改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD

自动移动目标防御技术通过启用终端配置的自适应防御来改变终端检测和响应能力。产品领导者可以实施AMTD来确保实时威胁响应,并减少检测和响应安全威胁所需的时间。

主要发现

  • 通过动态修改系统配置、软件堆栈或网络特征,自动移动目标防御(AMTD)使攻击者更难识别和利用漏洞。

  • 保护性防御的需求将由政府、金融服务、医疗保健和保险等垂直行业主导,以解决基于终端数据分析的检测和响应策略的局限性。

  • 在终端上使用AMTD技术和策略可以破坏威胁行为者在几乎所有攻击方式中使用的逆向工程工作。

建议

作为希望在终端防御中利用新兴AMTD技术的产品领导者,您必须:

  • 专注于获取或构建支持 ATMD 的终端防御策略,以增强终端预防技术,超越检测和响应,转向主动、自适应防御。

  • 针对联邦和州政府机构、金融服务、医疗保健和保险等垂直行业,这些行业对于AMTD的主动、适应性防御功能来说已经成熟,因为它们优先考虑预防而不是合规。

  • 清楚地传达AMTD支持的解决方案如何解决最终客户对其试图阻止的逆向工程高级持续威胁 (APT) 攻击的担忧。

分析

技术说明

自动移动目标防御(AMTD)是一项新兴技术,专注于不断改变系统或网络的攻击面。AMTD通过动态修改系统配置、软件堆栈或网络特征,使攻击者更难识别和利用漏洞。这种主动方法有助于改善网络防御并降低成功攻击的风险。AMTD通过机密计算能力增强,正在改变我们保护终端系统的方式。

在终端(工作站、服务器和工作负载)方面,AMTD提供了终端保护平台(EPP)、统一终端管理(UEM)和操作系统的安全提供商必须考虑的关键增强功能。AMTD终端解决方案供应商可以利用AMTD技术及其概念,通过重新调整主动防御策略的优先顺序来增强网络安全,而不是严重依赖安全运营中心(SOC)内的手动人工检测和响应。

产品领导者必须认识到,对于使用 AMTD 阻止的每一次攻击,对安全运营和 IR 人员时间、数据处理、分析、潜在响应、误报量和取证成本的下游影响都可以显著降低(见图 1)。

图 1:关键见解:AMTD 变革终端保护

AMTD 的终端防御可包括:

  • 通过变形或增强随机化增强记忆防御

  • 利用AMTD主动防御增强机密计算飞地

  • 增强运行时软件强化(代码或输入的多态性)

  • 通过已知的、良好的文件存储进行自动终端自我修复

  • 将 AMTD 应用于文件存储或存储访问通道(命令和存储多态)

关键洞察:AMTD 支持的运行时增强终端防御

攻击者继续关注基于身份的攻击(通常通过利用漏洞来收集)、恶意可执行文件以及终端上管理员使用的远程 (LOTL) 软件。攻击者依靠混淆和规避技术的组合作为防御规避的常见方法。终端攻击通常使用某种类型的远程利用,包括将受污染的有效负载注入可执行内存、将命令传递到命令行或从受信任的第三方检索恶意内容。攻击者,尤其是国家级黑客组织,总是希望实现他们的代码注入目标。

在远程代码执行 ( RCE ) 攻击中,主要目标是执行代码(最好具有升级的权限),然后调用其他攻击阶段。攻击者使用 RCE 是因为执行任意代码的灵活性和可预测性,使他们能够利用自动化来快速扩展。这些类型的恶意软件特别灵活,因为攻击者可以执行任意数量的附加攻击杀伤链阶段。

RCE 被国家级黑客组织和 APT 行为者普遍使用,但由于在生成人工智能 (GenAI) 大语言模型 (LLM) 和恶意暗网服务中利用代码生成方面取得的成就, RCE 越来越容易实现。EPP 提供商拥有一个重要的新机会,可以通过利用终端上的运行时 AMTD 来成功抵御 RCE 攻击,从而增强预防能力。通过将AMTD纳入其产品中,提供商可以提高潜在的竞争优势,通过采取主动预防策略为其产品路线图注入新的活力。其结果是在检测和响应安全操作过载的背景下改善了防御结果。

