移動目標防御——最新趨勢
原文鏈接:https://blog.cryptomove.com/moving-target-defense-recent-trends-253ce784a680
移動目標防御(“ MTD”)是當今最具影響力的安全創新機會。那它到底是什么呢?移動目標策略是安全性的全新范式。移動目標防御使攻擊面動態化,而不是通過監測,預防,監視,跟蹤或補救威脅來防御不變的基礎設施。動態的目標攻擊面會給攻擊者帶來不對稱的劣勢,這拉平了防御者和攻擊者之間的競爭環境。
ACM移動目標防御研討會
在過去的幾年中(2014年在斯科茨代爾,2015年在丹佛,2016年在維也納),多個ACM(計算機協會)研討會研究了移動目標防御。
移動目標技術包括系統隨機化,受生物啟發的MTD,動態網絡配置,基於雲的MTD和動態編譯。除此之外,還包括威脅建模和量化移動目標防御效能等方面的內容。理論模型和定量模型都對推進全新范式至關重要。
第二屆ACM研討會闡明了MTD在安全領域為什么是改變游戲規則的存在:
當前計算系統的靜態特性使它們易於攻擊且難以防御。對手具有不對稱的優勢,因為他們有時間研究系統,確定其漏洞並選擇攻擊的時間和地點以獲取最大的利益。移動目標防御(MTD)的思想是通過使系統具有動態性,從而使攻擊者更難以探索和預測,從而在攻擊者身上施加同樣的不對稱劣勢。隨着不斷變化的系統及其不斷變化的攻擊面,攻擊者將不得不像當今的防御者一樣應對大量的不確定性。MTD的最終目標是增加攻擊者的工作量,以平衡攻擊者和防御者在網絡安全領域的優劣勢——甚至希望可以將優勢向防御者傾斜。
如何闡明移動目標防御的價值?
范式轉變
移動目標防御是從根本上完全不同的安全策略。范式轉變為完全改變游戲規則提供了機會,而不是優化當前的游戲方式。
當今的安全模型優先考慮監視,檢測,預防和補救。安全團隊將靜態基礎設施視為當然,然后工作內容即是保護這些基礎設施。他們花費大量時間和資源來追蹤動態變化的對手和威脅因子。與此同時,動態的對手卻享有不變的目標攻擊面,使得他們可以在任意時間進行研究。
當今,大多數安全創新和技術都采用現有策略,所做的僅僅是試圖使這些策略的執行更加容易:更好的跟蹤、更好的檢測、更全面的預防,以及更快的修復速度。自動化和人工智能在這方面已經走了很長一段路。盡管不斷地使用新工具來抵抗攻擊,甲板上仍然堆滿了防御者。只要有足夠的時間,攻擊者就會研究固有的基礎架構並不斷地圍繞靜態防御進行攻擊計划。
但是,移動目標防御是一項根本性的戰略轉變。MTD不采取固定不變的基礎架構,不將龐大的監控設備、陷阱、防火牆和安全防護系統堆在龐大而分散的攻擊面上。取而代之的是,采用動態的移動目標策略來不斷地改變攻擊面。這會挫敗攻擊者。因為攻擊者將被迫花費大量資源進行監視,以調查不斷變化的攻擊面。隨着時間的流逝,攻擊的難度會增加而不是降低。這從根本上改變了當今攻擊者和防御者之間的不對稱性。
[注意:移動目標不是“欺騙”]
值得一提的是,移動目標防御方法通常容易與“欺騙”策略混淆。這是可以理解的,但不准確。可以說,移動目標防御與欺騙是相反的。
欺騙策略和技術是早期安全市場的熱門領域。這些策略依靠虛假數據,虛假網絡,蜜罐,蜜網和陷阱來欺騙攻擊者。欺騙的價值在於,攻擊者會追捕這些偽造的系統,然后陷入該行為。在實踐中,這有時被證明是一個挑戰。欺騙有時可能會成為誤報的受害者,並可能通過在防御者身上施加不對稱而適得其反。
但是,移動目標策略使實際的攻擊面變得動態。例如,移動目標數據保護(例如CryptoMove)不依賴偽造數據的拐杖來誘捕攻擊者。取而代之的是,它動態地在磁盤上移動實際數據,從而使其更難識別和攻擊。移動目標應用程序安全性和移動目標網絡安全性也是如此。
可擴展的安全性
與當前方法不同,移動目標防御具有高度的可擴展性。在規模上,檢測,預防和補救變得越來越困難。隨着基礎架構的擴展,對手將獲得優勢。更多的學習時間和更多的攻擊起點。安全團隊陷入困境,無法跟蹤靜態安全基礎架構。
但是,移動目標策略可大規模提高效率和功效。隨着動態基礎架構變得越來越大且越來越龐大,施加給對手的不對稱性也在增加。移動目標防御策略會隨着時間和規模增加系統熵。因此,移動目標防御享有安全網絡效應。
移動目標防御的下一步是什么?
移動目標防御是其故事的第一章,甚至可能是序言。
- 首先,MTD學習者必須定量證明移動目標防御的價值。在這里,學術界在推動這方面做得很出色。例如,得克薩斯州的最新論文證明了使用馬爾可夫模型進行目標防御的能力。
- 其次,移動目標戰略必須變得可行並在私營部門中獲得吸引力。這已經在CryptoMove中發生了,我們正在引領市場移動數據保護目標策略。例如,在2017年,CryptoMove已被公認為是最佳的新數據庫安全技術,同時也是雲安全,以數據為中心的安全,IoT以及ICS / SCADA安全的頂級方法。
像CryptoMove這樣的MTD公司在實用的安全性創新方面越來越受到認可,而不僅僅是理論研究。
Shape安全已在一段時間內證明了MTD對於應用程序安全的價值,並在《財富》 500強中得到了廣泛采用。諸如Morphisec之類的新興防病毒技術也引領了潮流,它利用MTD和地址空間布局隨機化(“ ASLR”)檢測沒有特征的病毒。
只要基礎架構保持靜態,攻擊者就會圍繞安全從業人員和我們當前的范例進行操作。攻擊者已經在使用多態惡意軟件並采用移動目標策略來使自己成為更難的目標。當前的創新(例如通過AI或機器學習更好地進行檢測和預防)無法從根本上改變游戲參數。最近的事件表明,當基礎結構是靜態時,內部和外部威脅可能要花費數月(如果不是數年)來計划和執行針對不變的基礎結構的攻擊。
移動目標防御是如此令人興奮,因為與大多數安全技術不同,MTD從根本上提出了新的戰略。將來,高層安全團隊將利用移動目標防御來重新定位攻擊者和防御者之間的競爭環境-今天已經開始發生這種情況。