改变终端安全的革命性新兴技术：自动移动目标防御技术AMTD

自动移动目标防御技术通过启用终端配置的自适应防御来改变终端检测和响应能力。产品领导者可以实施AMTD来确保实时威胁响应，并减少检测和响应安全威胁所需的时间。

主要发现

• 通过动态修改系统配置、软件堆栈或网络特征，自动移动目标防御（AMTD）使攻击者更难识别和利用漏洞。

• 保护性防御的需求将由政府、金融服务、医疗保健和保险等垂直行业主导，以解决基于终端数据分析的检测和响应策略的局限性。

• 在终端上使用AMTD技术和策略可以破坏威胁行为者在几乎所有攻击方式中使用的逆向工程工作。

建议

作为希望在终端防御中利用新兴AMTD技术的产品领导者，您必须：

• 专注于获取或构建支持 ATMD 的终端防御策略，以增强终端预防技术，超越检测和响应，转向主动、自适应防御。

• 针对联邦和州政府机构、金融服务、医疗保健和保险等垂直行业，这些行业对于AMTD的主动、适应性防御功能来说已经成熟，因为它们优先考虑预防而不是合规。

• 清楚地传达AMTD支持的解决方案如何解决最终客户对其试图阻止的逆向工程高级持续威胁 (APT) 攻击的担忧。

分析

技术说明

自动移动目标防御（AMTD）是一项新兴技术，专注于不断改变系统或网络的攻击面。AMTD通过动态修改系统配置、软件堆栈或网络特征，使攻击者更难识别和利用漏洞。这种主动方法有助于改善网络防御并降低成功攻击的风险。AMTD通过机密计算能力增强，正在改变我们保护终端系统的方式。

在终端（工作站、服务器和工作负载）方面，AMTD提供了终端保护平台（EPP）、统一终端管理（UEM）和操作系统的安全提供商必须考虑的关键增强功能。AMTD终端解决方案供应商可以利用AMTD技术及其概念，通过重新调整主动防御策略的优先顺序来增强网络安全，而不是严重依赖安全运营中心（SOC）内的手动人工检测和响应。

产品领导者必须认识到，对于使用 AMTD 阻止的每一次攻击，对安全运营和 IR 人员时间、数据处理、分析、潜在响应、误报量和取证成本的下游影响都可以显著降低（见图 1）。

图 1：关键见解：AMTD 变革终端保护

AMTD 的终端防御可包括：

• 通过变形或增强随机化增强记忆防御

• 利用AMTD主动防御增强机密计算飞地

• 增强运行时软件强化（代码或输入的多态性）

• 通过已知的、良好的文件存储进行自动终端自我修复

• 将 AMTD 应用于文件存储或存储访问通道（命令和存储多态）

关键洞察：AMTD 支持的运行时增强终端防御

攻击者继续关注基于身份的攻击（通常通过利用漏洞来收集）、恶意可执行文件以及终端上管理员使用的远程 (LOTL) 软件。攻击者依靠混淆和规避技术的组合作为防御规避的常见方法。终端攻击通常使用某种类型的远程利用，包括将受污染的有效负载注入可执行内存、将命令传递到命令行或从受信任的第三方检索恶意内容。攻击者，尤其是国家级黑客组织，总是希望实现他们的代码注入目标。

在远程代码执行 ( RCE ) 攻击中，主要目标是执行代码（最好具有升级的权限），然后调用其他攻击阶段。攻击者使用 RCE 是因为执行任意代码的灵活性和可预测性，使他们能够利用自动化来快速扩展。这些类型的恶意软件特别灵活，因为攻击者可以执行任意数量的附加攻击杀伤链阶段。

RCE 被国家级黑客组织和 APT 行为者普遍使用，但由于在生成人工智能 (GenAI) 大语言模型 (LLM) 和恶意暗网服务中利用代码生成方面取得的成就， RCE 越来越容易实现。EPP 提供商拥有一个重要的新机会，可以通过利用终端上的运行时 AMTD 来成功抵御 RCE 攻击，从而增强预防能力。通过将AMTD纳入其产品中，提供商可以提高潜在的竞争优势，通过采取主动预防策略为其产品路线图注入新的活力。其结果是在检测和响应安全操作过载的背景下改善了防御结果。

虽然 RCE 攻击可以针对各种系统和应用程序，但一些常见目标是：

• 网络服务器和应用程序

• 内容管理系统（CMS）

• 电子邮件服务器和客户端

• 操作系统和软件

• 路由器、交换机等网络设备

• 数据库

显然，随着组织继续成为常见利用方法的牺牲品，我们需要一种新的防御策略。政府机构、金融服务、医疗保健和保险行业将网络安全置于合规之上，从逻辑上讲，它们是采用增强型AMTD功能的主要候选者。这些垂直行业通常更喜欢最强大的安全措施，并与高级威胁行为者打交道。这些行业更喜欢强大的终端管理，并且通常存在技术债务，例如各种遗留应用程序或操作系统。这些技术遗产可以通过AMTD措施来支持遗留终端，同时摆脱技术债务。