虽然 RCE 攻击可以针对各种系统和应用程序,但一些常见目标是:

  • 网络服务器和应用程序

  • 内容管理系统(CMS)

  • 电子邮件服务器和客户端

  • 操作系统和软件

  • 路由器、交换机等网络设备

  • 数据库

显然,随着组织继续成为常见利用方法的牺牲品,我们需要一种新的防御策略。政府机构、金融服务、医疗保健和保险行业将网络安全置于合规之上,从逻辑上讲,它们是采用增强型AMTD功能的主要候选者。这些垂直行业通常更喜欢最强大的安全措施,并与高级威胁行为者打交道。这些行业更喜欢强大的终端管理,并且通常存在技术债务,例如各种遗留应用程序或操作系统。这些技术遗产可以通过AMTD措施来支持遗留终端,同时摆脱技术债务。

为了实现这一目标,AMTD终端应包括以下功能:

  • 终端执行流程的实时风险和信任评估(基于可执行声誉的评估)

  • 运行时内存、应用程序代码和内存堆栈中应用的随机化技术的多态性可防止基于内存的攻击

  • 对所有支持的可执行库进行彻底、持续的运行时验证,以处理恶意“自带二进制”漏洞并利用回归

  • 主动和动态的欺骗技术来挫败和破坏攻击者

终端运行时 AMTD 的示例提供程序

ARMS网络防御

AMTD 终端操作系统强化示例提供程序

RunSafe Security,Scrambleup.co

对产品领导者的近期影响

  • 通过使用AMTD支持的主动预防来建立竞争优势,该预防重点关注买家解决现有检测和响应以及面向数据分析的终端防御策略的局限性的需求。

  • 检测和响应策略的有效性日益减弱。随着买家认识到威胁行为者继续绕过现有的主流 EPP 技术,他们将寻求更主动的预防结果。

  • 美国证券交易委员会 (SEC) 和联邦贸易委员会最近采取的执法行动将推动加强安全、合规和防御策略、提高企业透明度的需求。

未来 6 至 18 个月的建议行动

  • 产品领导者应该认识到通过将AMTD与现有技术堆栈相结合以实现全面保护来提高深度防御的好处。

  • 当产品领导者无法构建自己的AMTD功能时,应寻求AMTD技术合作伙伴。专注于整合更多AMTD功能,以增强预防与检测为重点的技术。

  • 终端部署类型(例如设备、信息亭、物联网和 OT 环境)的产品领导者应为其终端操作系统实施 AMTD 策略,以增强对高级攻击的防御,进一步强化其整体产品。

关键洞察:与AMTD一起进行主动深度防御,增强机密计算和隔离策略

寻求将安全性提升到检测和响应之外的组织目前严重依赖人类判断和威胁情报,即先前的攻击知识。这些组织应考虑采用机密计算技术与AMTD相结合,以避免终端攻击。

与 AMTD 结合使用时,机密计算可以通过对软件和数据进行加密来保护敏感数据,即使在处理数据时也是如此。此策略降低了数据暴露的风险,尤其是在高度监管的环境中。虽然机密计算可以作为云中的服务应用,但它在终端方面产生了显着的好处,在构建现代数字化转型业务时应考虑这一点。

在机密计算环境中,数据在运行时被加密,这使得机密计算层能够阻止恶意进程篡改原始软件。然而,在机密计算飞地中执行的代码在执行过程中仍然容易受到攻击和利用。AMTD与机密计算和隔离策略相结合,为终端提供了更全面、更主动的安全方法。当这些技术结合起来时,可以显着增强对运行时环境的保护,使其免受恶意代码执行的影响(参见图 2)。

图 2:应用 AMTD 的机密隔离容器

当AMTD应用于飞地中的软件时,它为用户提供了主动预防,增强了机密计算堆栈的防御性和面向预防的性质。机密计算中的新兴功能,其中机密功能可以由开发人员以代码形式调用,使开发人员更容易实施,组织也更容易将AMTD 自动化,与其他预防技术相结合,作为深度层的主动防御。

机密计算技术的示例提供商:

