改变终端安全的革命性新兴技术:自动移动目标防御技术AMTD

news2024/11/18 12:21:38

自动移动目标防御技术通过启用终端配置的自适应防御来改变终端检测和响应能力。产品领导者可以实施AMTD来确保实时威胁响应,并减少检测和响应安全威胁所需的时间。

主要发现

  • 通过动态修改系统配置、软件堆栈或网络特征,自动移动目标防御(AMTD)使攻击者更难识别和利用漏洞。

  • 保护性防御的需求将由政府、金融服务、医疗保健和保险等垂直行业主导,以解决基于终端数据分析的检测和响应策略的局限性。

  • 在终端上使用AMTD技术和策略可以破坏威胁行为者在几乎所有攻击方式中使用的逆向工程工作。

建议

作为希望在终端防御中利用新兴AMTD技术的产品领导者,您必须:

  • 专注于获取或构建支持 ATMD 的终端防御策略,以增强终端预防技术,超越检测和响应,转向主动、自适应防御。

  • 针对联邦和州政府机构、金融服务、医疗保健和保险等垂直行业,这些行业对于AMTD的主动、适应性防御功能来说已经成熟,因为它们优先考虑预防而不是合规。

  • 清楚地传达AMTD支持的解决方案如何解决最终客户对其试图阻止的逆向工程高级持续威胁 (APT) 攻击的担忧。

分析

技术说明

自动移动目标防御(AMTD)是一项新兴技术,专注于不断改变系统或网络的攻击面。AMTD通过动态修改系统配置、软件堆栈或网络特征,使攻击者更难识别和利用漏洞。这种主动方法有助于改善网络防御并降低成功攻击的风险。AMTD通过机密计算能力增强,正在改变我们保护终端系统的方式。

在终端(工作站、服务器和工作负载)方面,AMTD提供了终端保护平台(EPP)、统一终端管理(UEM)和操作系统的安全提供商必须考虑的关键增强功能。AMTD终端解决方案供应商可以利用AMTD技术及其概念,通过重新调整主动防御策略的优先顺序来增强网络安全,而不是严重依赖安全运营中心(SOC)内的手动人工检测和响应。

产品领导者必须认识到,对于使用 AMTD 阻止的每一次攻击,对安全运营和 IR 人员时间、数据处理、分析、潜在响应、误报量和取证成本的下游影响都可以显著降低(见图 1)。

图 1:关键见解:AMTD 变革终端保护

AMTD 的终端防御可包括:

  • 通过变形或增强随机化增强记忆防御

  • 利用AMTD主动防御增强机密计算飞地

  • 增强运行时软件强化(代码或输入的多态性)

  • 通过已知的、良好的文件存储进行自动终端自我修复

  • 将 AMTD 应用于文件存储或存储访问通道(命令和存储多态)

关键洞察:AMTD 支持的运行时增强终端防御

攻击者继续关注基于身份的攻击(通常通过利用漏洞来收集)、恶意可执行文件以及终端上管理员使用的远程 (LOTL) 软件。攻击者依靠混淆和规避技术的组合作为防御规避的常见方法。终端攻击通常使用某种类型的远程利用,包括将受污染的有效负载注入可执行内存、将命令传递到命令行或从受信任的第三方检索恶意内容。攻击者,尤其是国家级黑客组织,总是希望实现他们的代码注入目标。

在远程代码执行 ( RCE ) 攻击中,主要目标是执行代码(最好具有升级的权限),然后调用其他攻击阶段。攻击者使用 RCE 是因为执行任意代码的灵活性和可预测性,使他们能够利用自动化来快速扩展。这些类型的恶意软件特别灵活,因为攻击者可以执行任意数量的附加攻击杀伤链阶段。

RCE 被国家级黑客组织和 APT 行为者普遍使用,但由于在生成人工智能 (GenAI) 大语言模型 (LLM) 和恶意暗网服务中利用代码生成方面取得的成就, RCE 越来越容易实现。EPP 提供商拥有一个重要的新机会,可以通过利用终端上的运行时 AMTD 来成功抵御 RCE 攻击,从而增强预防能力。通过将AMTD纳入其产品中,提供商可以提高潜在的竞争优势,通过采取主动预防策略为其产品路线图注入新的活力。其结果是在检测和响应安全操作过载的背景下改善了防御结果。

