在當(dāng)今世界，勒索軟件帶來的網(wǎng)絡(luò)安全隱患正不斷增加。2016年可謂是“勒索軟件爆發(fā)年”，僅僅前三個(gè)月勒索軟件的敲詐金額就高達(dá)2.09億美元，攻擊瞄準(zhǔn)的目標(biāo)企業(yè)戶用增加了6倍。為了逃避檢測，勒索軟件會(huì)不斷演進(jìn)而且變得更加普遍且具有彈性，自我傳播勒索軟件將是該領(lǐng)域的下一步棋。2017年5月12日，全球范圍內(nèi)爆發(fā)的一次大規(guī)模的勒索軟件感染事件正是利用了惡意軟件自我傳播方式進(jìn)行攻擊，再一次拉響了全球網(wǎng)絡(luò)安全的警鐘。

　　? 據(jù)報(bào)道已有90多個(gè)國家多達(dá)75000臺(tái)電腦受到此勒索軟件的影響，波及能源、交通、制造、醫(yī)療、快遞、教育、金融等各個(gè)行業(yè)，造成的損失和負(fù)面影響前所未有。這個(gè)名為WannaCry的惡意軟件會(huì)掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。

　　思科Talos第一時(shí)間響應(yīng) 提供深入洞察全面解析

　　2017年3月14日，Microsoft發(fā)布了一個(gè)針對(duì)新的SMB漏洞的補(bǔ)丁(MS17-010)。當(dāng)天，思科Talos作為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)，立即發(fā)布了Snort簽名#41978用以防御MS17-010中識(shí)別的漏洞。

　　在5月12日WannaCry大規(guī)模爆發(fā)的當(dāng)天，思科Talos團(tuán)隊(duì)作為全球最大的安全威脅情報(bào)研究中心，通過分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢，提供了完全真實(shí)環(huán)境下的威脅信息，不僅為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持，更成為捍衛(wèi)全球企業(yè)和個(gè)人網(wǎng)絡(luò)安全的有力武器。思科Talos第一時(shí)間向公眾發(fā)布了一系列文章，對(duì)WannaCry進(jìn)行了業(yè)界最為全面的技術(shù)分析，包括文件分析、域名/IP分析、程序分析、漏洞分析等，全面闡釋了勒索軟件原理。一方面，思科Talos為思科用戶提供了全面集成的解決方案，使其免受勒索軟件侵害，并憑借思科針對(duì)勒索軟件的防御方案幫助用戶利用已有的思科安全產(chǎn)品為未來安全做好規(guī)劃并提供指導(dǎo);另一方面，思科Talos也為非思科用戶提供了緊急防御最新勒索軟件的基本操作方法，幫助其利用已有平臺(tái)進(jìn)行快速的臨時(shí)威脅緩解。在這場聲勢浩大的勒索軟件感染事件中，思科及其Talos團(tuán)隊(duì)及時(shí)快速的響應(yīng)，充分體現(xiàn)了思科作為全球安全領(lǐng)導(dǎo)廠商的先進(jìn)性、開放性和責(zé)任感。

　　極往知來未雨綢繆 思科前瞻預(yù)測勒索軟件

　　能夠在猝不及防的網(wǎng)絡(luò)攻擊發(fā)生時(shí)第一時(shí)間采取行動(dòng)，這絕非偶然。在此次WannaCry勒索軟件感染事件發(fā)生之前，思科就憑借著業(yè)界領(lǐng)先的洞察，提前預(yù)測到了惡意軟件的爆發(fā)趨勢以及網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)。

　　早在2016年，思科Talos就發(fā)布了《勒索軟件：過去、現(xiàn)在和未來》，對(duì)勒索軟件的演變趨勢進(jìn)行了詳盡描述，基于勒索軟件的最新動(dòng)態(tài)，指出了高效自我傳播型惡意軟件的特性，并極具前瞻性地對(duì)未來勒索軟件提供了防御指導(dǎo)。思科Talos敏銳地捕捉到惡意軟件的攻擊重點(diǎn)正從個(gè)人最終用戶轉(zhuǎn)向以整個(gè)網(wǎng)絡(luò)為攻擊目標(biāo)這一變化趨勢。同時(shí)，思科Talos也對(duì)長期以蠕蟲和僵尸網(wǎng)絡(luò)形式存在的自我傳播型惡意軟件進(jìn)行了深入分析。