亚马逊网络服务 (AWS)、AMD、苹果、CYSEC、谷歌、英特尔、微软、NVIDIA、VectorZero Technologies、VMware

以代码形式提供的机密计算示例提供商:

Anjuna Security, Edgeless Systems

对产品领导者的近期影响

  • 机密计算硬件采用率的提高使买家能够更好地利用终端系统上机密计算飞地的增强功能。

  • AMTD的软件交付与机密计算现已推出,这意味着产品领导者可以访问先进的主动防御堆栈以进行未来的设计。

  • 产品团队通过 AMTD 和机密计算构建更主动的防御计算堆栈的机会越来越多,同时符合信任根验证和飞地功能的硬件采用要求。

未来 6 至 18 个月的建议行动

  • 产品领导者,特别是那些专注于AMTD支持的终端防御策略的产品领导者,应该通过选择提供或支持轻松采用机密计算的提供商来增强其防御策略。

  • 产品领导者应与其产品团队集思广益,设计出同时利用机密计算和 AMTD 或提高其采用便利性的方法,作为 DevOps 持续集成/持续部署管道中的标准实践和部署功能。

关键洞察:AMTD 应用于 DevSecOps 改进了终端应用程序漏洞利用防御

攻击者经常使用逆向工程,这意味着他们分析应用程序的执行及其各个部分和关系,以发现软件的工作原理以及可利用的位置。因此,在他们的逆向过程中应用 AMTD 可以立即使他们执行攻击变得更加困难。一些新兴的安全提供商正在将 AMTD 应用到代码中,该代码通过应用攻击者经常用来隐藏攻击和击败防御者的相同原则混淆来转换软件。

攻击者还经常使用多态性来混淆他们的活动、恶意代码或检测技术的漏洞。例如,恶意软件不断发生多态性,因此在到达受害者终端之前很难或不可能检测到其包装或后期阶段。值得注意的是,这些 AMTD 技术不必仅限于攻击者。

防御者可以利用 AMTD 在编译前、加载时甚至在运行时环境中执行期间保护其代码。通过将 AMTD 引入代码中,开发人员可以在代码中实施防御性、开箱即用的主动预防。编译后的字节码或在运行时执行的应用程序代码本质上可以应用 AMTD 来变得完全独特。

将 AMTD 技术引入内存函数、输入参数、变量和其他可执行运行时元素,使得攻击者很难自动找到可利用的参数。以这种方式应用 AMTD 可以有效地消除代码的攻击面并破坏大多数自动化技术,从而阻止攻击者的利用,尤其是破坏先验知识攻击或 Web 攻击。

AMTD 如何应用于代码的示例:

  • 加载时函数随机化——智能随机函数名称

  • 攻击者常用的块级二进制随机化

  • 堆栈帧随机化

  • 变量名称随机化

  • 应用程序中的欺骗、佯攻或破坏性的遗留行为

对产品领导者的近期影响

  • 持续集成/持续交付流程中的自动化需要进行更新,以将AMTD正确包含并部署到 DevSecOps 流程和云原生应用程序保护平台 (CNAPP) 工具中。

  • 将AMTD应用于代码后,如果没有手动代码审查,开发人员将无法进行高级的非生产调试。这将需要在实时生产环境中使用更先进的运行时监控和应用程序跟踪工具。

  • 软件开发人员最初可能会对将 AMTD 概念引入其代码中做出负面反应,需要加强教育、AMTD 实施知识并计划让开发团队感到舒适。

未来 6 至 18 个月的建议行动

  • 产品领导者应立即开始向其开发团队和工程人员传播AMTD代码概念,以减少开发人员在实施AMTD方法之前的潜在焦虑。

  • 在应用 AMTD 之前,产品领导者必须与其执行团队合作,为增强的代码运行时可观察性和应用程序跟踪做好预算,以满足开发人员的实时调试需求。

技术背景

用于终端和终端软件的 AMTD 是一组技术,使攻击者更难对终端操作系统和软件技术进行逆向工程和利用。AMTD 的工作原理是在其所使用的应用程序和操作系统的攻击面中引入不可预测且频繁的变化。

