您的位置:计世网 - 安全

当WannaCry来临,思科做了什么?

宋辰-2017.06.14 12:23 0条评论 安全

5月12日,全球范围内爆发了一次大规模的利用了恶意软件自我传播方式进行攻击的勒索软件感染事件,这再一次拉响了全球网络安全的警钟。

据报道,已有90多个国家多达75000台电脑受到此勒索软件的影响,波及能源、交通、制造、医疗、快递、教育、金融等各个行业,造成的损失和负面影响前所未有。这个名为WannaCry的恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

在当今世界,勒索软件带来的网络安全隐患正不断增加。2016年可谓是“勒索软件爆发年”,仅仅前三个月勒索软件的敲诈金额就高达2.09亿美元,攻击瞄准的目标企业户用增加了6倍。

为了逃避检测,勒索软件会不断演进而且变得更加普遍且具有弹性,自我传播勒索软件将是该领域的下一步棋。

当WannaCry来临,思科从哪些方面进行了防御?

第一时间响应

3月14日,Microsoft发布了一个针对新的SMB漏洞的补丁(MS17-010)。当天,思科Talos团队立即发布了Snort签名#41978用以防御MS17-010中识别的漏洞。

在5月12日WannaCry大规模爆发当天,思科Talos团队作为全球最大的安全威胁情报研究中心,通过分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势,提供了完全真实环境下的威胁信息。

同时,思科Talos第一时间向公众发布了一系列文章,对WannaCry进行了全面的技术分析,包括文件分析、域名/IP分析、程序分析、漏洞分析等,全面阐释了勒索软件原理。

思科Talos团队包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家,都是思科Talos的成员。这个团队同时得到了Snort、ClamAV、Senderbase.org和Spamcop.net社区的资源支持,使得它成为网络安全行业最大的安全研究团队,也为思科的安全研究和安全产品服务提供了强大的后盾支持。

极往知来未雨绸缪

能够在猝不及防的网络攻击发生时第一时间采取行动,这绝非偶然。在此次WannaCry勒索软件感染事件发生之前,思科提前预测到了恶意软件的爆发趋势以及网络安全领域所面临的挑战。

早在2016年,思科Talos团队就发布了《勒索软件:过去、现在和未来》,对勒索软件的演变趋势进行了详尽描述,基于勒索软件的最新动态,指出了高效自我传播型恶意软件的特性,并极具前瞻性地对未来勒索软件提供了防御指导。思科Talos敏锐地捕捉到恶意软件的攻击重点正从个人最终用户转向以整个网络为攻击目标这一变化趋势。同时,思科Talos也对长期以蠕虫和僵尸网络形式存在的自我传播型恶意软件进行了深入分析。

此外,在今年初发布的思科2017年度网络安全报告(ACR)中,思科对于勒索软件等不断演进的网络犯罪和不断变化的安全攻击进行了全面解析,并在报告中指出,通过利用安全有效性缺口,犯罪分子正带动“传统”攻击载体的复兴,例如广告软件和垃圾邮件。目前65%的组织在其环境中至少使用6种到50种以上的安全产品。随着互联网在速度、连网设备和流量方面不断增长,多种安全产品的同时使用使网络保护变得更为复杂和混乱,并形成安全有效性缺口。面对这些挑战,检测安全实践的有效性至关重要,而缩短“检测时间(即发生威胁到发现威胁之间的时间差)”可有效限制攻击者的操作空间并最大限度减少入侵造成的损失。目前,思科已成功将检测时间从2016年初的平均14小时减少到了2016下半年的6小时,相比之下行业标准检测时间需要100天甚至更久。

思科的趋势预测和防御方法在此次爆发的WannaCry勒索软件感染事件中均得到了进一步验证,思科不仅力求检测尽可能多的威胁,而且不断提高处理威胁的速度,从而大幅减少攻击者的活动时间。

集成架构全面防御

虽然WannaCry风波暂时告一段落,但是勒索软件的威胁远没有消失,继续呈现出常态化的趋势。深谙新型攻击将接踵而至,思科Talos持续监控电子邮件威胁环境,紧密跟踪出现的新威胁和现有威胁的变化。在WannaCry勒索软件爆发后,思科Talos又观察到几次大规模的电子邮件攻击活动,它们试图传播一种名为“Jaff”的全新勒索软件变种。这是全球掀起的新恶意软件变种的又一示例,思科Talos再一次对其进行了深度解析,及时提出规避方法,保障思科安全用户网络安全无虞。

