文章速覽:
Windows 10安全工具陣列仍然存在明顯的防御漏洞,Morphisec通過其革命性的自動(dòng)移動(dòng)目標(biāo)防御(Automated Moving Target Defense)技術(shù),強(qiáng)化Windows 10安全,提供獨(dú)特的防御策略,并簡化安全運(yùn)維。
一、Morphisec彌補(bǔ)Window10安全防護(hù)的不足
Morphisec加強(qiáng)和提高了微軟Windows 10的安全功能,使企業(yè)能夠充分利用其Win10部署。它和Windows Defender Antivirus共同構(gòu)成了一個(gè)極其強(qiáng)大、具有成本效益的威脅預(yù)防堆棧,簡化了安全操作。對于尋求額外EDR保護(hù)的企業(yè),Morphisec和Microsoft Defender for Endpoint的整合帶來了進(jìn)一步的價(jià)值,將端點(diǎn)保護(hù)、可視性和光學(xué)性提升到一個(gè)新的水平,同時(shí)降低了風(fēng)險(xiǎn)和安全運(yùn)營成本。
Windows10 安全防護(hù)
Morphisec安全防護(hù)
二、用Morphisec和Windows Defender AV取代傳統(tǒng)的防病毒軟件
強(qiáng)大的嵌入式Windows 10安全工具陣列——設(shè)備衛(wèi)士、應(yīng)用程序衛(wèi)士、BitLocker和其他控件,加上Windows Defender Antivirus——基本上已經(jīng)超越了傳統(tǒng)的防病毒工具。然而,即使利用Win10的全套安全功能,也存在明顯的防御漏洞。
Morphisec的Defender AV集成改變了這一狀況,它通過移動(dòng)目標(biāo)防御高級(jí)威脅預(yù)防加強(qiáng)了Defender,并為Defender生成的警報(bào)帶來了企業(yè)范圍的可見性。Morphisec增加了一個(gè)重要的保護(hù)層,以防止可以繞過防病毒解決方案的漏洞、無文件攻擊、未知威脅、零日和逃避性惡意軟件。Morphisec管理控制臺(tái)顯示由Defender AV檢測到的攻擊和Morphisec威脅數(shù)據(jù)。
1、不受干擾
Windows Defender已經(jīng)嵌入并默認(rèn)在Windows 10操作系統(tǒng)中打開。Morphisec使用一個(gè)極小的2MB代理,在幾分鐘內(nèi)部署完畢,不會(huì)影響端點(diǎn)性能,破壞用戶操作,或?qū)е翨SOD或系統(tǒng)沖突。
2、獲得對所有威脅的可見性
Morphisec將Defender AV威脅整合到Morphisec管理儀表板中,以獲得所有警報(bào)的可見性。安全團(tuán)隊(duì)可以將這些事件與Morphisec預(yù)防的威脅聯(lián)系起來,以了解這些事件對企業(yè)的影響,并做出任何必要的政策或補(bǔ)救決定。
3、幾乎為零的安全性和IT時(shí)間
Morphisec不需要更新,不產(chǎn)生任何錯(cuò)誤警報(bào),無論在線還是離線,都能提供同樣水平的保護(hù)。Morphisec在攻擊的最初階段就能確定地阻止攻擊,大大降低了企業(yè)的修復(fù)和取證分析要求和成本。
4、不增加成本
企業(yè)可以取消他們的傳統(tǒng)防病毒軟件,啟用免費(fèi)的嵌入式Defender防病毒軟件,并添加Morphisec,以獲得更安全的防御,而不增加安全支出。事實(shí)上,由于不需要用Defender管理單獨(dú)的更新——新版本通過Windows Update推送——而Morphisec根本不需要更新,總擁有成本實(shí)際上會(huì)下降。