AMTD的优势

  • 增强针对零日漏洞和利用的防护

  • 减少对服务器级别的检测和响应工具、流程和运营的依赖

  • 改进深度防御,补充现有工具和防御机制

AMTD的潜在缺点

  • 性能影响:AMTD 的应用可能需要更多的 CPU 使用,产生额外的内存流量,或者在运行时实现时可能会增加延迟。

  • 应用程序和操作系统兼容性:如果没有正确规划和设计,添加随机化或更改(取决于其实施方式)可能会破坏应用程序或操作系统。

  • 需要同步状态并保持 AMTD 功能之间的变化感知:状态同步通过实时传达变化来帮助管理随机化。这可能会增加额外的处理开销,或者对网络流量或 AMTD 堆栈架构产生影响。

  • 代理要求:可能需要代理技术来对 AMTD 进行远程配置管理或修改 AMTD 特性和功能。

  • 与实施相关的支持和服务问题:支持和服务人员可能需要了解随机化的引入或环境中动态引入的变化,以避免破坏故障排除效率。

影响

应用 AMTD 的影响可以通过在受 AMTD 保护的堆栈上执行实时、预先测试的 APT 漏洞攻击来证明。通常,威胁行为者会尝试执行脚本化内存扫描,并在未正确清理的缓冲区中溢出输入参数(缓冲区溢出),以注入受污染的有效负载。

但是应用 AMTD 后,其利用的侦察到的可执行内存目标将不再可用。由于引入了混淆,威胁行为者将无法在内存中找到要攻击的注入位置。同时,攻击者将更容易被检测到,因为他们需要对实时环境中运行的可执行文件采用各种技术来执行攻击。因此,AMTD 和 enclaving 的结合形成了一个良好混淆和隔离的容器应用程序。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/375262.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Retinexformer论文精读笔记

Retinexformer论文精读笔记 论文为2023年ICCV的Retinexformer: One-stage Retinex-based Transformer for Low-light Image Enhancement。论文链接:browse.arxiv.org/pdf/2303.06705.pdf,代码链接:caiyuanhao1998/Retinexformer: “Retinexfo…

初次认识和学习SEO

初探 SEO 初探 SEO SEO 的基本概念 搜索引擎优化(英语:search engine optimization,缩写为 SEO),是一种透过了解搜索引擎的运作规则来调整网站,以及提高目的网站在有关搜索引擎内排名的方式 一般的可以理…

k8s 网络策略揭秘:CKA认证必备的网络知识全解析

网络策略(NetworkPolicy)是Kubernetes中的一种资源对象,用于定义和控制Pod之间的网络通信规则。它允许您在Kubernetes集群中定义详细的网络规则,以控制哪些Pod可以相互通信,以及允许或禁止的流量。网络策略提供了一种实…

【MATLAB源码-第137期】基于matlab的NOMA系统和OFDMA系统对比仿真。

操作环境: MATLAB 2022a 1、算法描述 NOMA(非正交多址)和OFDMA(正交频分多址)是两种流行的无线通信技术,广泛应用于现代移动通信系统中,如4G、5G和未来的6G网络。它们的设计目标是提高频谱效…

泛型、Trait 和生命周期(上)

目录 1、提取函数来减少重复 2、在函数定义中使用泛型 3、结构体定义中的泛型 4、枚举定义中的泛型 5、方法定义中的泛型 6、泛型代码的性能 每一门编程语言都有高效处理重复概念的工具。在 Rust 中其工具之一就是 泛型(generics)。泛型是具体类型…

Verilog刷题笔记18

题目:An if statement usually creates a 2-to-1 multiplexer, selecting one input if the condition is true, and the other input if the condition is false. 解题: module top_module(input a,input b,input sel_b1,input sel_b2,output wire ou…

【excel密码】Excel加密的三种方式

Excel中保存着重要的数据,想要保护数据源,我们会想到给Excel文件进行加密,方法有很多,今天分享三种Excel加密方法给大家。 打开密码 设置了打开密码的excel文件,打开文件就会提示输入密码才能打开excel文件&#xff…

数据库中间件介绍

数据库中间件是连接数据库和应用程序之间的软件层,用于简化数据库管理、提高性能和可伸缩性,同时提供额外的功能和服务。在分布式系统和大规模应用中,数据库中间件发挥着重要的作用。 什么是数据库中间件? 数据库中间件是一种介…

