思科Talos第一時間響應(yīng) 提供深入洞察全面解析
2017年3月14日,Microsoft發(fā)布了一個針對新的SMB漏洞的補丁(MS17-010)。當天,思科Talos作為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團隊,立即發(fā)布了Snort 簽名#41978用以防御MS17-010中識別的漏洞。
在5月12日WannaCry大規(guī)模爆發(fā)的當天,思科Talos團隊作為全球最大的安全威脅情報研究中心,通過分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢,提供了完全真實環(huán)境下的威脅信息,不僅為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持,更成為捍衛(wèi)全球企業(yè)和個人網(wǎng)絡(luò)安全的有力武器。思科Talos第一時間向公眾發(fā)布了一系列文章,對WannaCry進行了業(yè)界最為全面的技術(shù)分析,包括文件分析、域名/IP分析、程序分析、漏洞分析等,全面闡釋了勒索軟件原理。一方面,思科Talos為思科用戶提供了全面集成的解決方案,使其免受勒索軟件侵害,并憑借思科針對勒索軟件的防御方案幫助用戶利用已有的思科安全產(chǎn)品為未來安全做好規(guī)劃并提供指導(dǎo);另一方面,思科Talos也為非思科用戶提供了緊急防御最新勒索軟件的基本操作方法,幫助其利用已有平臺進行快速的臨時威脅緩解。在這場聲勢浩大的勒索軟件感染事件中,思科及其Talos團隊及時快速的響應(yīng),充分體現(xiàn)了思科作為全球安全領(lǐng)導(dǎo)廠商的先進性、開放性和責任感。
極往知來未雨綢繆 思科前瞻預(yù)測勒索軟件
能夠在猝不及防的網(wǎng)絡(luò)攻擊發(fā)生時第一時間采取行動,這絕非偶然。在此次WannaCry勒索軟件感染事件發(fā)生之前,思科就憑借著業(yè)界領(lǐng)先的洞察,提前預(yù)測到了惡意軟件的爆發(fā)趨勢以及網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)。
早在2016年,思科Talos就發(fā)布了《勒索軟件:過去、現(xiàn)在和未來》,對勒索軟件的演變趨勢進行了詳盡描述,基于勒索軟件的最新動態(tài),指出了高效自我傳播型惡意軟件的特性,并極具前瞻性地對未來勒索軟件提供了防御指導(dǎo)。思科Talos敏銳地捕捉到惡意軟件的攻擊重點正從個人最終用戶轉(zhuǎn)向以整個網(wǎng)絡(luò)為攻擊目標這一變化趨勢。同時,思科Talos也對長期以蠕蟲和僵尸網(wǎng)絡(luò)形式存在的自我傳播型惡意軟件進行了深入分析。
此外,在今年初發(fā)布的思科2017年度網(wǎng)絡(luò)安全報告(ACR)中,思科對于勒索軟件等不斷演進的網(wǎng)絡(luò)犯罪和不斷變化的安全攻擊進行了全面解析,并在報告中指出,通過利用安全有效性缺口,犯罪分子正帶動“傳統(tǒng)”攻擊載體的復(fù)興,例如廣告軟件和垃圾郵件。目前65%的組織在其環(huán)境中至少使用6種到50種以上的安全產(chǎn)品。隨著互聯(lián)網(wǎng)在速度、連網(wǎng)設(shè)備和流量方面不斷增長,多種安全產(chǎn)品的同時使用使網(wǎng)絡(luò)保護變得更為復(fù)雜和混亂,并形成安全有效性缺口。面對這些挑戰(zhàn),檢測安全實踐的有效性至關(guān)重要,而縮短“檢測時間(即發(fā)生威脅到發(fā)現(xiàn)威脅之間的時間差)”可有效限制攻擊者的操作空間并最大限度減少入侵造成的損失。目前,思科已成功將檢測時間從2016年初的平均14小時減少到了2016下半年的6小時,相比之下行業(yè)標準檢測時間需要100天甚至更久。