　　此外，在今年初發(fā)布的思科2017年度網(wǎng)絡(luò)安全報(bào)告(ACR)中，思科對(duì)于勒索軟件等不斷演進(jìn)的網(wǎng)絡(luò)犯罪和不斷變化的安全攻擊進(jìn)行了全面解析，并在報(bào)告中指出，通過利用安全有效性缺口，犯罪分子正帶動(dòng)“傳統(tǒng)”攻擊載體的復(fù)興，例如廣告軟件和垃圾郵件。目前65%的組織在其環(huán)境中至少使用6種到50種以上的安全產(chǎn)品。隨著互聯(lián)網(wǎng)在速度、連網(wǎng)設(shè)備和流量方面不斷增長，多種安全產(chǎn)品的同時(shí)使用使網(wǎng)絡(luò)保護(hù)變得更為復(fù)雜和混亂，并形成安全有效性缺口。面對(duì)這些挑戰(zhàn)，檢測安全實(shí)踐的有效性至關(guān)重要，而縮短“檢測時(shí)間(即發(fā)生威脅到發(fā)現(xiàn)威脅之間的時(shí)間差)”可有效限制攻擊者的操作空間并最大限度減少入侵造成的損失。目前，思科已成功將檢測時(shí)間從2016年初的平均14小時(shí)減少到了2016下半年的6小時(shí)，相比之下行業(yè)標(biāo)準(zhǔn)檢測時(shí)間需要100天甚至更久。

　　思科極具前瞻性的趨勢預(yù)測和切實(shí)有效的防御方法在此次爆發(fā)的WannaCry勒索軟件感染事件中均得到了進(jìn)一步驗(yàn)證，思科不僅力求檢測盡可能多的威脅，而且不斷提高處理威脅的速度，從而大幅減少攻擊者的活動(dòng)時(shí)間。這充分體現(xiàn)了思科及其Talos團(tuán)隊(duì)對(duì)于惡意勒索軟件演變趨勢的精準(zhǔn)把握以及對(duì)于全球網(wǎng)絡(luò)安全宏觀環(huán)境的深入洞察。

　　網(wǎng)絡(luò)安全任重道遠(yuǎn) 思科集成架構(gòu)全面防御

　　WannaCry勒索軟件感染事件的大規(guī)模爆發(fā)使網(wǎng)絡(luò)安全面臨的嚴(yán)峻挑戰(zhàn)再次成為行業(yè)和公眾關(guān)注的焦點(diǎn)。雖然這場風(fēng)波暫時(shí)告一段落，但是勒索軟件的威脅遠(yuǎn)沒有消失，繼續(xù)呈現(xiàn)出常態(tài)化的趨勢。深諳新型攻擊將接踵而至，思科Talos持續(xù)監(jiān)控電子郵件威脅環(huán)境，緊密跟蹤出現(xiàn)的新威脅和現(xiàn)有威脅的變化。在WannaCry勒索軟件爆發(fā)后，思科Talos又觀察到幾次大規(guī)模的電子郵件攻擊活動(dòng)，它們?cè)噲D傳播一種名為“Jaff”的全新勒索軟件變種。這是全球掀起的新惡意軟件變種的又一示例，思科Talos再一次對(duì)其進(jìn)行了深度解析，及時(shí)提出規(guī)避方法，保障思科安全用戶網(wǎng)絡(luò)安全無虞。

　　目前IT安全行業(yè)發(fā)展面臨著因產(chǎn)品極度復(fù)雜、趨向碎片化且彼此相互隔離而造成的孤島問題。思科認(rèn)為孤島問題的解決有賴于集成架構(gòu)。所謂集成架構(gòu)，就是利用產(chǎn)品結(jié)合在一起所產(chǎn)生的協(xié)同效應(yīng)，使整體解決方案的效果大于單個(gè)產(chǎn)品效果的簡單疊加。

　　思科擁有業(yè)界最有效的安全產(chǎn)品組合,同時(shí)，思科創(chuàng)建的集成架構(gòu)能夠不斷增強(qiáng)安全有效性，消除孤島問題，幫助實(shí)現(xiàn)安全的簡單性，更快地檢測并響應(yīng)威脅。憑借一流的產(chǎn)品組合和集成架構(gòu)，思科能夠助力客戶提升安全有效性。

　　針對(duì)全球不斷演變的各類勒索軟件及其變體，思科提供了領(lǐng)先的防御思路、集成的架構(gòu)和覆蓋勒索軟件攻擊全過程的解決方案，對(duì)Web和郵件等勒索軟件的重要傳播路徑實(shí)現(xiàn)高效防護(hù)，助力客戶針對(duì)勒索軟件實(shí)現(xiàn)“一次發(fā)現(xiàn)，全面防護(hù)”：

                   思科動(dòng)態(tài)威脅防御模型 —— Before, During, After覆蓋勒索軟件攻擊全過程

　　 NGFW與NGIPS在互聯(lián)網(wǎng)出口檢測并阻擋惡意勒索軟件的進(jìn)入：思科新一代防火墻(NGFW)和Firepower NGIPS產(chǎn)品憑借出色的自適應(yīng)能力，采用威脅防御為核心的設(shè)計(jì)架構(gòu)，能夠在攻擊發(fā)生的整個(gè)過程提供威脅保護(hù)。在NSS Labs最新發(fā)布的2017下一代防火墻(NGFW)安全價(jià)值圖(Security Value Map)中，思科新一代防火墻Firepower 4110 處于領(lǐng)導(dǎo)者位置。

                          　NSS Labs 2017下一代防火墻(NGFW)安全價(jià)值圖(SVM)

　　此外，NGIPS功能在新一代防火墻中起到非常重要的作用，而思科的NGIPS在Gartner 2017 IPS魔力象限報(bào)告里一直處于領(lǐng)導(dǎo)者象限。

