和工作负载)方面,AMTD提供了终端保护平台(EPP)、统一终端管理(UEM)和操作系统的安全提供商必须考虑的关键增强功能。AMTD终端解决方案供应商可以利用AMTD技术及其概念,通过重新调整主动防御策略的优先顺序来增强网络安全,而不是严重依赖安全运营中心(SOC)内的手动人工检测和响应。

产品领导者必须认识到,对于使用 AMTD 阻止的每一次攻击,对安全运营和 IR 人员时间、数据处理、分析、潜在响应、误报量和取证成本的下游影响都可以显著降低(见图 1)。

图 1:关键见解:AMTD 变革终端保护

AMTD 的终端防御可包括:

  • 通过变形或增强随机化增强记忆防御

  • 利用AMTD主动防御增强机密计算飞地

  • 增强运行时软件强化(代码或输入的多态性)

  • 通过已知的、良好的文件存储进行自动终端自我修复

  • 将 AMTD 应用于文件存储或存储访问通道(命令和存储多态)

关键洞察:AMTD 支持的运行时增强终端防御

攻击者继续关注基于身份的攻击(通常通过利用漏洞来收集)、恶意可执行文件以及终端上管理员使用的远程 (LOTL) 软件。攻击者依靠混淆和规避技术的组合作为防御规避的常见方法。终端攻击通常使用某种类型的远程利用,包括将受污染的有效负载注入可执行内存、将命令传递到命令行或从受信任的第三方检索恶意内容。攻击者,尤其是国家级黑客组织,总是希望实现他们的代码注入目标。

在远程代码执行 ( RCE ) 攻击中,主要目标是执行代码(最好具有升级的权限),然后调用其他攻击阶段。攻击者使用 RCE 是因为执行任意代码的灵活性和可预测性,使他们能够利用自动化来快速扩展。这些类型的恶意软件特别灵活,因为攻击者可以执行任意数量的附加攻击杀伤链阶段。

RCE 被国家级黑客组织和 APT 行为者普遍使用,但由于在生成人工智能 (GenAI) 大语言模型 (LLM) 和恶意暗网服务中利用代码生成方面取得的成就, RCE 越来越容易实现。EPP 提供商拥有一个重要的新机会,可以通过利用终端上的运行时 AMTD 来成功抵御 RCE 攻击,从而增强预防能力。通过将AMTD纳入其产品中,提供商可以提高潜在的竞争优势,通过采取主动预防策略为其产品路线图注入新的活力。其结果是在检测和响应安全操作过载的背景下改善了防御结果。

虽然 RCE 攻击可以针对各种系统和应用程序,但一些常见目标是:

  • 网络服务器和应用程序

  • 内容管理系统(CMS)

  • 电子邮件服务器和客户端

  • 操作系统和软件

  • 路由器、交换机等网络设备

  • 数据库

显然,随着组织继续成为常见利用方法的牺牲品,我们需要一种新的防御策略。政府机构、金融服务、医疗保健和保险行业将网络安全置于合规之上,从逻辑上讲,它们是采用增强型AMTD功能的主要候选者。这些垂直行业通常更喜欢最强大的安全措施,并与高级威胁行为者打交道。这些行业更喜欢强大的终端管理,并且通常存在技术债务,例如各种遗留应用程序或操作系统。这些技术遗产可以通过AMTD措施来支持遗留终端,同时摆脱技术债务。

为了实现这一目标,AMTD终端应包括以下功能:

  • 终端执行流程的实时风险和信任评估(基于可执行声誉的评估)

