虹科分享|不再受支持的Windows系統(tǒng)如何免受攻擊？| 自動(dòng)移動(dòng)目標(biāo)防御

傳統(tǒng)的微軟操作系統(tǒng)(OS)可能會(huì)一直伴隨著我們，操作系統(tǒng)使用統(tǒng)計(jì)數(shù)據(jù)顯示，傳統(tǒng)操作系統(tǒng)的總市場(chǎng)份額仍在10%以上。Windows的總安裝基數(shù)為13億，大約有1.5億個(gè)終端仍在運(yùn)行舊版操作系統(tǒng)。

數(shù)十萬(wàn)組織的終端和服務(wù)器采用不受支持的操作系統(tǒng)。如果您在制造業(yè)、金融業(yè)、醫(yī)療業(yè)或教育業(yè)，您可能非常清楚遺留系統(tǒng)帶來(lái)的安全問(wèn)題。

SANS Institute最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，54.3%的公司報(bào)告說(shuō)，他們最大的安全挑戰(zhàn)之一是將傳統(tǒng)技術(shù)與現(xiàn)代ICS和OT系統(tǒng)集成。

傳統(tǒng)IT系統(tǒng)的風(fēng)險(xiǎn)

許多公司也面臨著從其環(huán)境中刪除原有的應(yīng)用程序的挑戰(zhàn)。存在著“如果它沒(méi)有壞……”的想法。

傳統(tǒng)環(huán)境可以繼續(xù)正常地運(yùn)行，是它們成為遺留環(huán)境的首要原因。對(duì)于許多考慮遷移成本的企業(yè)決策者來(lái)說(shuō)，盡可能長(zhǎng)時(shí)間地保留過(guò)時(shí)的系統(tǒng)是有意義的。

不幸的是，傳統(tǒng)IT系統(tǒng)的風(fēng)險(xiǎn)隨著時(shí)間的推移而變得復(fù)雜，廢棄操作系統(tǒng)中不斷出現(xiàn)的漏洞就是明證。例如，Windows7在進(jìn)入“生命周期結(jié)束”后，在2023年發(fā)布了超過(guò)43個(gè)CVE，而Windows Server2008有95個(gè)CVE。

舊版本的應(yīng)用程序(如已停用的Microsoft Office版本或自定義業(yè)務(wù)應(yīng)用程序)擴(kuò)展了攻擊媒介。舊版本的應(yīng)用程序是威脅參與者的金礦，它們的漏洞在被發(fā)現(xiàn)很長(zhǎng)時(shí)間后可以被回收到新的漏洞中。例如，一個(gè)鮮為人知的2004年的ApacheWeb服務(wù)器CVE被利用來(lái)進(jìn)行加密挖掘。舊版本系統(tǒng)的硬件方面，如未打補(bǔ)丁的基本輸入輸出系統(tǒng)，可能會(huì)增加這種風(fēng)險(xiǎn)。

新版本的系統(tǒng)并不完美，但通常情況下，系統(tǒng)或應(yīng)用程序越舊，破壞就更容易達(dá)成。

傳統(tǒng)IT安全挑戰(zhàn)

傳統(tǒng)的Windows系統(tǒng)具有設(shè)計(jì)限制，缺乏EDR查看操作系統(tǒng)和進(jìn)程通信所需的安全體系結(jié)構(gòu)。具體地說(shuō)，較舊的操作系統(tǒng)具有有限的事件跟蹤(ETW)，并且缺乏現(xiàn)代系統(tǒng)常見(jiàn)的高級(jí)反利用功能。例如，AMSI、CFG、ACG等。

這種可見(jiàn)性的缺乏極大地限制了它們的探測(cè)能力。從預(yù)防的角度來(lái)看，許多EDR依賴Microsoft Defender AV進(jìn)行基線保護(hù)，包括Microsoft基于簽名和機(jī)器學(xué)習(xí)的檢測(cè)、威脅情報(bào)和響應(yīng)能力。但Defender AV是在2015年才與Windows 10一起發(fā)布的，因此在2015年前的Windows系統(tǒng)上運(yùn)行的EDR提供的預(yù)防能力有限。從計(jì)算角度來(lái)看，傳統(tǒng)系統(tǒng)存在操作系統(tǒng)設(shè)計(jì)限制，通常無(wú)法運(yùn)行終端保護(hù)平臺(tái)(EPPS)和終端檢測(cè)與響應(yīng)(EDR)等高級(jí)安全解決方案。

因此，傳統(tǒng)系統(tǒng)通常只受基本、過(guò)時(shí)的防病毒(AV)解決方案保護(hù)。對(duì)于依賴高級(jí)EDR來(lái)保護(hù)其較新系統(tǒng)的組織來(lái)說(shuō)，這會(huì)造成高度不一致的攻擊面。

為了應(yīng)對(duì)這些挑戰(zhàn)，Morphisec與來(lái)自ITProTV的微軟專家Adam Gordon舉行了一次網(wǎng)絡(luò)研討會(huì)。我們討論了：

運(yùn)行遺留系統(tǒng)的安全風(fēng)險(xiǎn)

哪個(gè)是更大的傳統(tǒng)挑戰(zhàn)——終端還是服務(wù)器

為什么將傳統(tǒng)終端遷移到現(xiàn)代操作系統(tǒng)如此困難？

為什么傳統(tǒng)的EPP和EDR工具難以保護(hù)遺留系統(tǒng)？

改進(jìn)遺留系統(tǒng)安全狀況的實(shí)用建議

使用自動(dòng)移動(dòng)目標(biāo)防御保護(hù)舊版本IT系統(tǒng)

傳統(tǒng)系統(tǒng)是低帶寬環(huán)境，缺乏操作系統(tǒng)體系結(jié)構(gòu)和計(jì)算能力，無(wú)法支持基于掃描的安全解決方案，如下一代防病毒(NGAV)、EPP和EDR/XDR。

然而，Morphisec的自動(dòng)移動(dòng)目標(biāo)防御(AMTD)可以保護(hù)Windows和Linux傳統(tǒng)系統(tǒng)免受高級(jí)網(wǎng)絡(luò)攻擊，如無(wú)文件攻擊、內(nèi)存攻擊、勒索軟件和供應(yīng)鏈攻擊。6MB的Morphisec足夠輕量，可以在Raspberry PI上運(yùn)行，不需要更新簽名或安全標(biāo)志，不依賴傳統(tǒng)操作系統(tǒng)所缺乏的可見(jiàn)性功能，因?yàn)樗恍枰ヂ?lián)網(wǎng)連接，甚至可以保護(hù)系統(tǒng)。

Morphisec的AMTD的工作原理是變形運(yùn)行時(shí)內(nèi)存環(huán)境，移動(dòng)系統(tǒng)資產(chǎn)，并將誘餌留在原來(lái)的位置。

受信任的系統(tǒng)進(jìn)程可以毫無(wú)問(wèn)題地運(yùn)行，對(duì)攻擊者隱藏起來(lái)，而任何試圖與誘餌接觸的代碼都會(huì)被捕獲以進(jìn)行取證分析。

Gartner稱AMTD為“..一種新興的改變游戲規(guī)則的技術(shù)，用于提高網(wǎng)絡(luò)防御能力。”

虹科入侵防御方案

虹科入侵防御解決方案，是移動(dòng)目標(biāo)防御技術(shù)的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。我們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，摩菲斯目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，摩菲斯客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

• 勒索軟件(例如，Conti、Darkside、Lockbit)
• 后門(mén)程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))
  
• 供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)
  
• 惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

虹科摩菲斯為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。