虹科技術(shù) | 終端安全 | 服務(wù)器并不像您想象的那么安全

在從1到10的評分中，現(xiàn)狀方法對服務(wù)器安全的有效性如何？

從理論上講，應(yīng)該是10分。保護(hù)服務(wù)器免受外界影響的途徑(分段、防火墻、漏洞修補(bǔ)、安全解決方案等)是眾所周知的。

然而，現(xiàn)實(shí)生活的結(jié)果顯示出與理論的巨大差距。從紅十字會到優(yōu)步，今年的新聞標(biāo)題充斥著服務(wù)器安全漏洞的例子。利用面向互聯(lián)網(wǎng)的服務(wù)是2021年的主要攻擊媒介，占事件的50%以上。

在金融領(lǐng)域，90%的入侵涉及服務(wù)器。在CISA的2021年最受攻擊漏洞列表中，服務(wù)器攻擊技術(shù)構(gòu)成了大多數(shù)漏洞，其中包括Log4j、Microsoft Exchange、Active Directory、FortiOS、Accellion FTA等漏洞。

服務(wù)器安全面臨的三個現(xiàn)實(shí)障礙

服務(wù)器安全顯然沒有發(fā)揮應(yīng)有的作用。相反，我們生活在一個高級威脅正在尋找安全漏洞的世界。它們正在越過防火墻、下一代防病毒(NGAV)解決方案以及終端檢測和響應(yīng)(EDR)防御，而這些本應(yīng)是堅不可摧的。這些工具顯然沒有解決現(xiàn)實(shí)世界服務(wù)器環(huán)境的弱點(diǎn)。

遺留系統(tǒng)

2019年，微軟估計超過60%的Windows服務(wù)器仍在使用Windows 2008，Windows 2008將于2020年停產(chǎn)(EOL)。Windows 2012將在2023年失去支持。

停產(chǎn)的Windows和Linux操作系統(tǒng)以及它們所部署的遺留系統(tǒng)無處不在。它們實(shí)際上也是不可替代的，通常為關(guān)鍵流程提供動力。使用掃描安全解決方案來保護(hù)它們幾乎是不可能的。EOL和傳統(tǒng)服務(wù)器要么無法容忍現(xiàn)代EDR和NGAV解決方案的計算要求，要么與它們完全不兼容。

停機(jī)時間

75%的攻擊利用了兩年以上的漏洞。為什么服務(wù)器漏洞不打補(bǔ)??？許多組織被迫在服務(wù)器正常運(yùn)行時間和補(bǔ)丁延遲之間進(jìn)行權(quán)衡。

為關(guān)鍵操作提供支持或受制于嚴(yán)格的服務(wù)級別協(xié)議的服務(wù)器無法承受與修補(bǔ)相關(guān)的停機(jī)和中斷。如果打補(bǔ)丁的成本高得令人望而卻步，或者實(shí)際上是不可能的，那么關(guān)鍵服務(wù)器不可避免地會受到眾所周知的攻擊。

性能

EDR和其他網(wǎng)絡(luò)安全工具需要大量的CPU/內(nèi)存和互聯(lián)網(wǎng)帶寬才能有效運(yùn)行。運(yùn)行關(guān)鍵應(yīng)用程序或支持虛擬機(jī)的服務(wù)器對這些資源要求非常敏感。

因此，部署像EDR這樣的安全解決方案可能需要進(jìn)一步的投資來升級服務(wù)器硬件或增加云容量，特別是如果它們不是專門針對Windows和/或Linux服務(wù)器構(gòu)建的。

服務(wù)器安全漏洞

部署在服務(wù)器上的安全解決方案必須發(fā)揮微妙的平衡作用。他們不能：

●給服務(wù)器計算帶來太大的壓力并降低性能。
●產(chǎn)生太多誤報，導(dǎo)致服務(wù)器停機(jī)，并給本已緊張的網(wǎng)絡(luò)安全人員和資源帶來更大壓力。

