*免责声明:Mike Thompson拥有专利一项移动目标防御技术,另一项技术正在申请专利。在阿贡国家实验室任职期间,他研究了包括MTDs在内的各种动态防御策略。
移动目标防御已经成为网络安全领域的一个流行词,因为它承诺作为零日漏洞的主动解决方案。零日漏洞是指在公众了解该漏洞的“第一天”之前就已经被积极利用了一段时间的漏洞,这使得安全专业人员无法对其进行防御。这些类型的漏洞目前是最难防御的,因为这要求我们能够成功地检测到网络上的异常行为。这是一个重大的挑战,也是许多供应商试图解决的问题,然而,即使正确地对大多数网络进行基线化也是一个挑战。移动目标防御(mtd是一系列防御策略,其核心是动态改变系统、网络、配置或代码属性,以应对或预测恶意活动。mtd表明,系统多样性和不断增加的攻击者不确定性的正确组合可以使零日漏洞的威胁不那么强大。图1显示了一个操作系统跳跃移动目标防御系统的例子。
OS跳跃MTD系统示例(由Argonne国家实验室提供)
移动目标策略已经得到了相当广泛的研究,但这些策略很少被纳入网络防御者的工具包。然而,恶意行为者以DNS快速流量的形式利用它们已有一段时间了。快速流量于2006年首次在野外观察到,并与风暴蠕虫恶意软件变体广泛相关。它可以被僵尸网络用来隐藏各种类型的恶意活动,包括网络钓鱼、网络代理、恶意软件交付和恶意软件通信。这种技术允许僵尸网络“隐藏”在不断变化的受感染主机网络后面,最终充当代理,使检测变得异常困难。快速流量的目标是让一个域名有数百甚至数千个与之相关的IP地址。IP地址以极高的频率进行流量交换,使用轮询IP地址的组合和任何给定的特定DNS资源记录(RR)的非常短的生存时间(TTL)。网站主机名可能每3分钟就与一组新的IP地址相关联。图2显示了DNS快速流量基础设施的简化示例。
快速通量技术在阻挠调查和混淆指挥和控制基础设施方面非常有效。随机生成的DNS名称和大量IP地址(通常与所谓的防弹提供商相关)的组合,使调查人员难以识别通信或技术中的模式。利用快速通量技术成功摧毁指挥和控制基础设施已经发生过,但这些都是劳动密集型的,往往需要数年时间才能获得可采取行动的情报。
信息安全在攻击者和防御者之间趋于不对称。捍卫者所处的位置是,他们需要向一组客户或涉众提供服务或应用程序。攻击者通常有无限的时间来探测这些服务或应用程序的漏洞和弱点。此外,攻击者通常不需要在自己的基础设施中维护持久性(尽管他们经常试图在受害者的基础设施上这样做)。这种不对称的性质也体现在移动目标策略领域,并有助于解释为什么防御者很难利用对攻击者非常有效的策略。
不对称还不止于此。由于攻击者通常可以访问几乎无限的节点源(通过受感染机器的僵尸网络),他们可以扩展和/或丢失机器,而不会对其操作造成太大损害。防御者的移动目标战略通常需要在基础设施方面进行大量投资。云技术提供了动态部署,这可以提供与快速流量提供给攻击者的相似之处,然而,攻击者不需要保护他们的“中介”平台——他们通常受到法律预防攻击受害者机器的保护,但这些受害者机器通常也很少或没有关于命令和控制基础设施的信息,这些基础设施本身可能隐藏在混淆的DNS或IRC等侧通道后面。
测量移动目标技术的有效性仍在不断发展,因为实施的解决方案的数量仍然很少。乐动体育网址然而,许多研究人员同意用一个简化的可测量特征子集来量化移动目标解决方案的价值:多样性(MTD解决方案可以假设的不同可能的配置状态)、敏捷性(系统可以响应攻击的速度,以及它可以执行配置调整的速度)、有效性(MTD解决方案可以减轻或防止攻击的程度)和性能(MTD系统执行所需任务的影响和能力,即-服务于web页面应用程序或提供对数据库的访问)。
对于依赖于资源轮换或机器重生的防御者来说,移动目标策略很少使用云基础设施(由于涉及的复杂性和mtd缺乏成熟度),即使是那些类似于快速流量基础设施的策略,在面临零日漏洞的危险时,通常也会遭受与静态基础设施相同的危险。即使是防御低级漏洞的mtd也可能无法对应用层漏洞提供合理的保护。内容交付网络(cdn)提供了快速流量基础设施的许多基础设施弹性优点。cdn通常用作分布式拒绝服务(DDoS)攻击的缓解措施。然而,cdn并不能针对应用程序中的零日漏洞提供令人信服的防御。拥有同质环境是CDN的优势。换句话说,如果一个系统容易受到零日攻击,那么所有系统都将同样容易受到攻击。CDN的使用可能会为目标基础设施提供缓冲或额外的多样性层,但CDN提供商的软件堆栈或目标基础设施所有者的软件堆栈中的零日漏洞仍然会为老练的攻击者提供非常低的复杂性(与攻击者基础设施的复杂性水平相比)。因此,CDN可能非常敏捷,但它提供的多样性非常少,而快速流量基础设施既敏捷又多样化。
快速流量基础设施在主动防御信息资源方面有很多值得我们学习的地方。尽管攻击者的目标和资源与防御者大不相同,但它们有足够多的相似之处,这突出了动态系统设计人员需要投入精力的一个领域——多样性和敏捷性对于MTD的成功至关重要。与此同时,收集有关攻击的信息并共享这些信息至关重要。日志记录和监控是建立网络基线和检测恶意活动的关键第一步。良好的安全卫生和用户教育是健康信息安全制度的重要组成部分——如果用户不点击恶意链接,当今最流行的许多攻击载体就会消失。创建IP屏蔽列表是安全工具包的必要组成部分,但它显然有其局限性。DNS是互联网核心基础设施的一部分,很难正确过滤,但DomainTools提供了一些最好的工具来调查DNS如何影响您的组织以及DNS如何变化。
资源:
https://dl.acm.org/citation.cfm?id=2602088
https://fas.org/irp/eprint/proactive.pdf
http://www.dtic.mil/dtic/tr/fulltext/u2/a591804.pdf
http://ieeexplore.ieee.org/document/6900086/
https://coar.risc.anl.gov/research/moving-target-defense/
https://www.akamai.com/us/en/about/news/press/2017-press/fast-flux-botnets-still-wreaking-havoc-on-internet-according-to-akamai-research.jsp
http://www.honeynet.org/node/132
https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/
https://www.afcea.org/content/asymmetric-cyberwarfare-demands-new-information-assurance-approach
https://www.asymmetricthreat.net/pdf/symposium8_report.pdf
https://arxiv.org/pdf/1603.08312.pdf
http://www.few.vu.nl/~herbertb/papers/feederbot_ec2nd11.pdf
https://arxiv.org/pdf/1408.1136.pdf
http://scitlabs.com/products-乐动体育网址solutions/technology
https://coar.risc.anl.gov/research/moving-target-defense/
http://www.springer.com/cda/content/document/cda_downloaddocument/9781461432951-c1.pdf?SGWID=0-0-45-1445116-p174291477