思科極具前瞻性的趨勢預(yù)測和切實有效的防御方法在此次爆發(fā)的WannaCry勒索軟件感染事件中均得到了進一步驗證,思科不僅力求檢測盡可能多的威脅,而且不斷提高處理威脅的速度,從而大幅減少攻擊者的活動時間。這充分體現(xiàn)了思科及其Talos團隊對于惡意勒索軟件演變趨勢的精準把握以及對于全球網(wǎng)絡(luò)安全宏觀環(huán)境的深入洞察。
網(wǎng)絡(luò)安全任重道遠 思科集成架構(gòu)全面防御
WannaCry勒索軟件感染事件的大規(guī)模爆發(fā)使網(wǎng)絡(luò)安全面臨的嚴峻挑戰(zhàn)再次成為行業(yè)和公眾關(guān)注的焦點。雖然這場風(fēng)波暫時告一段落,但是勒索軟件的威脅遠沒有消失,繼續(xù)呈現(xiàn)出常態(tài)化的趨勢。深諳新型攻擊將接踵而至,思科Talos持續(xù)監(jiān)控電子郵件威脅環(huán)境,緊密跟蹤出現(xiàn)的新威脅和現(xiàn)有威脅的變化。在WannaCry勒索軟件爆發(fā)后,思科Talos又觀察到幾次大規(guī)模的電子郵件攻擊活動,它們試圖傳播一種名為“Jaff”的全新勒索軟件變種。這是全球掀起的新惡意軟件變種的又一示例,思科Talos再一次對其進行了深度解析,及時提出規(guī)避方法,保障思科安全用戶網(wǎng)絡(luò)安全無虞。
目前IT安全行業(yè)發(fā)展面臨著因產(chǎn)品極度復(fù)雜、趨向碎片化且彼此相互隔離而造成的孤島問題。思科認為孤島問題的解決有賴于集成架構(gòu)。所謂集成架構(gòu),就是利用產(chǎn)品結(jié)合在一起所產(chǎn)生的協(xié)同效應(yīng),使整體解決方案的效果大于單個產(chǎn)品效果的簡單疊加。
思科擁有業(yè)界最有效的安全產(chǎn)品組合,同時,思科創(chuàng)建的集成架構(gòu)能夠不斷增強安全有效性,消除孤島問題,幫助實現(xiàn)安全的簡單性,更快地檢測并響應(yīng)威脅。憑借一流的產(chǎn)品組合和集成架構(gòu),思科能夠助力客戶提升安全有效性。
針對全球不斷演變的各類勒索軟件及其變體,思科提供了領(lǐng)先的防御思路、集成的架構(gòu)和覆蓋勒索軟件攻擊全過程的解決方案,對Web和郵件等勒索軟件的重要傳播路徑實現(xiàn)高效防護,助力客戶針對勒索軟件實現(xiàn)“一次發(fā)現(xiàn),全面防護”:
思科動態(tài)威脅防御模型 —— Before, During, After覆蓋勒索軟件攻擊全過程
NGFW與NGIPS在互聯(lián)網(wǎng)出口檢測并阻擋惡意勒索軟件的進入:思科新一代防火墻(NGFW)和Firepower NGIPS產(chǎn)品憑借出色的自適應(yīng)能力,采用威脅防御為核心的設(shè)計架構(gòu),能夠在攻擊發(fā)生的整個過程提供威脅保護。在NSS Labs最新發(fā)布的2017下一代防火墻(NGFW)安全價值圖(Security Value Map)中,思科新一代防火墻Firepower 4110 處于領(lǐng)導(dǎo)者位置。
NSS Labs 2017下一代防火墻(NGFW)安全價值圖(SVM)
此外,NGIPS功能在新一代防火墻中起到非常重要的作用,而思科的NGIPS在Gartner 2017 IPS魔力象限報告里一直處于領(lǐng)導(dǎo)者象限。
2017 Gartner入侵檢測與防御魔力象限
郵件安全防護切斷傳播途徑:電子郵件在加密勒索軟件傳播途徑中所占比例最大,因此應(yīng)將郵件防御視為重要的防護手段。思科郵件安全網(wǎng)關(guān)以云安全防御中心Talos為核心,借助全球最大的IP地址信譽庫,采用智能威脅分析技術(shù),能夠?qū)в欣账鬈浖泥]件進行快速發(fā)現(xiàn)、分析和響應(yīng),檢測并阻擋惡意勒索軟件通過郵件的方式進入網(wǎng)絡(luò)。
Web安全網(wǎng)關(guān)攔截釣魚網(wǎng)站的訪問:思科Web安全網(wǎng)關(guān)(簡稱WSA)是業(yè)界唯一的將傳統(tǒng)的URL網(wǎng)站過濾、網(wǎng)站信譽過濾和惡意軟件過濾功能集中到單一平臺,來進行威脅防御的Web安全設(shè)備。借助于思科Talos安全情報中心的安全服務(wù)和AMP高級惡意代碼保護技術(shù),思科WSA能夠幫助用戶在用戶上網(wǎng)行為、數(shù)據(jù)泄露預(yù)防和惡意代碼防護方面進行全面的防護。