为了实现这一目标，AMTD终端应包括以下功能：

• 终端执行流程的实时风险和信任评估（基于可执行声誉的评估）

• 运行时内存、应用程序代码和内存堆栈中应用的随机化技术的多态性可防止基于内存的攻击

• 对所有支持的可执行库进行彻底、持续的运行时验证，以处理恶意“自带二进制”漏洞并利用回归

• 主动和动态的欺骗技术来挫败和破坏攻击者

终端运行时 AMTD 的示例提供程序

ARMS网络防御

AMTD 终端操作系统强化示例提供程序

RunSafe Security，Scrambleup.co

对产品领导者的近期影响

• 通过使用AMTD支持的主动预防来建立竞争优势，该预防重点关注买家解决现有检测和响应以及面向数据分析的终端防御策略的局限性的需求。

• 检测和响应策略的有效性日益减弱。随着买家认识到威胁行为者继续绕过现有的主流 EPP 技术，他们将寻求更主动的预防结果。

• 美国证券交易委员会 (SEC) 和联邦贸易委员会最近采取的执法行动将推动加强安全、合规和防御策略、提高企业透明度的需求。

未来 6 至 18 个月的建议行动

• 产品领导者应该认识到通过将AMTD与现有技术堆栈相结合以实现全面保护来提高深度防御的好处。

• 当产品领导者无法构建自己的AMTD功能时，应寻求AMTD技术合作伙伴。专注于整合更多AMTD功能，以增强预防与检测为重点的技术。

• 终端部署类型（例如设备、信息亭、物联网和 OT 环境）的产品领导者应为其终端操作系统实施 AMTD 策略，以增强对高级攻击的防御，进一步强化其整体产品。

关键洞察：与AMTD一起进行主动深度防御，增强机密计算和隔离策略

寻求将安全性提升到检测和响应之外的组织目前严重依赖人类判断和威胁情报，即先前的攻击知识。这些组织应考虑采用机密计算技术与AMTD相结合，以避免终端攻击。

与 AMTD 结合使用时，机密计算可以通过对软件和数据进行加密来保护敏感数据，即使在处理数据时也是如此。此策略降低了数据暴露的风险，尤其是在高度监管的环境中。虽然机密计算可以作为云中的服务应用，但它在终端方面产生了显着的好处，在构建现代数字化转型业务时应考虑这一点。

在机密计算环境中，数据在运行时被加密，这使得机密计算层能够阻止恶意进程篡改原始软件。然而，在机密计算飞地中执行的代码在执行过程中仍然容易受到攻击和利用。AMTD与机密计算和隔离策略相结合，为终端提供了更全面、更主动的安全方法。当这些技术结合起来时，可以显着增强对运行时环境的保护，使其免受恶意代码执行的影响（参见图 2）。

图 2：应用 AMTD 的机密隔离容器

当AMTD应用于飞地中的软件时，它为用户提供了主动预防，增强了机密计算堆栈的防御性和面向预防的性质。机密计算中的新兴功能，其中机密功能可以由开发人员以代码形式调用，使开发人员更容易实施，组织也更容易将AMTD 自动化，与其他预防技术相结合，作为深度层的主动防御。

机密计算技术的示例提供商：

亚马逊网络服务 (AWS)、AMD、苹果、CYSEC、谷歌、英特尔、微软、NVIDIA、VectorZero Technologies、VMware

以代码形式提供的机密计算示例提供商：

Anjuna Security, Edgeless Systems

对产品领导者的近期影响

• 机密计算硬件采用率的提高使买家能够更好地利用终端系统上机密计算飞地的增强功能。

• AMTD的软件交付与机密计算现已推出，这意味着产品领导者可以访问先进的主动防御堆栈以进行未来的设计。

• 产品团队通过 AMTD 和机密计算构建更主动的防御计算堆栈的机会越来越多，同时符合信任根验证和飞地功能的硬件采用要求。

未来 6 至 18 个月的建议行动

• 产品领导者，特别是那些专注于AMTD支持的终端防御策略的产品领导者，应该通过选择提供或支持轻松采用机密计算的提供商来增强其防御策略。

• 产品领导者应与其产品团队集思广益，设计出同时利用机密计算和 AMTD 或提高其采用便利性的方法，作为 DevOps 持续集成/持续部署管道中的标准实践和部署功能。

