MTD技術的定義和價值

陸英

當類似SolarWinds漏洞事件發生時，很多大型企業、組織機構也被發現存在嚴重的漏洞，反映出目前的網絡安全解決方案并不足以對抗不斷演變的高級攻擊威脅。在此背景下，行業需要像移動目標防御（MTD）這樣的創新技術來改善網絡安全。

研究機構Gartner認為，MTD已被證明可以有效阻止勒索軟件和其他高級零日攻擊，將會成為提高內存、網絡、應用程序和操作系統安全性的關鍵技術，讓主動安全防護理念成為現實。

安全防護技術的變革

網絡攻擊包括已知和未知2種形態，已知攻擊必須被阻止，因此基于簽名技術等防御措施仍然是任何組織安全戰略中不可或缺的部分。然而，隨著現在的攻擊更加靈活和新穎，這些工具已經不夠用了，企業安全建設的終極目標應該是以MTD為起點，實現零信任（ZTA）戰略架構的構建與升級。在美國國家標準與技術研究所（NIST）發布的零信任架構框架（800-207）中，明確建議企業對端點安全采用零信任方法，以確保更加可靠的網絡安全防護態勢。在ZTA框架內，所有的東西都必須經過持續不斷驗證和授權，MTD技術可以幫助企業安全團隊更容易地向ZTA架構演進。

由于時間和資源的限制，大多數企業的安全團隊短時間內還難以實施一個完整的ZTA框架，他們通常會優先在網絡的邊界處建立靜態的防御體系，這種方法不再有效。

一個熟悉的、固化的攻擊面很容易被攻擊者發現、到達并利用，這將導致重大的經濟損失。如果感覺網絡安全總是在追趕，那么網絡攻防兩端的平衡將永遠無法建立。但是，如果企業能創造一個靈活的攻擊面，就像一架能夠高速飛行的戰斗機一樣，結果將會大為改善，這就是移動目標防御背后的理念。這也是ZTA網絡安全的目標之一，它正在成為數字防御的主導范式。

MTD

Gartner對MTD進行了正式的定義：MTD通過使用系統多態性來防止未知和零日攻擊，以不可預測的方式隱藏應用程序、操作系統和其他關鍵資產目標，導致攻擊面大幅減少，安全運營成本降低。從定義可以看出，MTD是一種以預防為主的方法，它的運作原理是移動的目標比固定的目標更難擊中，因此可以通過動態或靜態排列、變形、變換或混淆應用訪問入口，來達到轉移網絡攻擊的目的。此外，MTD還可以設置陷阱，捕捉威脅者的行動，以進一步防范未來的攻擊。通過MTD技術，企業可以將漏洞和弱點隱藏起來，不影響當前的NGAV，EPP，EDR等防護產品的功能。它可以讓勒索軟件和其他高級攻擊造成損害之前就被發現并快速阻斷。

MTD可以應用在網絡、主機和應用層面，這3種類型都有價值，但應用層面是最重要的。這是因為應用程序、操作系統和端點資源是最受歡迎的攻擊入口。在應用層面上阻止攻擊意味著即使他們在之前的層面上取得成功，最終仍然會失敗，這是攻擊變成事件之前的最后一道防線。MTD不需要占用太多的設備計算資源，也不需要安全分析師的頻繁干預，甚至不會占用太多的網絡連接帶寬。

盡管MTD的概念聽起來很簡單，但它的影響卻很深遠：讓網絡安全防護真正的動起來，當防御系統保持移動狀態時，他們會比攻擊者領先一步。網絡安全的本質是攻與防的對抗，MTD的應用，將改變一直以來的攻防力量態勢，處于劣勢的將會是攻擊者，而不是防御者。

以Morphisec公司的MTD方案為例，其安全防護主要包括以下3個步驟。

變形和隱蔽

當一個應用程序加載到內存空間時，Morphisec會安全地改變進程結構，這使得內存對攻擊者來說始終是不可預測的。

保護和欺騙

合法的應用程序代碼內存會被動態更新，以幫助應用程序使用變形的資源照常加載和運行，原有的內存空間被作為一個陷阱留下。

防止和暴露攻擊

如果攻擊以原始內存結構為目標發起，將無法找到他們期望和需要的資源，攻擊會被立即阻止、抓獲，并記錄下完整的取證細節。

網絡安全的下一個時代

網絡安全的下一個時代已經到來。安全團隊應該關注對安全威脅的反應速度，而不是安全能力的堆疊。傳統的網絡安全是防御性的外圍，允許任何有授權的人進入，而在ZTA框架中，沒有任何東西具有信任狀態，包括筆記本電腦和移動設備等端點。很多跡象都表明，ZTA將更可能成為未來網絡安全建設的新標準。

在過去的一年里，攻擊者在逃避檢測和預防方面做的越來越好，攻擊可以通過多種方式隱藏惡意意圖并掩蓋自己的真實性，其使用的一些關鍵技術包括：

多態性———更改惡意軟件簽名；

變形———在執行時更改惡意軟件代碼；

混淆———混淆惡意活動；

自加密———用加密來隱藏惡意代碼和數據；

反虛擬機/沙盒———更改行為以逃避取證分析；

防調試———在取證環境中切換策略以中斷調試；

加密漏洞———更改參數和簽名以逃避調查；

行為更改———在執行之前等待使用活動。

事實證明，這些技術在規避檢測的時候非常有效，攻擊者的優勢會隨著時間的推移而擴大，任何將攻擊與敏感資產保持距離的嘗試都不可避免地會失敗。因此，安全性必須圍繞資產本身，安全團隊應該為MTD技術應用提前做好準備，它可以幫助企業更好地保護資產本身而不是攻擊入口，將防御重點放在應用程序運行時所分配的內存資源上，實現對未知威脅的主動防御。