                              2017 Gartner入侵檢測與防御魔力象限

　　 郵件安全防護(hù)切斷傳播途徑：電子郵件在加密勒索軟件傳播途徑中所占比例最大，因此應(yīng)將郵件防御視為重要的防護(hù)手段。思科郵件安全網(wǎng)關(guān)以云安全防御中心Talos為核心，借助全球最大的IP地址信譽(yù)庫，采用智能威脅分析技術(shù)，能夠?qū)в欣账鬈浖泥]件進(jìn)行快速發(fā)現(xiàn)、分析和響應(yīng)，檢測并阻擋惡意勒索軟件通過郵件的方式進(jìn)入網(wǎng)絡(luò)。

　　 Web安全網(wǎng)關(guān)攔截釣魚網(wǎng)站的訪問：思科Web安全網(wǎng)關(guān)(簡稱WSA)是業(yè)界唯一的將傳統(tǒng)的URL網(wǎng)站過濾、網(wǎng)站信譽(yù)過濾和惡意軟件過濾功能集中到單一平臺(tái)，來進(jìn)行威脅防御的Web安全設(shè)備。借助于思科Talos安全情報(bào)中心的安全服務(wù)和AMP高級(jí)惡意代碼保護(hù)技術(shù)，思科WSA能夠幫助用戶在用戶上網(wǎng)行為、數(shù)據(jù)泄露預(yù)防和惡意代碼防護(hù)方面進(jìn)行全面的防護(hù)。

　　 AMP阻擋勒索軟件的傳播：思科AMP(高級(jí)惡意軟件防護(hù))技術(shù)，提供基于網(wǎng)絡(luò)和終端的惡意軟件防護(hù)，超越了單純時(shí)間點(diǎn)檢測方法，可在攻擊的整個(gè)過程(攻擊前、攻擊中和攻擊后)對(duì)文件和流量進(jìn)行持續(xù)分析，能夠回溯并跟蹤文件的傳播活動(dòng)和通信，有助于實(shí)現(xiàn)追溯性安全，幫助用戶了解感染或威脅的完整范圍，確定根本原因并進(jìn)行防御。近日，面向終端的思科AMP在2017年終端安全IDC Marketscape報(bào)告中榮膺“領(lǐng)導(dǎo)者”，充分肯定了思科AMP高級(jí)惡意軟件防護(hù)在攻擊防御、監(jiān)測和響應(yīng)中的領(lǐng)先技術(shù)和卓越表現(xiàn)。

　　 Stealthwatch檢測終端C&C連接行為：思科Stealthwatch能夠?qū)崿F(xiàn)網(wǎng)絡(luò)可視化與異常行為分析，通過與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施配合，利用交換機(jī)、路由器和防火墻等安全設(shè)備的Netflow信息，對(duì)用戶終端設(shè)備和網(wǎng)絡(luò)流量進(jìn)行分析并檢測各種異常行為，包括零日惡意軟件、分布式拒絕服務(wù)(DDoS)攻擊、內(nèi)部威脅和高級(jí)持久性威脅(APT)，甚至用戶終端與C&C主機(jī)的通信行為。

　　 Umbrella(OpenDNS)服務(wù)切斷惡意域名解析：思科Umbrella (OpenDNS)服務(wù)通過為用戶和企業(yè)提供DNS解析服務(wù)，能夠?qū)崿F(xiàn)更安全、更快捷和更智能的域名解析，同時(shí)通過多項(xiàng)專利技術(shù)收集惡意網(wǎng)站列表，當(dāng)用戶訪問某些惡意網(wǎng)站或釣魚網(wǎng)站時(shí)，OpenDNS的解析服務(wù)能夠幫助判斷這些網(wǎng)站是否為惡意網(wǎng)站，甚至對(duì)其進(jìn)行封鎖。

　　 安全服務(wù)：思科安全服務(wù)可幫助企業(yè)從自身的網(wǎng)絡(luò)安全計(jì)劃和技術(shù)投資中獲取最大回報(bào)。使用思科安全服務(wù)的組織可以獲得顧問和技術(shù)專家的幫助，從而為員工提供最新的知識(shí)和能力支持。針對(duì)勒索軟件，思科安全服務(wù)提供遠(yuǎn)程漏洞掃描和釣魚軟件模擬攻擊測試等高級(jí)服務(wù)。

　　思科不僅是全球最大的網(wǎng)絡(luò)公司，也是全球最大的網(wǎng)絡(luò)安全公司。思科及其Talos團(tuán)隊(duì)在網(wǎng)絡(luò)攻擊前提供極具前瞻性的行業(yè)洞察及對(duì)用戶環(huán)境的全面可見性，在網(wǎng)絡(luò)攻擊中進(jìn)行及時(shí)迅速的響應(yīng)及集成架構(gòu)的全面防御，在網(wǎng)絡(luò)攻擊后通過持續(xù)收集和分析數(shù)據(jù)追溯安全性。在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，思科憑借集成架構(gòu)，覆蓋全攻擊鏈，為全球安全用戶保駕護(hù)航。