部落格來源網址:Introducing Proactive Hardening and Attack Surface Reduction (PHASR) for Linux and macOS


隨著 Linux 成為雲原生基礎架構的主流,而 macOS 也逐漸成為開發團隊與高階主管等高價值目標的標準作業環境,
為了因應這類攻擊面風險,Bitdefender 將其 Proactive Hardening and Attack Surface Reduction(PHASR)技術擴展至 Linux 與 macOS,進一步補強既有的 Windows 強化能力,並整合於 GravityZone 統一安全平台之中。

預防:第一道防線
GravityZone PHASR 作為預防策略的核心基礎層,透過 AI 驅動的行為分析引擎,將資安從被動式偵測轉向主動式強化。

當 PHASR 作為 Bitdefender Endpoint Security Tools(BEST)的一部分部署於完整 GravityZone 架構中時,可在 Windows、macOS 與 Linux 環境提供一致且細緻的防護能力。
不同於「一體適用」的傳統安全模式,PHASR 採用無縫且可調適的防禦機制。
例如,在 Linux 環境中,PHASR 不需要完全停用 shred 工具,而是僅限制其修改檔案權限以取得未授權寫入能力的行為。在 Windows 環境中,則可限制 PowerShell 執行編碼腳本或對外建立網路連線,同時保留其合法管理功能。

PHASR 提供兩種操作模式,以平衡自動化與管理控制需求:
- 第一種為 Autopilot 模式,透過 AI 行為分析自動管理限制策略。
- 第二種為 Direct Control 模式,提供可執行的建議,由管理員進行細部審核與手動套用。
這使企業能針對以下五類攻擊向量建立客製化防禦策略:
- LOTL 工具
攻擊者濫用系統內建的管理與維運工具,在正常系統活動中隱藏惡意行為。 - 竄改工具
用於修改軟體或繞過安全控制,以停用防禦機制的工具。 - 破解工具
用於繞過軟體授權限制的非法工具。 - 挖礦工具
未經授權的加密貨幣挖礦工具,會占用系統資源並降低效能。 - 遠端管理工具
原本合法的遠端管理工具,遭攻擊者武器化後,用於未授權存取或資料竊取。
即使某項工具或行為已被自動或手動封鎖,PHASR 的 Request Access 功能仍可確保營運不中斷。

經管理員核准後,PHASR 會開放存取權限,並自動更新行為規則;
PHASR 是怎樣發揮作用以對抗對手的呢?
為了說明 PHASR 的實際防禦效果,以下以 Linux 環境中的典型攻擊情境為例:
為了確保即使初始入口遭封鎖後仍能重新返回系統,
接著,攻擊者可能透過 dnscat2 等 command-and-control(C2)
為了掩蓋痕跡並避免後續鑑識分析,攻擊者還可能濫用 shred 工具覆寫關鍵日誌與鑑識資料,試圖讓調查人員失去可視性。
在雲原生 Linux 環境中,攻擊最終通常會轉向資源變現,例如部署 cpuminer 等挖礦工具,占用 CPU 資源,導致系統效能下降並增加營運成本。
PHASR 能針對此類情境中的每一項工具與具體操作建立限制規則,
更重要的是,PHASR 的限制策略會迫使攻擊者產生更多異常行為,
總結
PHASR 擴展至主流作業系統平台後,進一步強化了企業的預防層能力,
藉由限制 LOTL 工具等高風險合法工具的使用,PHASR 能迫使攻擊者暴露更多異常行為,提高偵測機率。
想了解您的環境目前暴露了哪些風險?Bitdefender 提供免費的內部攻擊面評估,
如需進一步了解 PHASR 與相關效益,深入了解 PHASR 的技術能力與運作原理,歡迎隨時與我們聯繫。