  • 运行时内存、应用程序代码和内存堆栈中应用的随机化技术的多态性可防止基于内存的攻击

  • 对所有支持的可执行库进行彻底、持续的运行时验证,以处理恶意“自带二进制”漏洞并利用回归

  • 主动和动态的欺骗技术来挫败和破坏攻击者

终端运行时 AMTD 的示例提供程序

ARMS网络防御

AMTD 终端操作系统强化示例提供程序

RunSafe Security,Scrambleup.co

对产品领导者的近期影响

  • 通过使用AMTD支持的主动预防来建立竞争优势,该预防重点关注买家解决现有检测和响应以及面向数据分析的终端防御策略的局限性的需求。

  • 检测和响应策略的有效性日益减弱。随着买家认识到威胁行为者继续绕过现有的主流 EPP 技术,他们将寻求更主动的预防结果。

  • 美国证券交易委员会 (SEC) 和联邦贸易委员会最近采取的执法行动将推动加强安全、合规和防御策略、提高企业透明度的需求。

未来 6 至 18 个月的建议行动

  • 产品领导者应该认识到通过将AMTD与现有技术堆栈相结合以实现全面保护来提高深度防御的好处。

  • 当产品领导者无法构建自己的AMTD功能时,应寻求AMTD技术合作伙伴。专注于整合更多AMTD功能,以增强预防与检测为重点的技术。

  • 终端部署类型(例如设备、信息亭、物联网和 OT 环境)的产品领导者应为其终端操作系统实施 AMTD 策略,以增强对高级攻击的防御,进一步强化其整体产品。

关键洞察:与AMTD一起进行主动深度防御,增强机密计算和隔离策略

寻求将安全性提升到检测和响应之外的组织目前严重依赖人类判断和威胁情报,即先前的攻击知识。这些组织应考虑采用机密计算技术与AMTD相结合,以避免终端攻击。

与 AMTD 结合使用时,机密计算可以通过对软件和数据进行加密来保护敏感数据,即使在处理数据时也是如此。此策略降低了数据暴露的风险,尤其是在高度监管的环境中。虽然机密计算可以作为云中的服务应用,但它在终端方面产生了显着的好处,在构建现代数字化转型业务时应考虑这一点。

在机密计算环境中,数据在运行时被加密,这使得机密计算层能够阻止恶意进程篡改原始软件。然而,在机密计算飞地中执行的代码在执行过程中仍然容易受到攻击和利用。AMTD与机密计算和隔离策略相结合,为终端提供了更全面、更主动的安全方法。当这些技术结合起来时,可以显着增强对运行时环境的保护,使其免受恶意代码执行的影响(参见图 2)。

图 2:应用 AMTD 的机密隔离容器

当AMTD应用于飞地中的软件时,它为用户提供了主动预防,增强了机密计算堆栈的防御性和面向预防的性质。机密计算中的新兴功能,其中机密功能可以由开发人员以代码形式调用,使开发人员更容易实施,组织也更容易将AMTD 自动化,与其他预防技术相结合,作为深度层的主动防御。

机密计算技术的示例提供商:

亚马逊网络服务 (AWS)、AMD、苹果、CYSEC、谷歌、英特尔、微软、NVIDIA、VectorZero Technologies、VMware

以代码形式提供的机密计算示例提供商:

Anjuna Security, Edgeless Systems

对产品领导者的近期影响

  • 机密计算硬件采用率的提高使买家能够更好地利用终端系统上机密计算飞地的增强功能。

  • AMTD的软件交付与机密计算现已推出,这意味着产品领导者可以访问先进的主动防御堆栈以进行未来的设计。

  • 产品团队通过 AMTD 和机密计算构建更主动的防御计算堆栈的机会越来越多,同时符合信任根验证和飞地功能的硬件采用要求。

未来 6 至 18 个月的建议行动

  • 产品领导者,特别是那些专注于AMTD支持的终端防御策略的产品领导者,应该通过选择提供或支持轻松采用机密计算的提供商来增强其防御策略。

  • 产品领导者应与其产品团队集思广益,设计出同时利用机密计算和 AMTD 或提高其采用便利性的方法,作为 DevOps 持续集成/持续部署管道中的标准实践和部署功能。

关键洞察:AMTD 应用于 DevSecOps 改进了终端应用程序漏洞利用防御

攻击者经常使用逆向工程,这意味着他们分析应用程序的执行及其各个部分和关系,以发现软件的工作原理以及可利用的位置。因此,在他们的逆向过程中应用 AMTD 可以立即使他们执行攻击变得更加困难。一些新兴的安全提供商正在将 AMTD 应用到代码中,该代码通过应用攻击者经常用来隐藏攻击和击败防御者的相同原则混淆来转换软件。

