Help net security發佈了一篇創建有效的漏洞優先排序公式
本文是對Morphisec的創始人和CTO Michael Gorelik的採訪,介紹了他的公司如何利用動態目標防禦(Moving Target Defense,MTD)技術來幫助企業防止高級持續性威脅(Advanced Persistent Threats,APT)和勒索軟體等攻擊。Gorelik解釋了MTD的原理和優勢,並分享了他對漏洞優先級、零信任模型和未來安全趨勢的看法。
Morphisec是一家專注於端點安全的公司,成立於2014年,由Michael Gorelik和其他三位以色列國防部的資深研究員創立。他們的目標是開發一種能夠在不影響性能和用戶體驗的情況下,有效地防止APT和勒索軟體等攻擊的解決方案。
他們的核心技術是MTD,一種基於記憶體的防禦方法,通過隨機改變應用程序的記憶體結構,使攻擊者無法預測和利用漏洞。Gorelik說,這種技術可以阻止99%的未知和零日攻擊,而不需要依賴簽名或行為分析。
Gorelik指出,傳統的安全解決方案往往是基於漏洞掃描和補丁管理的,但這種方法有很多缺陷。首先,漏洞掃描需要大量的時間和資源,並且可能會導致系統不穩定或不兼容。其次,補丁管理需要及時地發佈和部署,但很多企業無法做到這一點,尤其是對於遺留系統或關鍵基礎設施。第三,即使補丁了所有已知的漏洞,也無法防止未知或零日的攻擊。
因此,Gorelik建議企業採用一種基於風險的漏洞優先級方法,即根據漏洞的嚴重性、易受攻擊性和業務影響來決定是否需要補丁。他說,這種方法可以幫助企業節省成本和時間,並提高安全性。他還提到,Morphisec的產品可以與漏洞掃描工具集成,並提供實時的漏洞優先級報告,幫助企業做出更好的決策。
除了MTD,Gorelik還談到了零信任模型,一種基於最小權限和最嚴格驗證的安全架構。他認為,零信任模型是一種有效的防禦策略,但也需要配合其他技術,如MTD,來提供全面的保護。他說,零信任模型可以防止橫向移動和內部威脅,但無法防止直接針對端點的攻擊,如網絡釣魚或供應鏈攻擊。
最後,Gorelik分享了他對未來安全趨勢的預測,包括以下幾點:
- 攻擊者將繼續利用人類的弱點,如貪婪、好奇或恐懼,來發動社交工程攻擊。
- 攻擊者將利用更多的供應鏈攻擊,如SolarWinds或Log4j,來繞過安全防護,並影響更多的目標。
- 攻擊者將利用更多的加密貨幣和隱私幣,如Monero,來進行勒索或竊取資金,並逃避追蹤和懲罰。
- 防禦者將利用更多的人工智慧和機器學習,來提高安全分析和自動化的能力,並減少人為的錯誤和延遲。
- 防禦者將利用更多的雲端和邊緣計算,來提高安全的彈性和可擴展性,並應對更多的威脅場景。
詳情請看:
Creating a formula for effective vulnerability prioritization