2023Gartner®终端安全发展规律周期：AMTD引领未来

导语：在2023年Gartner终端安全发展规律周期中，自动移动目标防御（AMTD）崭露头角，虹科Morphisec被誉为AMTD领域的样本供应商。该周期呈现出终端安全领域的最新创新，旨在帮助安全领导者更好地规划、采纳和实施新技术。AMTD技术的预防性解决方案标志着网络安全迈出了新的一步，它以在攻击开始前预防和阻止攻击为主，不同于传统的检测和响应技术。

自动移动目标防御(AMTD)首次被囊括在2023年Gartner Endpoint Security的发展规律周期中，作为一项正在崛起的技术。虹科Morphisec被评为AMTD类别中的样本供应商。这一发展规律周期展示了终端安全领域最相关的创新，以帮助安全领导者规划、采用和实施新兴技术。终端安全创新侧重于更快的自动检测和预防，以及威胁的补救，为集成的扩展检测和响应(XDR)提供动力，以将来自终端、网络、网络、电子邮件和身份识别等解决方案的数据点和遥测关联起来。“。正如Gartner所指出的，“企业需要尖端的解决方案来保护终端免受攻击和入侵。”

从历史上看，终端安全一直侧重于检测和响应技术。“AMTD从‘检测和响应’转变为‘主动欺骗和不可预测的变化’，使攻击者更难利用目标IT环境中的漏洞。”作为一种预防性解决方案，我们认为AMTD被纳入报告标志着该行业发生了结构性转变，并重新调整了终端安全最佳实践建议。

威胁正变得更加复杂和难以捉摸

从技术上讲，检测和响应始于反病毒软件的引入。反病毒程序对二进制文件和文件进行静态评估，以确定它们与已知恶意软件的一致性。

下一代反病毒(NGAV)软件和终端保护平台随后引入了动态分析，这需要在受限环境中执行文件，同时监控它们的行为。

终端安全方面的下一项创新引入了业界当前级别的EDR和扩展检测与响应(XDR)技术，并管理检测和响应(MDR)服务。这些产品使用行为分析来监控计算机上进程的执行，拦截关键功能，并进行调查以获得对行为的实时洞察。这种方法不仅仔细检查了二进制代码，还仔细检查了围绕执行的上下文因素。

如今，NGAV、EDR和XDR为检测和响应基于特征码的已知威胁提供了基准安全。然而，包括内存、无文件和勒索软件攻击在内的复杂且无法检测的威胁越来越多地绕过了NGAV和EDR等传统安全控制，现在占外部检测到的攻击的30%。

最近的例子包括一种针对金融和物流公司的新型Chaes恶意软件变种，GuLoader，一种针对美国法律和投资公司的高级威胁，以及InvalidPrint，一种高度隐身的加载程序，在很长一段时间内对病毒Total的检测为零。

根据Gartner的报告：“在过度强调检测和响应策略未能防止入侵的背景下，AMTD技术已经出现，能够在防御方面提供新的价值。”

AMTD提供的混淆和多态功能可以抵御攻击

攻击者在侦察方面投入了大量资金，以发现漏洞和利用机会。他们使用无文件恶意软件和内存攻击等复杂技术来隐藏行为并逃避检测。

防守者甚至可以在进攻开始之前就应用类似的战术，使用AMTD技术来摧毁攻击。AMTD借鉴了成熟的军事战略，即移动的目标比静止的目标更难“击中”。在网络安全领域，AMTD部署的战术可以在IT环境中设计跨越攻击面的变化或变化。这种基于多态的方法增加了潜在攻击者面临的不可预测性和复杂性。

在一场永无止境的网络军备竞赛中，攻击者将利用人工智能来生成能够绕过基于人工智能的保护解决方案的威胁。生成性人工智能进一步提高了攻击的复杂性、速度和规模，因此安全领导者必须寻求使用先于反应性和资源密集型检测和响应解决方案的主动和预防性技术来加强防御。正如Gartner所指出的，“AMTD帮助普通公司应对新出现的人工智能威胁。对于没有预算、人员或时间使用人工智能的组织来说，AMTD是一种替代方案。”

安全团队的工作必须优先考虑高保真警报

由于复杂且无法检测的威胁向量(如前面提到的无文件、内存和基于零日的技术)绕过了传统的安全控制以及检测和响应技术，漏洞风险和警报随之而来。

未知和无法检测的攻击造成了越来越多的入侵，超过30%的攻击被反病毒和EDR系统漏掉。作为回应，IT和安全团队将检测系统警报模型设置为最高设置，以标记异常行为。但这些设置对系统性能产生了负面影响，并产生了大量警报，目前约占通知总数的40%。

安全团队正被误报警报和耗时的警报调查淹没。全国草坪护理和治疗服务提供商TruGreen就是这种情况。TruGreen使用了多层安全模型，但他们不相信这能保护他们免受躲避攻击。它的性能开销很大，并且会产生大量的误报警报，每天都需要数小时的团队分析。该团队需要一个运营高效且对性能影响微乎其微的解决方案。

Morphisec帮助TruGreen将误报减少了95%；首席安全架构师Dale Slawinski指出：“使用我们之前的安全平台，我们过去每天都会收到多达50个警报。现在(有了Morphisec AMTD)，我们可能只有一两个。

Morphisec的确定性机制创建高优先级和保真度警报，帮助安全团队确定补救工作的优先顺序。Morphisec通过冷阻止攻击并杀死恶意进程来防止攻击，从而为安全团队赢得时间。使用Morphisec AMTD，恶意进程不再处于活动状态；相比之下，EDR技术可能只会在恶意进程仍处于活动状态时创建警报。

使用AMTD采取预防性的安全措施

将当前的终端安全解决方案与AMTD相结合是网络安全的下一步发展，是组织抵御不断变化的威胁格局的必备条件，尤其是在保护传统系统方面。随着新的集成层覆盖在旧的服务器和设备之上，攻击面扩大，与传统IT相关的风险也随之扩大。

在通常无法修补的遗留系统中，即使是众所周知的攻击载体，如Internet Explorer漏洞，仍在导致数据泄露。例如，在2021年，18%的攻击利用了2013年或更早披露的漏洞。随着Windows7和Windows 8从那时起退出支持，这个数字现在可能会高得多。

自动移动目标防御(AMTD)是对保护遗留系统的挑战的一种成熟的回应。它通过预防而不是应对威胁来克服终端安全的架构、技术和文化挑战。通过一个极其轻量级(6MB)的代理，Morphisec的AMTD可以在系统使用时改变运行时内存。它通过移动系统资产并将诱饵留在原来的位置来减少遗留攻击面。

以下是考虑使用AMTD的IT或安全领导者的其他优势：

• 深度防御-所有组织都面临勒索软件、供应链零日和无文件攻击的风险增加；多态防御隐藏漏洞，使其免受多态攻击。
• 运营效率-AMTD解决了遗留的安全问题，并与您已经使用的NGAV、EDR和XDR技术完全兼容，无需额外的员工或性能资源来运行它。
• 减少开支-通过在攻击开始前停止攻击，AMTD减少了误报警报，从而减少了对警报进行分类和分析的IT支持工单和人员需求。

据美国一家领先的对冲基金的CISO表示：“Morphisec提供了新型内存保护技术，维护成本低，管理费用少。在我们的技术堆栈中，Morphisec需要的维护和维护最少，提供卓越的保护。“。AMTD技术标志着网络安全的下一步发展。与检测和响应技术不同，它专注于在攻击开始之前预防和阻止攻击。