虽然 RCE 攻击可以针对各种系统和应用程序,但一些常见目标是:

  • 网络服务器和应用程序

  • 内容管理系统(CMS)

  • 电子邮件服务器和客户端

  • 操作系统和软件

  • 路由器、交换机等网络设备

  • 数据库

显然,随着组织继续成为常见利用方法的牺牲品,我们需要一种新的防御策略。政府机构、金融服务、医疗保健和保险行业将网络安全置于合规之上,从逻辑上讲,它们是采用增强型AMTD功能的主要候选者。这些垂直行业通常更喜欢最强大的安全措施,并与高级威胁行为者打交道。这些行业更喜欢强大的终端管理,并且通常存在技术债务,例如各种遗留应用程序或操作系统。这些技术遗产可以通过AMTD措施来支持遗留终端,同时摆脱技术债务。

为了实现这一目标,AMTD终端应包括以下功能:

  • 终端执行流程的实时风险和信任评估(基于可执行声誉的评估)

  • 运行时内存、应用程序代码和内存堆栈中应用的随机化技术的多态性可防止基于内存的攻击

  • 对所有支持的可执行库进行彻底、持续的运行时验证,以处理恶意“自带二进制”漏洞并利用回归

  • 主动和动态的欺骗技术来挫败和破坏攻击者

终端运行时 AMTD 的示例提供程序

ARMS网络防御

AMTD 终端操作系统强化示例提供程序

RunSafe Security,Scrambleup.co

对产品领导者的近期影响

  • 通过使用AMTD支持的主动预防来建立竞争优势,该预防重点关注买家解决现有检测和响应以及面向数据分析的终端防御策略的局限性的需求。

  • 检测和响应策略的有效性日益减弱。随着买家认识到威胁行为者继续绕过现有的主流 EPP 技术,他们将寻求更主动的预防结果。

  • 美国证券交易委员会 (SEC) 和联邦贸易委员会最近采取的执法行动将推动加强安全、合规和防御策略、提高企业透明度的需求。

未来 6 至 18 个月的建议行动

  • 产品领导者应该认识到通过将AMTD与现有技术堆栈相结合以实现全面保护来提高深度防御的好处。

  • 当产品领导者无法构建自己的AMTD功能时,应寻求AMTD技术合作伙伴。专注于整合更多AMTD功能,以增强预防与检测为重点的技术。

  • 终端部署类型(例如设备、信息亭、物联网和 OT 环境)的产品领导者应为其终端操作系统实施 AMTD 策略,以增强对高级攻击的防御,进一步强化其整体产品。

关键洞察:与AMTD一起进行主动深度防御,增强机密计算和隔离策略

寻求将安全性提升到检测和响应之外的组织目前严重依赖人类判断和威胁情报,即先前的攻击知识。这些组织应考虑采用机密计算技术与AMTD相结合,以避免终端攻击。

与 AMTD 结合使用时,机密计算可以通过对软件和数据进行加密来保护敏感数据,即使在处理数据时也是如此。此策略降低了数据暴露的风险,尤其是在高度监管的环境中。虽然机密计算可以作为云中的服务应用,但它在终端方面产生了显着的好处,在构建现代数字化转型业务时应考虑这一点。

在机密计算环境中,数据在运行时被加密,这使得机密计算层能够阻止恶意进程篡改原始软件。然而,在机密计算飞地中执行的代码在执行过程中仍然容易受到攻击和利用。AMTD与机密计算和隔离策略相结合,为终端提供了更全面、更主动的安全方法。当这些技术结合起来时,可以显着增强对运行时环境的保护,使其免受恶意代码执行的影响(参见图 2)。

图 2:应用 AMTD 的机密隔离容器

当AMTD应用于飞地中的软件时,它为用户提供了主动预防,增强了机密计算堆栈的防御性和面向预防的性质。机密计算中的新兴功能,其中机密功能可以由开发人员以代码形式调用,使开发人员更容易实施,组织也更容易将AMTD 自动化,与其他预防技术相结合,作为深度层的主动防御。

机密计算技术的示例提供商:

亚马逊网络服务 (AWS)、AMD、苹果、CYSEC、谷歌、英特尔、微软、NVIDIA、VectorZero Technologies、VMware

以代码形式提供的机密计算示例提供商:

Anjuna Security, Edgeless Systems

对产品领导者的近期影响

  • 机密计算硬件采用率的提高使买家能够更好地利用终端系统上机密计算飞地的增强功能。

  • AMTD的软件交付与机密计算现已推出,这意味着产品领导者可以访问先进的主动防御堆栈以进行未来的设计。

  • 产品团队通过 AMTD 和机密计算构建更主动的防御计算堆栈的机会越来越多,同时符合信任根验证和飞地功能的硬件采用要求。

未来 6 至 18 个月的建议行动

  • 产品领导者,特别是那些专注于AMTD支持的终端防御策略的产品领导者,应该通过选择提供或支持轻松采用机密计算的提供商来增强其防御策略。

  • 产品领导者应与其产品团队集思广益,设计出同时利用机密计算和 AMTD 或提高其采用便利性的方法,作为 DevOps 持续集成/持续部署管道中的标准实践和部署功能。

关键洞察:AMTD 应用于 DevSecOps 改进了终端应用程序漏洞利用防御

攻击者经常使用逆向工程,这意味着他们分析应用程序的执行及其各个部分和关系,以发现软件的工作原理以及可利用的位置。因此,在他们的逆向过程中应用 AMTD 可以立即使他们执行攻击变得更加困难。一些新兴的安全提供商正在将 AMTD 应用到代码中,该代码通过应用攻击者经常用来隐藏攻击和击败防御者的相同原则混淆来转换软件。

攻击者还经常使用多态性来混淆他们的活动、恶意代码或检测技术的漏洞。例如,恶意软件不断发生多态性,因此在到达受害者终端之前很难或不可能检测到其包装或后期阶段。值得注意的是,这些 AMTD 技术不必仅限于攻击者。

防御者可以利用 AMTD 在编译前、加载时甚至在运行时环境中执行期间保护其代码。通过将 AMTD 引入代码中,开发人员可以在代码中实施防御性、开箱即用的主动预防。编译后的字节码或在运行时执行的应用程序代码本质上可以应用 AMTD 来变得完全独特。

将 AMTD 技术引入内存函数、输入参数、变量和其他可执行运行时元素,使得攻击者很难自动找到可利用的参数。以这种方式应用 AMTD 可以有效地消除代码的攻击面并破坏大多数自动化技术,从而阻止攻击者的利用,尤其是破坏先验知识攻击或 Web 攻击。

AMTD 如何应用于代码的示例:

  • 加载时函数随机化——智能随机函数名称

  • 攻击者常用的块级二进制随机化

  • 堆栈帧随机化

  • 变量名称随机化

  • 应用程序中的欺骗、佯攻或破坏性的遗留行为

对产品领导者的近期影响

  • 持续集成/持续交付流程中的自动化需要进行更新,以将AMTD正确包含并部署到 DevSecOps 流程和云原生应用程序保护平台 (CNAPP) 工具中。

  • 将AMTD应用于代码后,如果没有手动代码审查,开发人员将无法进行高级的非生产调试。这将需要在实时生产环境中使用更先进的运行时监控和应用程序跟踪工具。

  • 软件开发人员最初可能会对将 AMTD 概念引入其代码中做出负面反应,需要加强教育、AMTD 实施知识并计划让开发团队感到舒适。

未来 6 至 18 个月的建议行动

  • 产品领导者应立即开始向其开发团队和工程人员传播AMTD代码概念,以减少开发人员在实施AMTD方法之前的潜在焦虑。

  • 在应用 AMTD 之前,产品领导者必须与其执行团队合作,为增强的代码运行时可观察性和应用程序跟踪做好预算,以满足开发人员的实时调试需求。

技术背景

用于终端和终端软件的 AMTD 是一组技术,使攻击者更难对终端操作系统和软件技术进行逆向工程和利用。AMTD 的工作原理是在其所使用的应用程序和操作系统的攻击面中引入不可预测且频繁的变化。