這些限制意味著，像EDR這樣依賴概率掃描和檢測的解決方案只能做到這一點(diǎn)。

供應(yīng)商和安全團(tuán)隊(duì)可以調(diào)整EDR，以一定的準(zhǔn)確性和速度發(fā)現(xiàn)可能的惡意代碼或活動-但只能在一定程度上。如果您將EDR的敏感度調(diào)至最高，則由于性能下降和誤報警報的數(shù)量，它保護(hù)的服務(wù)器實(shí)際上將變得不可用。

這種動態(tài)導(dǎo)致了安全漏洞。

首先，掃描解決方案的有限能力意味著，對于大多數(shù)組織來說，服務(wù)器內(nèi)存是一個沒有防御措施的環(huán)境。因此，服務(wù)器很容易受到無文件和內(nèi)存中的攻擊。根據(jù)Picus 2021年紅色報告，這些攻擊構(gòu)成了野外最常見的五種MITRE ATT&CK技術(shù)中的三種。

假設(shè)EDR發(fā)現(xiàn)服務(wù)器受到威脅，安全團(tuán)隊(duì)采取行動。這通常是一個造成了多大破壞的問題，而不是襲擊是否已經(jīng)停止的問題。

這種反應(yīng)滯后讓網(wǎng)絡(luò)犯罪分子有足夠的時間轉(zhuǎn)移攻擊，危害他們的目標(biāo)。平均而言，組織需要212天才能檢測到漏洞。

全年工作總結(jié)

服務(wù)器防御-具有移動目標(biāo)防御的縱深防御

服務(wù)器一直是風(fēng)險的來源，但供應(yīng)商提供的保護(hù)服務(wù)器的解決方案并沒有采取足夠的措施來降低風(fēng)險。
從應(yīng)用程序漏洞到內(nèi)存中發(fā)生的合法進(jìn)程，服務(wù)器面臨著針對其環(huán)境不同部分的一系列威脅。這意味著任何組織都不能依賴一站式解決方案來降低服務(wù)器泄露風(fēng)險。EDR平臺不足以進(jìn)行有效的服務(wù)器防御。

相反，服務(wù)器應(yīng)該由多層同類最好的解決方案來保護(hù)。

盡管EDR在網(wǎng)絡(luò)安全中發(fā)揮著關(guān)鍵作用，但它并不總是可行的，也無法阻止服務(wù)器面臨的所有攻擊。雖然對已知威脅有效，但根據(jù)定義，基于概率掃描的解決方案(如EDR)將錯過躲避的惡意軟件，從而造成安全漏洞。

保護(hù)服務(wù)器安全的最佳方法是使用縱深防御策略。這從基本的安全衛(wèi)生開始。需要仔細(xì)配置服務(wù)器，并控制和限制對它們的訪問。要阻止已知的威脅，一流的NGAV和EDR也很重要。

為了擊敗這些解決方案錯過的威脅并保護(hù)它們忽略的傳統(tǒng)服務(wù)器，使用移動目標(biāo)防御(MTD)技術(shù)來增強(qiáng)NGAV和EDR。被Gartner認(rèn)為是一項(xiàng)有影響力的新興技術(shù)，MTD改變運(yùn)行時內(nèi)存環(huán)境以創(chuàng)建不可預(yù)測的攻擊面，以確定性和主動性的方式阻止威脅，而不是以概率和反應(yīng)性的方式。

MTD：

●保護(hù)舊式和EOL服務(wù)器。通過保護(hù)內(nèi)存中的服務(wù)器，MTD可繞過兼容性問題，并在EOL支持結(jié)束后很長一段時間內(nèi)保護(hù)服務(wù)器。

●阻止內(nèi)存中的高級威脅。MTD阻止零日攻擊、無文件攻擊、內(nèi)存攻擊、供應(yīng)鏈攻擊和其他高級威脅，這些威脅旨在通過利用內(nèi)存安全漏洞來逃避當(dāng)前的網(wǎng)絡(luò)安全工具。

Morphisec的MTD技術(shù)獲得專利，為我們的Windows和Linux服務(wù)器保護(hù)解決方案Keep和Knight提供動力。它不需要部署或維護(hù)額外的人員，不需要停機(jī)，在空閑的環(huán)境中運(yùn)行，不會顯著影響服務(wù)器性能，也不需要重新啟動。

擴(kuò)展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預(yù)防解決方案，每天保護(hù)800多萬個端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。