為什么AMTD（自動移動目標防御）正成為網絡安全的新范式？

Gartner在今年2月底的一份報告中指出，AMTD（自動移動目標防御）是網絡安全的未來。所謂AMTD是一種新興的改變游戲規則的技術，通過積極主動地改變目標狀態，變換暴露在敵人面前的攻擊面，以削減攻擊者有效發動攻擊的能力。

Gartner認為，該技術將進一步改進現有的網絡防御技術，同時Gartner進一步預測：“到2025年，25%的云應用程序將利用AMTD功能和概念作為內置預防方法，增強現有的云Web應用程序和API保護（WAAP）技術?！?/p>

為什么AMTD會成為新的網絡安全技術趨勢？對于企業而言，AMTD到底有什么樣的價值？

AMTD的價值

在談到AMTD之前，先來聊聊MTD。

MTD通過使用系統多態性來防止未知和零日攻擊，以不可預測的方式隱藏應用程序、操作系統和其他關鍵資產目標，導致攻擊面大幅減少，安全運營成本降低。此前Gartner已連續兩年將MTD作為一種變革性的安全技術，認為MTD有望從根本上改變當前網絡“易攻難守”的局面。

從定義可以看出，MTD是一種預防為主的網絡攻擊方法，它的運作原理是移動的目標比固定的目標更難擊中，因此可以通過動態或靜態排列、變形、變換或混淆應用訪問入口，來達到轉移網絡攻擊的目的。此外，MTD還可以設置陷阱，捕捉威脅者的行動，以進一步防范未來的攻擊。通過MTD技術的引用，企業可以將漏洞和弱點隱藏起來，讓勒索軟件和其他高級攻擊造成損害之前就被發現并快速得到阻斷。

AMTD作為MTD的一種演變，基于“移動目標”的基本前提，比固定的攻擊更難攻擊。它涉及到使用了精心編排的策略，在各種IT環境組件中移動或更改攻擊面，以增加目標系統內的不確定性和復雜性。長期以來，網絡安全的主流范式一直側重于檢測和響應，這種方法本質上是被動的，但是AMTD的應用，將改變一直以來的攻防力量態勢，當防御系統保持移動狀態時，它會比攻擊者領先一步。

這種理念與瑞數信息的核心技術——動態安全不謀而合。瑞數信息早在進入網絡安全領域之初，就提出了“先發制人、掌握先機”的防護哲學，以動態技術為支撐，通過變化多端且難以捉摸的動態安全機制迷惑攻擊者，大幅提高攻擊的“不可預測性”，并且不依賴于規則和特征，讓安全防護從無止盡的尋找攻擊樣本中解脫出來，引領其從靜態防御逐步走向動態防御、從被動防御走向主動防御。

AMTD的發展三階段

Gartner認為，AMTD的技術發展會經歷三個主要階段：

• 階段1：創建一個動態的、不斷變化的環境

第一階段側重于創造一個動態的、不斷變化的環境，這使得攻擊者很難發現和利用系統中的漏洞。這可能涉及到諸如定期改變網絡配置、使用多層加密或利用欺騙技術進行誤導攻擊者。

作為動態安全技術的首創者，瑞數信息充分展示了其強大的動態防御能力，比如：

• 動態封裝：對網頁底層代碼做動態封裝，隱藏攻擊入口，升攻擊難度。
• 動態驗證：運行環境驗證，有效甄別“人”還是“自動化”攻擊，打擊自動化攻擊的有效工具。
• 動態混淆：對客戶端敏感數據進行混淆，保護數據傳輸安全，保護終端請求內容及交易內容。
• 動態令牌：一次性動態令牌，確保執行正確的業務邏輯，保障業務邏輯正確運行。

基于瑞數信息獨特的動態驗證、封裝、混淆、令牌四大動態安全技術，企業可實現多種動態干擾功能：web代碼混淆、JS混淆、前端反調試、Cookie混淆、中間人檢測等，大幅提升攻擊難度與成本，有效進行人機識別。

針對困擾企業的0day漏洞，瑞數動態安全技術可利用工具請求難以應對非預期響應內容與行為出發，一旦識別到是工具行為，就可以直接對0day攻擊進行阻斷，實現對業務的動態保護。

通過不斷創新與延展的動態安全，瑞數信息從根本上改變被動防御依賴特征和規則的弊端，通過使用與攻擊者類似的技術，如多態性、欺騙性和逃避性，使得攻擊者無法準確識別攻擊目標，或大幅拉升攻擊成本以被迫放棄攻擊。

• 階段2：構建能夠快速適應新威脅的系統

第二階段側重于構建能夠快速適應新環境的系統環境中的威脅和變化。這可能涉及到使用人工的智能和ML算法，可以分析進入的威脅和自動實時實施對策。

瑞數信息認為，通過動態安全疊加AI技術，對模擬真人等高度隱蔽性的異常訪問行為進行實時分析，能夠實現更加精準的人機識別，識別各類已知與未知的攻擊。

因此，瑞數信息在動態安全的基礎上，融入語義分析、流量自學習、智能web攻擊和欺詐行為檢測等技術，對潛在和更加隱蔽的攻擊行為進行更深層次的分析挖掘，從而不再受制于復雜繁瑣的攻擊特征與行為規則。在實現全鏈路的智能行為追蹤的同時，提供攻擊趨勢預判、高隱蔽性異常行為透視、未知威脅行為溯源等更智能的安全分析，以及更及時的處置建議和聯動機制。2022年，瑞數信息AI團隊亦在“第三屆中國人工智能大賽”上斬獲網絡安全方向A級冠軍，證明了瑞數信息在AI人工智能方向的強勁實力。

如今，瑞數信息在AI技術研發上仍在不斷精進，主要包括三個方向：惡意內容識別，包含SQL注入、XSS及Webshell等；攻擊行為檢測，包含自動化威脅識別、協同攻擊檢測與用戶異常行為分析等；勒索加密檢測，包含對文件系統與數據庫的勒索加密檢測。

• 階段3：開發主動防御的先進技術

第三個階段側重于開發能夠積極防御的先進技術自主對抗攻擊。這涉及到使用諸如先進的入侵檢測和預防系統，甚至是自動化系統，它可以進行積極的網絡防御。這些技術不僅旨在預防攻擊，但也會在威脅可能造成傷害之前積極地尋找和消除威脅。

瑞數信息作為中國Bots自動化攻擊防護領域的專業廠商，以下一代WAF – WAAP的整體安全能力補足了現有的安全盲點，能夠有效抵御各類自動化攻擊，幫助企業客戶在Bots自動化攻擊、0day攻擊、DDoS攻擊、API攻擊等多重攻擊場景中實現真正覆蓋Web、APP、云和API資產的一體化防御。

如今，基于“動態安全”主動式防護技術，瑞數下一代WAF – WAAP平臺已廣泛應用在運營商、金融、政府、教育、醫院、企業客戶中，幫助各類組織機構有效抗擊黑產，降低其安全風險和經濟損失。未來，瑞數信息也將繼續秉承“動態安全”和“主動防御”的安全理念，在安全對抗未知與不確定性的過程中，不斷地發展和提升主動防御技能，助力企業持續構建更加全面、安全、可控的主動安全防御體系。