AMTD的优势

  • 增强针对零日漏洞和利用的防护

  • 减少对服务器级别的检测和响应工具、流程和运营的依赖

  • 改进深度防御,补充现有工具和防御机制

AMTD的潜在缺点

  • 性能影响:AMTD 的应用可能需要更多的 CPU 使用,产生额外的内存流量,或者在运行时实现时可能会增加延迟。

  • 应用程序和操作系统兼容性:如果没有正确规划和设计,添加随机化或更改(取决于其实施方式)可能会破坏应用程序或操作系统。

  • 需要同步状态并保持 AMTD 功能之间的变化感知:状态同步通过实时传达变化来帮助管理随机化。这可能会增加额外的处理开销,或者对网络流量或 AMTD 堆栈架构产生影响。

  • 代理要求:可能需要代理技术来对 AMTD 进行远程配置管理或修改 AMTD 特性和功能。

  • 与实施相关的支持和服务问题:支持和服务人员可能需要了解随机化的引入或环境中动态引入的变化,以避免破坏故障排除效率。

影响

应用 AMTD 的影响可以通过在受 AMTD 保护的堆栈上执行实时、预先测试的 APT 漏洞攻击来证明。通常,威胁行为者会尝试执行脚本化内存扫描,并在未正确清理的缓冲区中溢出输入参数(缓冲区溢出),以注入受污染的有效负载。

但是应用 AMTD 后,其利用的侦察到的可执行内存目标将不再可用。由于引入了混淆,威胁行为者将无法在内存中找到要攻击的注入位置。同时,攻击者将更容易被检测到,因为他们需要对实时环境中运行的可执行文件采用各种技术来执行攻击。因此,AMTD 和 enclaving 的结合形成了一个良好混淆和隔离的容器应用程序。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1443215.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[word] word斜线表头怎么做? #微信#媒体#职场发展

word斜线表头怎么做? 在制作Word表格的时候,经常会用到两栏三栏的表头,这样两栏、三栏的斜线表头你都是怎么样制作的呢?今天给大家分享在Word中制作两栏、三栏斜线表头的多种制作方法。 1、边框法 选中第一个单元格&#xff0c…

基于JSP的网上购书系统

点击以下链接获取源码: https://download.csdn.net/download/qq_64505944/88825694?spm1001.2014.3001.5503 Java项目-15 源码论文数据库配置文件 基于JSP的网上购书系统 摘要 在当今的社会中, 随着社会经济的快速发展以及计算机网络技术和通讯技术…

第8章 多线程

8.1 线程概述 人们在日常生活中,很多事情都是可以同时进行的。例如,一个人可以一边听音乐,一边打扫房间,可以一边吃饭,一边看电视。在使用计算机时,很多任务也是可以同时进行的。例如,可以一边…

LabVIEW伺服阀性能参数测试

LabVIEW伺服阀性能参数测试 伺服阀作为电液伺服系统中的核心元件,其性能参数的准确测试对保证系统整体性能至关重要。开发了一种基于LabVIEW软件开发的伺服阀性能参数测试系统,提高测试的自动化程度和精确性,同时降低操作复杂度和成本。 传…

分享86个表单按钮JS特效,总有一款适合您

分享86个表单按钮JS特效,总有一款适合您 86个表单按钮JS特效下载链接:https://pan.baidu.com/s/1WwQGFPWv8464JBcuEMJZ_Q?pwd8888 提取码:8888 Python采集代码下载链接:采集代码.zip - 蓝奏云 学习知识费力气,…

人工智能算法:理解其工作原理及其在现实世界中的应用

随着科技的飞速发展,人工智能(AI)已逐渐成为我们生活中不可或缺的一部分。从智能语音助手到自动驾驶汽车,再到医疗诊断系统,人工智能算法正以前所未有的速度改变着我们的世界。本文将带您深入探讨人工智能算法的工作原…

模运算的变换公式

这个构造很重要,变形都是基于这个实现的 分配律 (1) 因此 (a*b) % p ((a%p) * (b%p)) % p (q*r) % p (2) (ab)%p(a%pb%p)%p (3) ((ab)%pc)%p ( (ac)%p (b*c)%p )%p

HTTPS证书终于挥下了无情的镰刀-HTTPS证书自动续签方案

现在网站基本都上了 HTTPS 证书 阿里云 SSL 产品日前发布公告,公告显示自 2023 年 11 月 14 日开始生效厂商策略,对于免费提供的 SSL 证书签发后证书有效期统一为 3 个月,不再免费提供 1 年版免费证书。想要 1 年的需要购买 68 块一年。终于…