关键洞察：AMTD 应用于 DevSecOps 改进了终端应用程序漏洞利用防御

攻击者经常使用逆向工程，这意味着他们分析应用程序的执行及其各个部分和关系，以发现软件的工作原理以及可利用的位置。因此，在他们的逆向过程中应用 AMTD 可以立即使他们执行攻击变得更加困难。一些新兴的安全提供商正在将 AMTD 应用到代码中，该代码通过应用攻击者经常用来隐藏攻击和击败防御者的相同原则混淆来转换软件。

攻击者还经常使用多态性来混淆他们的活动、恶意代码或检测技术的漏洞。例如，恶意软件不断发生多态性，因此在到达受害者终端之前很难或不可能检测到其包装或后期阶段。值得注意的是，这些 AMTD 技术不必仅限于攻击者。

防御者可以利用 AMTD 在编译前、加载时甚至在运行时环境中执行期间保护其代码。通过将 AMTD 引入代码中，开发人员可以在代码中实施防御性、开箱即用的主动预防。编译后的字节码或在运行时执行的应用程序代码本质上可以应用 AMTD 来变得完全独特。

将 AMTD 技术引入内存函数、输入参数、变量和其他可执行运行时元素，使得攻击者很难自动找到可利用的参数。以这种方式应用 AMTD 可以有效地消除代码的攻击面并破坏大多数自动化技术，从而阻止攻击者的利用，尤其是破坏先验知识攻击或 Web 攻击。

AMTD 如何应用于代码的示例：

• 加载时函数随机化——智能随机函数名称

• 攻击者常用的块级二进制随机化

• 堆栈帧随机化

• 变量名称随机化

• 应用程序中的欺骗、佯攻或破坏性的遗留行为

对产品领导者的近期影响

• 持续集成/持续交付流程中的自动化需要进行更新，以将AMTD正确包含并部署到 DevSecOps 流程和云原生应用程序保护平台 (CNAPP) 工具中。

• 将AMTD应用于代码后，如果没有手动代码审查，开发人员将无法进行高级的非生产调试。这将需要在实时生产环境中使用更先进的运行时监控和应用程序跟踪工具。

• 软件开发人员最初可能会对将 AMTD 概念引入其代码中做出负面反应，需要加强教育、AMTD 实施知识并计划让开发团队感到舒适。

未来 6 至 18 个月的建议行动

• 产品领导者应立即开始向其开发团队和工程人员传播AMTD代码概念，以减少开发人员在实施AMTD方法之前的潜在焦虑。

• 在应用 AMTD 之前，产品领导者必须与其执行团队合作，为增强的代码运行时可观察性和应用程序跟踪做好预算，以满足开发人员的实时调试需求。

技术背景

用于终端和终端软件的 AMTD 是一组技术，使攻击者更难对终端操作系统和软件技术进行逆向工程和利用。AMTD 的工作原理是在其所使用的应用程序和操作系统的攻击面中引入不可预测且频繁的变化。

AMTD的优势

• 增强针对零日漏洞和利用的防护

• 减少对服务器级别的检测和响应工具、流程和运营的依赖

• 改进深度防御，补充现有工具和防御机制

AMTD的潜在缺点

• 性能影响：AMTD 的应用可能需要更多的 CPU 使用，产生额外的内存流量，或者在运行时实现时可能会增加延迟。

• 应用程序和操作系统兼容性：如果没有正确规划和设计，添加随机化或更改（取决于其实施方式）可能会破坏应用程序或操作系统。

• 需要同步状态并保持 AMTD 功能之间的变化感知：状态同步通过实时传达变化来帮助管理随机化。这可能会增加额外的处理开销，或者对网络流量或 AMTD 堆栈架构产生影响。

• 代理要求：可能需要代理技术来对 AMTD 进行远程配置管理或修改 AMTD 特性和功能。

• 与实施相关的支持和服务问题：支持和服务人员可能需要了解随机化的引入或环境中动态引入的变化，以避免破坏故障排除效率。

影响

应用 AMTD 的影响可以通过在受 AMTD 保护的堆栈上执行实时、预先测试的 APT 漏洞攻击来证明。通常，威胁行为者会尝试执行脚本化内存扫描，并在未正确清理的缓冲区中溢出输入参数（缓冲区溢出），以注入受污染的有效负载。

但是应用 AMTD 后，其利用的侦察到的可执行内存目标将不再可用。由于引入了混淆，威胁行为者将无法在内存中找到要攻击的注入位置。同时，攻击者将更容易被检测到，因为他们需要对实时环境中运行的可执行文件采用各种技术来执行攻击。因此，AMTD 和 enclaving 的结合形成了一个良好混淆和隔离的容器应用程序。