Что такое Moving Target Defense
Moving Target Defense — это концепция и прикладные технологии, которые ее реализуют, направленная на динамическое изменение поверхности ИТ-систем или сетей для того, чтобы затруднить реализацию атак злоумышленниками.
Возможные названия этой концепции на русском языке — защита на основе движущихся целей или же защита с использованием подвижных целей.
Как работает и когда появился Moving Target Defense
Сегодня ИТ-системы построены для работы в относительно статической конфигурации. Например, адреса, имена, стеки программного обеспечения, сети и различные параметры конфигурации остаются более или менее одинаковыми в течение длительных периодов времени. Этот статический подход является наследием архитектур, разработанных для простоты в то давнее время, когда хакеры и эксплуатация уязвимостей системы не была реальной проблемой.
Однако такой статический характер современных систем дает злоумышленникам невероятное преимущество, так как они могут не торопиться и планировать атаки заранее в своем темпе. Подход Moving Target Defense позволяет нивелировать это преимущество злоумышленника.
Хотя сам принцип и понимание того, что в движущуюся цель сложнее попасть, известны уже очень давно, начало интереса к термину «Moving Target Defense», в первую очередь в сфере кибербезопасности, зафиксировано в сентябре 2010 года. С тех пор эта концепция стремительно набирает популярность как в рамках научных исследований, так и в корпоративной сфере.
Практические реализации Moving Target Defense
MTD можно реализовать по-разному и на разных уровнях ИТ-стека, в том числе с помощью динамических платформ исполнения кода, непосредственно динамического кода или данных в приложении. Одной из конкретных реализаций парадигмы MTD является разработка компании Morphisec для защиты конечных точек. Решение Morphisec Shield на основе Moving Target Defense предотвращает новые, неизвестные и продвинутые скрытные угрозы, которые обходят антивирусы (в т.ч. нового поколения), EDR, XDR и пр. Запатентованная технология Morphisec разработана для обеспечения непрерывной защиты от известных атак, а также от самых изощренных неизвестных и бесфайловых атак, эксплойтов в памяти и атак нулевого дня.
Технология Morphisec применяет защиту на основе движущихся целей, динамически изменяя пространство памяти защищаемого процесса так, чтобы атаки не могли найти ресурсы, которые они хотят проэксплуатировать. Учитывая, что более 75% взломов вызваны бесфайловыми атаками в памяти, применяя Morphisec и делая этот способ атаки недоступным для злоумышленников, вы устраняете наиболее существенный объем риска, непокрытый антивирусом.
При использовании защиты на основе движущихся целей тип атаки не имеет значения, поскольку не требуется знать, обнаруживать или идентифицировать атаку, чтобы предотвратить ее. По сути, атаку удалось предотвратить еще до того, как она была задумана злоумышленником. Лучше всего этот подход объясняет таймлайн 0-day эксплойта iTunes на Windows, используемый в атаке BITPAYMER (2019). В том числе и поэтому Morphisec можно использовать для виртуального патчинга систем.
Решение Morphisec на основе Moving Target Defense предотвращает появление новых, неизвестных и продвинутых скрытных угроз, которые обходят другие СЗИ. В нем нет активных анализирующих компонентов, обновлений сигнатур и сканирования, поэтому он не замедляет работу системы. Morphisec работает независимо от того, подключена ли конечная точка к сети или отключена от нее, не генерирует ложных срабатываний и не требует квалифицированных ресурсов для анализа активностей в рамках текущей эксплуатации. Однако для каждой предотвращаемой атаки Morphisec собирает подробную форензику, которая легко доступна для аналитиков или внешних систем, если организация хочет использовать эту информацию.
У Morphisec практически нет недостатков, которые заказчики испытывают с сигнатурными антивирусами, антивирусами нового поколения или EDR. Тем не менее, у Morphisec есть требование — поскольку он устраняет неизвестные сложные и скрытные угрозы, он должен использоваться совместно антивирусом, которые защищает от известных базовых атак. Это может быть любой платный антивирус, который предпочитает ваша организация, или, например, бесплатный Windows Defender, встроенный в Windows 10. При этом организации, использующие связку Morphisec и Windows Defender, могут централизовано управлять Windows Defender в рамках единой консоли Morphisec.
Заинтересованы в решении Morphisec?
Чтобы узнать больше, закажите демо, расчет стоимости или пилот Morphisec.