开源大数据集群部署(十)Ranger usersync部署

作者:櫰木 ranger usersync部署 解压包 [roothd1.dtstack.com ranger]# pwd /opt/ranger [roothd1.dtstack.com ranger]# tar -zxvf ranger-2.3.0-usersync.tar.gz -C /opt/ [roothd1.dtstack.com ranger]# cd ranger-2.3.0-usersync修改配置install.properties…

初识String类和String类的拓展

前言:以下是Java中String类的知识点与一些常见问题和注意事项,如有讲解不妥,请见谅! 目录 1.String类的创建及常见API (1)String类的四种创建方式: 补充:字符串转化成字符数组 / …

使用cocos2d-console初始化一个项目

先下载好cocos2d-x的源码包 地址 https://www.cocos.com/cocos2dx-download 这里使用的版本是 自己的电脑要先装好python27 用python安装cocos2d-console 看到项目中有个setup.py的一个文件 python setup.py 用上面的命令执行一下。 如果执行正常的话回出现上面的图 然后…

使用python-numpy实现一个简单神经网络

目录 前言 导入numpy并初始化数据和激活函数 初始化学习率和模型参数 迭代更新模型参数(权重) 小彩蛋 前言 这篇文章,小编带大家使用python-numpy实现一个简单的三层神经网络,不使用pytorch等深度学习框架,来理解…

【射影几何15】python双曲几何工具geometry_tools

目录 一、说明二、​环境问题:如何安装三、实现一个简单的例子四、绘制双曲组五、使用有限状态自动机加快速度六、资源和代码 一、说明 Geometry_tools 是一个 Python 包,旨在帮助您处理和可视化双曲空间和射影空间上的群动作。 该包主要构建在 numpy、…

【大厂AI课学习笔记】【1.5 AI技术领域】(10)对话系统

对话系统,Dialogue System,也称为会话代理。是一种模拟人类与人交谈的计算机系统,旨在可以与人类形成连贯通顺的对话,通信方式主要有语音/文本/图片,当然也可以手势/触觉等其他方式 一般我们将对话系统,分…

股价分布统计 100元能买股票吗?

A股的股价一般是多少?100元能买股票吗?能买多少? 一、买入交易规则: 沪深主板(包括中小板),股票代码以600,000,002开头,每次最低买100股,随后以100股为单位增加,也就是可以买100股&…

免费软件推荐-开源免费批量离线图文识别(OCR)

近期要批量处理图片转电子化,为了解决这个世纪难题,试了很多软件(华为手机自带OCR识别、 PandaOCR、天若OCR、Free OCR)等软件,还是选择了这一款,方便简单 一、什么是OCR? 光学字符识别(Opt…

《 Arm Compiler 5.06 》__ARM编译器官网下载、安装和使用说明(小白也能懂)

目录 一、前言 二、官方网站下载 三、我的资源 四、编译器安装在 Keil 软件上 五、Keil选择编译器V5 “ V5.06 update 7(build 960) ” 六、测试 (* ̄︶ ̄)创作不易!期待你们的 点赞、收藏和评论喔。 一、前言 【Keil MDK-Arm5.37】不再…

【大模型上下文长度扩展】LongQLoRA:单GPU(V100)环境下的语言模型优化方案

LongQLoRA 核心问题子问题1: 预定义的上下文长度限制子问题2: 训练资源的需求高子问题3: 保持模型性能分析不足 LongQLoRA方法拆解子问题1: 上下文长度限制子问题2: 高GPU内存需求子问题3: 精确量化导致的性能损失分析不足效果 总结 论文:https://arxiv.org/pdf/231…

波奇学Linux: 文件描述符

文件和操作系统的关系 操作系统控制进程,文件的打开是在进程中进行。意味着用来控制进程的PCB必然有文件的信息,操作系统通过控制PCB的信息来控制文件的读写。 Q1:如何证明文件打开是在进程中进行? 编写c文件调用fopen来操作文件…

拟合案例1:matlab积分函数拟合详细步骤及源码

本文介绍一下基于matlab实现积分函数拟合的过程。采用的工具是lsqcurvefit和nlinfit两个函数工具。关于包含积分运算的函数,这里可以分为两大类啊。我们用具体的案例来展示:一种是积分运算中不包含这个自变量,如下图的第一个公式,也就是说它这个积分运算只有R和Q这两个待定…