三、為終端部署提升你的防衛(wèi)者級(jí)別
軟生態(tài)系統(tǒng)中,提供了一個(gè)無與倫比的組合,將高度先進(jìn)的預(yù)防、檢測和行為監(jiān)控嵌入到操作系統(tǒng)的結(jié)構(gòu)中。通過Morphisec和Defender for Endpoint的整合,客戶可以進(jìn)一步將安全整合到微軟生態(tài)系統(tǒng)中,以前所未有的靈活性和功能保護(hù)企業(yè)系統(tǒng)。Morphisec是微軟MISA認(rèn)證的合作伙伴。
1、集成如何運(yùn)作
Morphisec以移動(dòng)目標(biāo)防御為動(dòng)力的威脅預(yù)防和它所捕獲的豐富的取證數(shù)據(jù)擴(kuò)展了端點(diǎn)衛(wèi)士的功能,減少了修復(fù)和分析成本,提高了安全運(yùn)營效率。Morphisec收集的攻擊信息被無縫集成到微軟Defender安全中心。
2、獲得更深的可見性
高保真、可操作的威脅情報(bào),包括有關(guān)攻擊的內(nèi)部存儲(chǔ)器信息,直接在Defender安全中心控制臺(tái)中可視化。
3、查看完整的攻擊時(shí)間線
從最早的攻擊前階段開始的完整攻擊時(shí)間線被整合到防御者安全中心的警報(bào)流程樹中。
4、確定警報(bào)的優(yōu)先次序
Defender安全中心使用Morphisec取證數(shù)據(jù)對活動(dòng)警報(bào)列表中的警報(bào)進(jìn)行優(yōu)先排序,并確定機(jī)器風(fēng)險(xiǎn)得分。團(tuán)隊(duì)還可以快速轉(zhuǎn)到Morphisec統(tǒng)一安全中心,查看有關(guān)攻擊的更深入信息。
四、對Windows 7生命周期結(jié)束的補(bǔ)償控制
微軟在2020年1月結(jié)束對Windows 7的支持,但許多組織到那時(shí)還不能完全遷移到Windows
10。Morphisec提供的緩解技術(shù)有資格作為Windows 7部署的補(bǔ)償性控制,因此IT團(tuán)隊(duì)可以根據(jù)自己的時(shí)間表進(jìn)行更新。在遷移過程中,它通過動(dòng)態(tài)的高級(jí)威脅防御層來保護(hù)您的Win7終端、服務(wù)器和嵌入式操作系統(tǒng),防止利用未打補(bǔ)丁的應(yīng)用程序和操作系統(tǒng)漏洞。
無文件攻擊(fileless attack)不是什么新穎的威脅,但卻是足夠有效的。這點(diǎn)從著名UTM和防火墻廠商WatchGuard的Threat Lab發(fā)布的2020年Q4惡意軟件和網(wǎng)絡(luò)攻擊研究成果中可見一斑。
Threat Lab觀測到的數(shù)據(jù)(主要來自其防火墻設(shè)備、蜜網(wǎng)和合作伙伴威脅情報(bào))顯示,2020年無文件惡意軟件所占比重相比2019年增長了近9倍(888%)。報(bào)告認(rèn)為,因?yàn)闊o文件惡意軟件可以繞過傳統(tǒng)的端點(diǎn)保護(hù),并且不需要目標(biāo)與攻擊者有過多交互就可以實(shí)現(xiàn)惡意代碼注入,并在受害者移除原始腳本的情況下維持惡意代碼的運(yùn)行,而受到攻擊者青睞,并在網(wǎng)絡(luò)攻擊中廣泛使用。
雖然有一定的營銷考量,CrowdStrike在2020年年末發(fā)布的無文件攻擊白皮書,《誰需要惡意軟件?對手如何使用無文件攻擊來規(guī)避你的安全措施》,同樣值得一提。
