为什么AMTD（自动移动目标防御）正成为网络安全的新范式？

Gartner在今年2月底的一份报告中指出，AMTD(自动移动目标防御)是网络安全的未来。所谓AMTD是一种新兴的改变游戏规则的技术，通过积极主动地改变目标状态，变换暴露在敌人面前的攻击面，以削减攻击者有效发动攻击的能力。Gartner认为，该技术将进一步改进现有的网络防御技术，同时Gartner进一步预测：“到2025年，25%的云应用程序将利用AMTD功能和概念作为内置预防方法，增强现有的云Web应用程序和API保护(WAAP)技术。”

为什么AMTD会成为新的网络安全技术趋势?对于企业而言，AMTD到底有什么样的价值?

AMTD的价值

在谈到AMTD之前，先来聊聊MTD。

MTD通过使用系统多态性来防止未知和零日攻击，以不可预测的方式隐藏应用程序、操作系统和其他关键资产目标，导致攻击面大幅减少，安全运营成本降低。此前Gartner已连续两年将MTD作为一种变革性的安全技术，认为MTD有望从根本上改变当前网络“易攻难守”的局面。

从定义可以看出，MTD是一种预防为主的网络攻击方法，它的运作原理是移动的目标比固定的目标更难击中，因此可以通过动态或静态排列、变形、变换或混淆应用访问入口，来达到转移网络攻击的目的。此外，MTD还可以设置陷阱，捕捉威胁者的行动，以进一步防范未来的攻击。通过MTD技术的引用，企业可以将漏洞和弱点隐藏起来，让勒索软件和其他高级攻击造成损害之前就被发现并快速得到阻断。

AMTD作为MTD的一种演变，基于“移动目标”的基本前提，比固定的攻击更难攻击。它涉及到使用了精心编排的策略，在各种IT环境组件中移动或更改攻击面，以增加目标系统内的不确定性和复杂性。长期以来，网络安全的主流范式一直侧重于检测和响应，这种方法本质上是被动的，但是AMTD的应用，将改变一直以来的攻防力量态势，当防御系统保持移动状态时，它会比攻击者领先一步。

这种理念与瑞数信息的核心技术——动态安全不谋而合。瑞数信息早在进入网络安全领域之初，就提出了“先发制人、掌握先机”的防护哲学，以动态技术为支撑，通过变化多端且难以捉摸的动态安全机制迷惑攻击者，大幅提高攻击的“不可预测性”，并且不依赖于规则和特征，让安全防护从无止尽的寻找攻击样本中解脱出来，引领其从静态防御逐步走向动态防御、从被动防御走向主动防御。

AMTD的发展三阶段

Gartner认为，AMTD的技术发展会经历三个主要阶段：

阶段1：创建一个动态的、不断变化的环境

第一阶段侧重于创造一个动态的、不断变化的环境，这使得攻击者很难发现和利用系统中的漏洞。这可能涉及到诸如定期改变网络配置、使用多层加密或利用欺骗技术进行误导攻击者。

作为动态安全技术的首创者，瑞数信息充分展示了其强大的动态防御能力，比如：

动态封装：对网页底层代码做动态封装，隐藏攻击入口，升攻击难度。

动态验证：运行环境验证，有效甄别“人”还是“自动化”攻击，打击自动化攻击的有效工具。

动态混淆：对客户端敏感数据进行混淆，保护数据传输安全，保护终端请求内容及交易内容。

动态令牌：一次性动态令牌，确保执行正确的业务逻辑，保障业务逻辑正确运行。

基于瑞数信息独特的动态验证、封装、混淆、令牌四大动态安全技术，企业可实现多种动态干扰功能：web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等，大幅提升攻击难度与成本，有效进行人机识别。

针对困扰企业的0day漏洞，瑞数动态安全技术可利用工具请求难以应对非预期响应内容与行为出发，一旦识别到是工具行为，就可以直接对0day攻击进行阻断，实现对业务的动态保护。

通过不断创新与延展的动态安全，瑞数信息从根本上改变被动防御依赖特征和规则的弊端，通过使用与攻击者类似的技术，如多态性、欺骗性和逃避性，使得攻击者无法准确识别攻击目标，或大幅拉升攻击成本以被迫放弃攻击。

阶段2：构建能够快速适应新威胁的系统

第二阶段侧重于构建能够快速适应新环境的系统环境中的威胁和变化。这可能涉及到使用人工的智能和ML算法，可以分析进入的威胁和自动实时实施对策。

瑞数信息认为，通过动态安全叠加AI技术，对模拟真人等高度隐蔽性的异常访问行为进行实时分析，能够实现更加精准的人机识别，识别各类已知与未知的攻击。

因此，瑞数信息在动态安全的基础上，融入语义分析、流量自学习、智能web攻击和欺诈行为检测等技术，对潜在和更加隐蔽的攻击行为进行更深层次的分析挖掘，从而不再受制于复杂繁琐的攻击特征与行为规则。在实现全链路的智能行为追踪的同时，提供攻击趋势预判、高隐蔽性异常行为透视、未知威胁行为溯源等更智能的安全分析，以及更及时的处置建议和联动机制。2022年，瑞数信息AI团队亦在“第三届中国人工智能大赛”上斩获网络安全方向A级冠军，证明了瑞数信息在AI人工智能方向的强劲实力。

如今，瑞数信息在AI技术研发上仍在不断精进，主要包括三个方向：恶意内容识别，包含SQL注入、XSS及Webshell等;攻击行为检测，包含自动化威胁识别、协同攻击检测与用户异常行为分析等;勒索加密检测，包含对文件系统与数据库的勒索加密检测。

阶段3：开发主动防御的先进技术

第三个阶段侧重于开发能够积极防御的先进技术自主对抗攻击。这涉及到使用诸如先进的入侵检测和预防系统，甚至是自动化系统，它可以进行积极的网络防御。这些技术不仅旨在预防攻击，但也会在威胁可能造成伤害之前积极地寻找和消除威胁。

瑞数信息作为中国Bots自动化攻击防护领域的专业厂商，以下一代WAF - WAAP的整体安全能力补足了现有的安全盲点，能够有效抵御各类自动化攻击，帮助企业客户在Bots自动化攻击、0day攻击、DDoS攻击、API攻击等多重攻击场景中实现真正覆盖Web、APP、云和API资产的一体化防御。

如今，基于“动态安全”主动式防护技术，瑞数下一代WAF - WAAP平台已广泛应用在运营商、金融、政府、教育、医院、企业客户中，帮助各类组织机构有效抗击黑产，降低其安全风险和经济损失。未来，瑞数信息也将继续秉承“动态安全”和“主动防御”的安全理念，在安全对抗未知与不确定性的过程中，不断地发展和提升主动防御技能，助力企业持续构建更加全面、安全、可控的主动安全防御体系。