多态防御会是网络攻击防御的未来吗?
2015-06-15 TechTarget中国 编辑:邹铮
多态恶意软件会适应当前环境,逃避安全软件检测,对目标计算机进行攻击。这种恶意软件可轻易地逃避基于签名的扫描仪和其他标准检测方法,因为当它在执行时,它会不断改变其攻击的性质。
但是,如果我们能利用这种相同的行为用于防御措施呢?这里的想法是,让目标计算机或系统看起来在不断改变,让恶意软件不能轻易感染它。这似乎是非常复杂的概念,但这正在得到越来越多人的关注。
事实上,多态就是很多安全学术研究人员一直所说的“移动目标防御”,只是换了个说法,他们已经对这种技术研究了很长一段时间。去年11月在美国亚利桑那州举行的计算机学会(ACM)就谈到了部署这种防御的各种方法,例如通过博弈论和其他高级算法。
这些研究项目已经进入了下一个阶段,JumpSoft、Morphisec、Shape Security和CyActive等供应商也推出了围绕该技术的一系列新安全产品。虽然所有这些供应商的产品仍处于非常初期的阶段,但你可以了解他们正试图做什么以及这个概念发展的速度之快。
当然,保护基于互联网的资产已经变得更加复杂。安全研究人员Dudu Mimran在博客文章中谈到了日益扩大的数字差距,因为“安全工具的发展速度没有跟上IT基础设施,而多态防御的目的是破坏这种现有知识基础,让攻击更难以进行”。
这是因为很多攻击者依靠对特定操作系统、设备或应用的知识,然后通过漏洞利用来瞄准其薄弱环节。让系统难以识别可以使它们更难攻击,从而提高网络安全性。Mimram同时也是Morphisec公司的首席技术官,该公司计划在不久的将来推出其第一款产品。
同时,Shape Security公司将其ShapeShifter产品称为“第一个僵尸机器墙”,这个设备可以保护用户界面和客户端的Web服务器。正如该初创公司在其网站所说,“利用多态技术让你可以保持代码的功能,同时转换其表达的方式。在这个例子中,简化的登录表单中有某些属性被随机字符串所替换,而所得代码会破坏旨在提交该表单的恶意软件、僵尸机器或其他攻击程序,但这些代码看起来与原来的表单相同。”
通过利用这种多态防御,客户可以阻止DDoS、浏览器中间人和账户接管攻击。Shapeshifter安装在负载均衡器后面,只要通过几个简单的防火墙规则将流量导向到其中,该设备就可以运行。
在过去,对很多网站进行保护的一种方法是通过速度、容量和IP地址限制来防止大量自动化登录尝试。但恶意软件操作者会利用大量IP地址运行的大规模分布式僵尸网络拦截大量登录凭证,然后利用这些窃取的登录凭证来绕过这些限制。还有另一种流行的做法是利用CAPTCHA来保护登录;但这已经不再流行,因为现在已经有很多自动化或大规模手动方法已经超越它们。
Shape的设备在每次网站被查看时,都会动态地改变受保护网站的底层代码,以防止这类型的脚本用于登录漏洞利用。
Mimram在其博客中称:“‘多态’部分是这种方法的重要组成因素,因为对架构的改变可以连续远程进行,极大地提高了猜测的难度。通过部署多态技术,攻击者无法对受保护区域构建有效的多用途攻击。”他认为所有多态防御应具有以下四个属性:
• 首先,从某个可信来源开始,控制对主机的动态变更
• 接着,构建一个解决方案,不容易被典型的攻击模式所发现,这让它们更具灵活性
• 整合内部代码变更,让这些变更对用户或软件程序不那么明显
• 最后,强化代码,增加逆向工程和传播的难度
而CyActive公司则使用仿生算法作为智能检测器的训练数据,该检测器可发现和阻止未来恶意软件变体。Paypal最近收购了CyActive技术,这表明这个市场正在受到重视。
JumpSoft也有自己的软件管理平台,被称为JumpCenter,其中包括JumpCenter Moving Target Defense(MTD);用户可以注册免费试用版。该公司声称其代码可保护所有7层网络应用。
目前我们还不清楚这些多态防御是否能够抵御更复杂的漏洞利用。但至少我们在试图让这变成与攻击者的公平竞争,攻击者最终可以尝尝他们自己的恶意技术的苦头。