Unity类银河恶魔城学习记录2-1.2.3.4.5 背景和摄像机相关设置 P42-p45

Alex教程每一P的教程原代码加上我自己的理解初步理解写的注释,可供学习Alex教程的人参考 此代码仅为较上一P有所改变的代码 【Unity教程】从0编程制作类银河恶魔城游戏_哔哩哔哩_bilibili ParallaxBackground.cs using System.Collections; using System.Collect…

maven依赖报错处理(或者maven怎么刷新都下载不了依赖)

maven依赖报错,或者不报错,但是怎么刷新maven都没反应,可以试一下以下操作 当下载jar的时候,如果断网,或者连接超时的时候,会自动在文件夹中创建一个名为*lastupdate的文件,当有了这个文件之后…

李沐《动手学深度学习》注意力机制

系列文章 李沐《动手学深度学习》预备知识 张量操作及数据处理 李沐《动手学深度学习》预备知识 线性代数及微积分 李沐《动手学深度学习》线性神经网络 线性回归 李沐《动手学深度学习》线性神经网络 softmax回归 李沐《动手学深度学习》多层感知机 模型概念和代码实现 李沐《…

Redis学习及总结

Redis 快速入门 Redis属于非关系型数据库 SQL应用场景 数据结构固定相关业务对数据安全性一致性要求高 NoSQL应用场景 数据结构不固定对一致性,安全性要求不高性能要求高 🎯需要使用Xftp 传输压缩包到虚拟机上 安装好Redis后, 执行命令…

VMware虚拟机清理瘦身

用了一段时间VMware虚拟机之后,发现内存越来越小,也没装什么软件。。。 1.查询磁盘空间分布 虚拟机中磁盘空间查询 先看一下哪些地方占用的空间大,进行排查。 2.排查VMware复制文件产生的缓存路径 VMware复制文件有一个特点,以…

护眼灯的色温标准是什么?护眼灯参数标准介绍

选择合适的护眼台灯不仅能提升家居的品质,还能为我们的生活增添一份温馨与舒适。不过有些色温调节不当不仅不能达到很好的学习效率,还容易打瞌睡,甚至伤眼睛的情况也有可能出现,那么什么色温有什么标准呢? 一、合适的…

推动海外云手机发展的几个因素

随着科技的不断发展,海外云手机作为一种新兴技术,在未来呈现出令人瞩目的发展趋势。本文将在用户需求、技术创新和全球市场前景等方面,探讨海外云手机在未来的发展。 1. 用户需求的引领: 随着人们对移动性和便捷性的需求不断增长&…

备战蓝桥杯---搜索(进阶2)

话不多说&#xff0c;直接看题&#xff1a; 相当于找一个点使它到3个国家的距离和min,显然&#xff0c;我们不可以枚举点&#xff0c;但是&#xff0c;我们可以对这3个国家分别bfs&#xff0c;然后枚举相加即可。 下面是AC代码&#xff1a; #include<bits/stdc.h> usin…

《【python】staticmethod与classmethod深度机制解析——要知其所以然》学习笔记

《【python】staticmethod与classmethod深度机制解析——要知其所以然》 1 Python中classmethod的实现机制 1.1 type_getattro(PyObject *type, PyObject *name)解析

Verilog刷题笔记19

题目&#xff1a; A common source of errors: How to avoid making latches When designing circuits, you must think first in terms of circuits: I want this logic gate I want a combinational blob of logic that has these inputs and produces these outputs I want…

KtConnect 本地连接连接K8S工具

KT Connect简介 Kt Connect &#xff08;Kubernetes Developer Tool&#xff09;是一个阿里开源、轻量级的面向 Kubernetes 用户的开发测试环境治理辅助工具。其核心是通过建立本地到集群以及集群到本地的双向通道。 1.阿里开源&#xff0c;轻量级, 2. 安装快捷简单&#xf…

年假作业day2

1.打印字母图形 #include<stdio.h> #include<string.h> int main(int argc, const char *argv[]) { int i,j; char k; for(i1;i<7;i) { for(j1;j<i;j) { printf("%c",_); } for(j0,…