攻击者还经常使用多态性来混淆他们的活动、恶意代码或检测技术的漏洞。例如,恶意软件不断发生多态性,因此在到达受害者终端之前很难或不可能检测到其包装或后期阶段。值得注意的是,这些 AMTD 技术不必仅限于攻击者。

防御者可以利用 AMTD 在编译前、加载时甚至在运行时环境中执行期间保护其代码。通过将 AMTD 引入代码中,开发人员可以在代码中实施防御性、开箱即用的主动预防。编译后的字节码或在运行时执行的应用程序代码本质上可以应用 AMTD 来变得完全独特。

将 AMTD 技术引入内存函数、输入参数、变量和其他可执行运行时元素,使得攻击者很难自动找到可利用的参数。以这种方式应用 AMTD 可以有效地消除代码的攻击面并破坏大多数自动化技术,从而阻止攻击者的利用,尤其是破坏先验知识攻击或 Web 攻击。

AMTD 如何应用于代码的示例:

  • 加载时函数随机化——智能随机函数名称

  • 攻击者常用的块级二进制随机化

  • 堆栈帧随机化

  • 变量名称随机化

  • 应用程序中的欺骗、佯攻或破坏性的遗留行为

对产品领导者的近期影响

  • 持续集成/持续交付流程中的自动化需要进行更新,以将AMTD正确包含并部署到 DevSecOps 流程和云原生应用程序保护平台 (CNAPP) 工具中。

  • 将AMTD应用于代码后,如果没有手动代码审查,开发人员将无法进行高级的非生产调试。这将需要在实时生产环境中使用更先进的运行时监控和应用程序跟踪工具。

  • 软件开发人员最初可能会对将 AMTD 概念引入其代码中做出负面反应,需要加强教育、AMTD 实施知识并计划让开发团队感到舒适。

未来 6 至 18 个月的建议行动

  • 产品领导者应立即开始向其开发团队和工程人员传播AMTD代码概念,以减少开发人员在实施AMTD方法之前的潜在焦虑。

  • 在应用 AMTD 之前,产品领导者必须与其执行团队合作,为增强的代码运行时可观察性和应用程序跟踪做好预算,以满足开发人员的实时调试需求。

技术背景

用于终端和终端软件的 AMTD 是一组技术,使攻击者更难对终端操作系统和软件技术进行逆向工程和利用。AMTD 的工作原理是在其所使用的应用程序和操作系统的攻击面中引入不可预测且频繁的变化。

AMTD的优势

  • 增强针对零日漏洞和利用的防护

  • 减少对服务器级别的检测和响应工具、流程和运营的依赖

  • 改进深度防御,补充现有工具和防御机制

AMTD的潜在缺点

  • 性能影响:AMTD 的应用可能需要更多的 CPU 使用,产生额外的内存流量,或者在运行时实现时可能会增加延迟。

  • 应用程序和操作系统兼容性:如果没有正确规划和设计,添加随机化或更改(取决于其实施方式)可能会破坏应用程序或操作系统。

  • 需要同步状态并保持 AMTD 功能之间的变化感知:状态同步通过实时传达变化来帮助管理随机化。这可能会增加额外的处理开销,或者对网络流量或 AMTD 堆栈架构产生影响。

  • 代理要求:可能需要代理技术来对 AMTD 进行远程配置管理或修改 AMTD 特性和功能。

  • 与实施相关的支持和服务问题:支持和服务人员可能需要了解随机化的引入或环境中动态引入的变化,以避免破坏故障排除效率。

影响

应用 AMTD 的影响可以通过在受 AMTD 保护的堆栈上执行实时、预先测试的 APT 漏洞攻击来证明。通常,威胁行为者会尝试执行脚本化内存扫描,并在未正确清理的缓冲区中溢出输入参数(缓冲区溢出),以注入受污染的有效负载。