據(jù)CrowdStrike統(tǒng)計(jì),每10次成功攻擊中就有8次使用了無文件攻擊技術(shù)。從攻擊者角度,這說明了無文件攻擊的好用、有效;從安全工作角度,這說明在當(dāng)前在全球部署的安全工具和采用的技術(shù)存在短板,安全工作存在盲區(qū)。CrowdStrike同時(shí)還認(rèn)為,基于特征碼的反病毒、機(jī)器學(xué)習(xí)、白名單(濫用)、失陷指標(biāo)(IoC)、沙箱這五個(gè)安全技術(shù)會(huì)對無文件攻擊表現(xiàn)不佳。
未知攻,焉知防。所以此篇文章,我們首先要明確無文件攻擊常見的攻擊方式,再介紹對應(yīng)的防護(hù)思路,最后介紹奇安信虛擬化安全管理系統(tǒng)的防護(hù)實(shí)現(xiàn)。
內(nèi)存中的隱形攻擊
不夸張的說,無文件攻擊可以躲避當(dāng)前大多數(shù)安全工具的檢測,并給事后的取證工作帶來很大困難。運(yùn)行在內(nèi)存中的無文件攻擊,永遠(yuǎn)不會(huì)觸及硬盤,這無疑給基于惡意文件樣本分析、訓(xùn)練的安全技術(shù),帶來巨大挑戰(zhàn)。
作為低可觀察特征的攻擊,PowerShell是較常見被濫用的合法工具。由命令行 shell 和相關(guān)腳本語言組成的PowerShell,為攻擊者提供了對 Windows 中幾乎所有內(nèi)容的訪問權(quán)限。雖然攻擊無需將文件下載到本地并執(zhí)行,但攻擊者仍需訪問環(huán)境。
常見的攻擊方式包括:
在實(shí)際攻擊中,這三種主要攻擊方式往往會(huì)以“組合拳”的形式出現(xiàn)。如Poweliks就采用了注冊表、PowerShell、進(jìn)程注入等多種技術(shù)手段來保證對主機(jī)隱蔽攻擊的成功。
對于無文件惡意軟件的分類,微軟提出可以以無文件攻擊的進(jìn)入點(diǎn)和失陷主體兩個(gè)維度來進(jìn)行。按照進(jìn)入點(diǎn)的通路和形式,可以分為“無文件活動(dòng)、間接文件活動(dòng)以及需要文件來操作”三類。按照失陷主體,可以分為漏洞利用(文件、網(wǎng)絡(luò))、硬件(設(shè)備、CPU、BIOS、USB、Hypervisor)、執(zhí)行與注入(文件、宏、腳本、磁盤-boot)三類。詳情見下圖:
無文件惡意軟件分類示意圖
基于人工智能的行為分析不是銀彈
AI-based在近幾年成為安全產(chǎn)品的熱門標(biāo)簽。但面對無文件攻擊,人工智能顯得有些吃力。沒有基于文件的特征,運(yùn)行在內(nèi)容中,經(jīng)常濫用受信任進(jìn)程來掩蓋惡意行為,都是其難以做有效檢測發(fā)現(xiàn)的重要原因。這也是其帶給攻擊方的天然優(yōu)勢所在。更不要說許多號(hào)稱基于人工智能行為分析的安全產(chǎn)品,同時(shí)還需要大量專家的人工支撐。這無疑會(huì)延長攻擊發(fā)現(xiàn)和定位的時(shí)間窗。
無文件攻擊的發(fā)現(xiàn)和防護(hù)不能依賴單一手段,我們可以根據(jù)不同攻擊方式,在最佳攻擊階段匹配相應(yīng)防護(hù)策略和能力:
奇安信虛擬化安全的無文件攻擊防護(hù)實(shí)踐
奇安信虛擬化安全管理系統(tǒng)(以下簡稱:虛擬化安全)是面向云計(jì)算或虛擬化環(huán)境的一站式安全產(chǎn)品,提供Hypervisor防護(hù)、云主機(jī)系統(tǒng)加固、惡意軟件防護(hù)、應(yīng)用程序管控等功能。無文件攻擊作為當(dāng)下惡意攻擊的“網(wǎng)紅”,自然是虛擬化安全的重點(diǎn)關(guān)注對象。
針對無文件攻擊的防護(hù),虛擬化安全提供一系列有機(jī)組合的安全能力:
未來,虛擬化安全會(huì)繼續(xù)關(guān)注無文件攻擊的發(fā)展趨勢,提供更有效的防護(hù)手段。