目前IT安全行业发展面临着因产品极度复杂、趋向碎片化且彼此相互隔离而造成的孤岛问题。思科认为孤岛问题的解决有赖于集成架构。所谓集成架构,就是利用产品结合在一起所产生的协同效应,使整体解决方案的效果大于单个产品效果的简单叠加。

思科拥有有效的安全产品组合,同时,思科创建的集成架构能够不断增强安全有效性,消除孤岛问题,帮助实现安全的简单性,更快地检测并响应威胁。凭借一流的产品组合和集成架构,思科能够助力客户提升安全有效性。

针对全球不断演变的各类勒索软件及其变体,思科提供了领先的防御思路、集成的架构和覆盖勒索软件攻击全过程的解决方案,对Web和邮件等勒索软件的重要传播路径实现高效防护,助力客户针对勒索软件实现“一次发现,全面防护”:

思科动态威胁防御模型 —— Before, During, After覆盖勒索软件攻击全过程

  • NGFWNGIPS在互联网出口检测并阻挡恶意勒索软件的进入:思科新一代防火墙(NGFW)和Firepower NGIPS产品凭借出色的自适应能力,采用威胁防御为核心的设计架构,能够在攻击发生的整个过程提供威胁保护。在NSS Labs最新发布的2017下一代防火墙(NGFW)安全价值图(Security Value Map)中,思科新一代防火墙Firepower 4110 处于领导者位置。

 

NSS Labs 2017下一代防火墙(NGFW)安全价值图(SVM)

此外,NGIPS功能在新一代防火墙中起到非常重要的作用,而思科的NGIPS在Gartner 2017 IPS魔力象限报告里一直处于领导者象限。

 

2017 Gartner入侵检测与防御魔力象限

  • 邮件安全防护切断传播途径:电子邮件在加密勒索软件传播途径中所占比例最大,因此应将邮件防御视为重要的防护手段。思科邮件安全网关以云安全防御中心Talos为核心,借助全球最大的IP地址信誉库,采用智能威胁分析技术,能够对带有勒索软件的邮件进行快速发现、分析和响应,检测并阻挡恶意勒索软件通过邮件的方式进入网络。

  • Web安全网关拦截钓鱼网站的访问:思科Web安全网关(简称WSA)是业界唯一的将传统的URL网站过滤、网站信誉过滤和恶意软件过滤功能集中到单一平台,来进行威胁防御的Web安全设备。借助于思科Talos安全情报中心的安全服务和AMP高级恶意代码保护技术,思科WSA能够帮助用户在用户上网行为、数据泄露预防和恶意代码防护方面进行全面的防护。

  • AMP阻挡勒索软件的传播:思科AMP(高级恶意软件防护)技术,提供基于网络和终端的恶意软件防护,超越了单纯时间点检测方法,可在攻击的整个过程(攻击前、攻击中和攻击后)对文件和流量进行持续分析,能够回溯并跟踪文件的传播活动和通信,有助于实现追溯性安全,帮助用户了解感染或威胁的完整范围,确定根本原因并进行防御。近日,面向终端的思科AMP2017年终端安全IDC Marketscape报告中荣膺领导者”。

  • Stealthwatch检测终端C&C连接行为:思科Stealthwatch能够实现网络可视化与异常行为分析,通过与现有的网络基础设施配合,利用交换机、路由器和防火墙等安全设备的Netflow信息,对用户终端设备和网络流量进行分析并检测各种异常行为,包括零日恶意软件、分布式拒绝服务(DDoS)攻击、内部威胁和高级持久性威胁(APT),甚至用户终端与C&C主机的通信行为。

  • Umbrella(OpenDNS)服务切断恶意域名解析:思科Umbrella (OpenDNS)服务通过为用户和企业提供DNS解析服务,能够实现更安全、更快捷和更智能的域名解析,同时通过多项专利技术收集恶意网站列表,当用户访问某些恶意网站或钓鱼网站时,OpenDNS的解析服务能够帮助判断这些网站是否为恶意网站,甚至对其进行封锁。

  • 安全服务:思科安全服务可帮助企业从自身的网络安全计划和技术投资中获取最大回报。使用思科安全服务的组织可以获得顾问和技术专家的帮助,从而为员工提供最新的知识和能力支持。针对勒索软件,思科安全服务提供远程漏洞扫描和钓鱼软件模拟攻击测试等高级服务。

文章评论

关注作者的人