但是应用 AMTD 后,其利用的侦察到的可执行内存目标将不再可用。由于引入了混淆,威胁行为者将无法在内存中找到要攻击的注入位置。同时,攻击者将更容易被检测到,因为他们需要对实时环境中运行的可执行文件采用各种技术来执行攻击。因此,AMTD 和 enclaving 的结合形成了一个良好混淆和隔离的容器应用程序。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/668734.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MQ,RabbitMQ,SpringAMQP的原理与实操

MQ 同步通信 异步通信 事件驱动优势: 服务解耦 性能提升,吞吐量提高 服务没有强依赖,不担心级联失败问题 流量消峰 ​ 小结: 大多情况对时效性要求较高,所有大多数时间用同步。而如果不需要对方的结果,且吞吐…

性能实测:分布式存储 ZBS 与集中式存储 HDS 在 Oracle 数据库场景表现如何

作者:深耕行业的 SmartX 金融团队 金鑫 在金融客户的基础架构环境中,HDS 是一种被广泛使用的存储解决方案。作为集中式存储的代表之一,HDS 拥有高性能、高可用性和可扩展性的企业级存储特点,适用于实时数据处理、虚拟化和灾难备份…

Python 潮流周刊#38:Django + Next.js 构建全栈项目

△△请给“Python猫”加星标 ,以免错过文章推送 你好,我是猫哥。这里每周分享优质的 Python、AI 及通用技术内容,大部分为英文。本周刊开源,欢迎投稿[1]。另有电报频道[2]作为副刊,补充发布更加丰富的资讯,…

开源软件全景解析:驱动技术创新与行业革新的力量

目录 什么是开源 开源的核心 开源软件的特点 为什么程序员应该拥抱开源 1.学习机会: 2.社区支持: 3.提高职业竞争力: 4.加速开发过程: 5.贡献和回馈: 开源软件的影响力 开源软件多元分析: 开源…

蓝桥杯刷题day06——平均

1、题目描述 有一个长度为n 的数组(n 是 10 的倍数),每个数ai都是区间 [0,9] 中的整数。 小明发现数组里每种数出现的次数不太平均,而更改第i 个数的代价为bi, 他想更改若干个数的值使得这10 种数出现的次数相等&…

YOLOv8改进 | 检测头篇 | 重参数化检测头RepHead解决困难样本检测(全网独家首发)

一、本文介绍 本文给大家带来的改进机制是RepHead,该检测头为我独家全网首发,该检测头由重参数化模块组成,加大对于特征学习的能力,却可以不增加GFLOPs(仅仅略微提升)从而不影响模型的推理速度和性能,保持较高的FPS能力,牺牲了少量GFLOPs的情况下确提高了模型的特征提…

(2)(2.13) Rockblock Satellite Modem

文章目录 前言 1 支持的MAVLink命令信息 2 设置 3 使用方法 4 数据成本 5 参数 前言 !Note 该功能仅适用于 ArduPilot 4.4 或更高版本,并且要求飞行控制器支持 LUA 脚本(LUA Scripts)。 RockBLOCK 卫星调制解调器可实现与 ArduPilot 飞行器的全球…

SpringCloud+RabbitMQ+Docker+Redis+搜索+分布式 基础(持续更新~)

具体操作: day2: 作用: 出现跨域问题 配相对应进行配置即可解决: IDEA连接的,在url最后加参数?useSSLfalse注意链接密码是123(docker中mysql密码) 注意,虚拟机中设置的密码和ip要和主机上…

专业排版设计软件:QuarkXPress 2024 for mac中文激活版

QuarkXPress 2024 for Mac是一款功能强大、易于使用、高质量输出的专业排版软件。无论您是出版业的专家还是初学者,都可以通过QuarkXPress 2024轻松创建出令人惊叹的出版物。 软件下载:QuarkXPress 2024 for mac中文激活版下载 QuarkXPress 2023 for Mac…