AMP阻擋勒索軟件的傳播:思科AMP(高級惡意軟件防護)技術(shù),提供基于網(wǎng)絡(luò)和終端的惡意軟件防護,超越了單純時間點檢測方法,可在攻擊的整個過程(攻擊前、攻擊中和攻擊后)對文件和流量進行持續(xù)分析,能夠回溯并跟蹤文件的傳播活動和通信,有助于實現(xiàn)追溯性安全,幫助用戶了解感染或威脅的完整范圍,確定根本原因并進行防御。近日,面向終端的思科AMP在2017年終端安全IDC Marketscape報告中榮膺“領(lǐng)導(dǎo)者”,充分肯定了思科AMP高級惡意軟件防護在攻擊防御、監(jiān)測和響應(yīng)中的領(lǐng)先技術(shù)和卓越表現(xiàn)。
Stealthwatch檢測終端C&C連接行為:思科Stealthwatch能夠?qū)崿F(xiàn)網(wǎng)絡(luò)可視化與異常行為分析,通過與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施配合,利用交換機、路由器和防火墻等安全設(shè)備的Netflow信息,對用戶終端設(shè)備和網(wǎng)絡(luò)流量進行分析并檢測各種異常行為,包括零日惡意軟件、分布式拒絕服務(wù)(DDoS)攻擊、內(nèi)部威脅和高級持久性威脅(APT),甚至用戶終端與C&C主機的通信行為。
Umbrella(OpenDNS)服務(wù)切斷惡意域名解析:思科Umbrella (OpenDNS)服務(wù)通過為用戶和企業(yè)提供DNS解析服務(wù),能夠?qū)崿F(xiàn)更安全、更快捷和更智能的域名解析,同時通過多項專利技術(shù)收集惡意網(wǎng)站列表,當用戶訪問某些惡意網(wǎng)站或釣魚網(wǎng)站時,OpenDNS的解析服務(wù)能夠幫助判斷這些網(wǎng)站是否為惡意網(wǎng)站,甚至對其進行封鎖。
安全服務(wù):思科安全服務(wù)可幫助企業(yè)從自身的網(wǎng)絡(luò)安全計劃和技術(shù)投資中獲取最大回報。使用思科安全服務(wù)的組織可以獲得顧問和技術(shù)專家的幫助,從而為員工提供最新的知識和能力支持。針對勒索軟件,思科安全服務(wù)提供遠程漏洞掃描和釣魚軟件模擬攻擊測試等高級服務(wù)。
思科不僅是全球最大的網(wǎng)絡(luò)公司,也是全球最大的網(wǎng)絡(luò)安全公司。思科及其Talos團隊在網(wǎng)絡(luò)攻擊前提供極具前瞻性的行業(yè)洞察及對用戶環(huán)境的全面可見性,在網(wǎng)絡(luò)攻擊中進行及時迅速的響應(yīng)及集成架構(gòu)的全面防御,在網(wǎng)絡(luò)攻擊后通過持續(xù)收集和分析數(shù)據(jù)追溯安全性。在當今復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中,思科憑借集成架構(gòu),覆蓋全攻擊鏈,為全球安全用戶保駕護航。
思科Talos介紹
思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評估黑客活動,入侵企圖,惡意軟件以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家,都是思科Talos的成員。這個團隊同時得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團隊,也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持。
思科公司簡介
思科(NASDAQ:CSCO)是全球科技領(lǐng)導(dǎo)廠商,自1984年起就專注于成就互聯(lián)網(wǎng)。我們的人才、產(chǎn)品和合作伙伴都致力于幫助社會實現(xiàn)安全互聯(lián),并且把握未來的數(shù)字化機遇。