Unity3d Cinemachine篇(完)— TargetGroup

文章目录 前言使用TargetGroup追随多个模型1. 创建二个游戏物体2. 创建TargetGroup相机3. 设置相机4. 完成 前言 上一期我们简单的使用了ClearShot相机,这次我们来使用一下TargetGroup 使用TargetGroup追随多个模型 1. 创建二个游戏物体 2. 创建TargetGroup相机 3…

vue 下载二进制文件

文章目录 概要技术细节 概要 vue 下载后端返回的二进制文件流 技术细节 import axios from "axios"; const baseUrl process.env.VUE_APP_BASE_API; //downLoadPdf("/pdf/download?pdfName" res .pdf, res); export function downLoadPdf(str, fil…

react-virtualized实现行元素不等高的虚拟列表滚动

前言: 当一个页面中需要接受接口返回的全部数据进行页面渲染时间,如果数据量比较庞大,前端在渲染dom的过程中需要花费时间,造成页面经常出现卡顿现象。 需求:通过虚拟加载,优化页面渲染速度 优点&#xff1…

Codeforces Round 651 (Div. 2)C. Number Game 博弈 奇偶数 偶数的表示

Submission #244500083 - Codeforces 题目: 思路: 此题要从奇偶性上入手。(注意除的是奇因数,即一个奇数。我想成质数了) 1.当A选手开局是1时,A败。 2.当A选手开局是2和奇数时,A必胜。&…

vue2 el-table新增行内删除行内(两种写法)里面第一个是树组件,第二个是数字组件,第一个数组件只能勾选最后一个节点

第一种 <template><div class"time_table"><div style"margin-bottom: 10px"><el-button click"addRowFn">新增</el-button></div><el-form ref"costForm" :model"formData">&l…

备战蓝桥杯---搜索(剪枝)

何为剪枝&#xff0c;就是减少搜索树的大小。 它有什么作用呢&#xff1f; 1.改变搜索顺序。 2.最优化剪枝。 3.可行性剪枝。 首先&#xff0c;单纯的广搜是无法实现的&#xff0c;因为它存在来回跳的情况来拖时间。 于是我们可以用DFS&#xff0c;那我们如何剪枝呢&#…

Http请求Cookie失效问题

Http请求Cookie失效问题记录 一、问题现象 在开发功能的过程中&#xff0c;业务依赖cookie进行取之&#xff0c;项目进行交互时会对前端http请求携带的cookies进行解析操作&#xff0c;但在自测调试对过程中出现账户的授权失效的报错问题。 二、问题排查 用arthas进行代码方…

3d网上虚拟现实展厅让汽车零部件厂商脱颖而出

在这个信息爆炸的时代&#xff0c;如何让自己的产品在众多竞争者中脱颖而出?让我们为您揭示一个秘密武器——汽车线上3D云展示软件。 想象一下&#xff0c;一辆外观炫酷、性能卓越的红色汽车&#xff0c;通过这款3D云展示软件&#xff0c;呈现在潜在客户的眼前。那流线型的车身…

Failed at the chromedriver@2.27.2 install script.

目录 【错误描述】Failed at the chromedriver2.27.2 install script. npm install报的错误 【解决方法】 删除node_modules文件夹npm install chromedriver --chromedriver_cdnurlhttp://cdn.npm.taobao.org/dist/chromedrivernpm install 【未解决】 下载该zip包运行这个&…

【npm】安装全局包,使用时提示:不是内部或外部命令,也不是可运行的程序或批处理文件

问题 如图&#xff0c;明明安装Vue是全局包&#xff0c;但是使用时却提示&#xff1a; 解决办法 使用以下命令任意一种命令查看全局包的配置路径 npm root -g 然后将此路径&#xff08;不包括node_modules&#xff09;添加到环境变量中去&#xff0c;这里注意&#xff0c;原…

前端框架学习 Vue(3)vue生命周期,钩子函数,工程化开发脚手架CLI,组件化开发,组件分类

Vue 生命周期 和生命周期的四个阶段 Vue生命周期:一个Vue实例从创建 到 销毁 的整个过程 生命周期四个阶段 :(1)创建 (2)挂载 (3)更新 (4)销毁 Vue生命周期函数(钩子函数) Vue生命周期过程中,会自动运行一些函数,被称为[生命周期钩子] ->让开发者可以在[特定阶段] 运行自…