宋辰

為了逃避檢測(cè)，勒索軟件會(huì)不斷演進(jìn)而且變得更加普遍且具有彈性，自我傳播勒索軟件將是該領(lǐng)域的下一步棋。

當(dāng)今世界勒索軟件帶來(lái)的網(wǎng)絡(luò)安全隱患正不斷增加。今年5月12日，全球爆發(fā)的一次大規(guī)模勒索軟件感染事件正是利用了惡意軟件自我傳播方式進(jìn)行攻擊。這個(gè)名為WannaCry的惡意軟件會(huì)掃描電腦上的TCP 445端口（SMB），以類似于蠕蟲(chóng)病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。 在WannaCry大規(guī)模爆發(fā)的當(dāng)天，思科Talos團(tuán)隊(duì)通過(guò)分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢(shì)，提供了完全真實(shí)環(huán)境下的威脅信息。思科Talos第一時(shí)間向公眾發(fā)布了系列文章，對(duì)WannaCry進(jìn)行了全面的技術(shù)分析，包括文件分析、域名/IP分析、程序分析、漏洞分析等，全面闡釋了勒索軟件原理。 其實(shí)，在WannaCry事件發(fā)生前，思科已經(jīng)提前預(yù)測(cè)到了惡意軟件的爆發(fā)趨勢(shì)以及網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)。 思科Talos團(tuán)隊(duì)在2016年發(fā)布的《勒索軟件：過(guò)去、現(xiàn)在和未來(lái)》中已經(jīng)對(duì)勒索軟件的演變趨勢(shì)進(jìn)行了詳盡描述，指出了高效自我傳播型惡意軟件的特性，并對(duì)未來(lái)勒索軟件提供了防御指導(dǎo)。 此外，在今年初發(fā)布的思科2017年度網(wǎng)絡(luò)安全報(bào)告（ACR）中指出，通過(guò)利用安全有效性缺口，犯罪分子正帶動(dòng)“傳統(tǒng)”攻擊載體的復(fù)興，例如廣告軟件和垃圾郵件。目前65%的組織在其環(huán)境中至少使用6種到50種以上的安全產(chǎn)品。隨著互聯(lián)網(wǎng)在速度、連網(wǎng)設(shè)備和流量方面不斷增長(zhǎng)，多種安全產(chǎn)品的同時(shí)使用使網(wǎng)絡(luò)保護(hù)變得更為復(fù)雜和混亂，并形成安全有效性缺口。面對(duì)這些挑戰(zhàn)，檢測(cè)安全實(shí)踐的有效性至關(guān)重要，而縮短“檢測(cè)時(shí)間（即發(fā)生威脅到發(fā)現(xiàn)威脅之間的時(shí)間差）”可有效限制攻擊者的操作空間并最大限度減少入侵造成的損失。目前，思科已成功將檢測(cè)時(shí)間從2016年初的平均14小時(shí)減少到了2016下半年的6小時(shí)，相比之下行業(yè)標(biāo)準(zhǔn)檢測(cè)時(shí)間需要100天甚至更久。 雖然WannaCry風(fēng)波暫時(shí)告一段落，但是勒索軟件的威脅遠(yuǎn)沒(méi)有消失，繼續(xù)呈現(xiàn)出常態(tài)化的趨勢(shì)。針對(duì)全球不斷演變的各類勒索軟件及其變體，思科提供了從防御思路、集成架構(gòu)，到覆蓋勒索軟件攻擊全過(guò)程的解決方案。 ● NGFW與NGIPS在互聯(lián)網(wǎng)出口檢測(cè)并阻擋惡意勒索軟件的進(jìn)入：思科新一代防火墻和Firepower NGIPS產(chǎn)品憑借出色的自適應(yīng)能力，在攻擊全過(guò)程提供威脅保護(hù)。 ● 郵件安全防護(hù)切斷傳播途徑：思科郵件安全網(wǎng)關(guān)以云安全防御中心Talos為核心，對(duì)帶有勒索軟件的郵件進(jìn)行快速發(fā)現(xiàn)、分析和響應(yīng)，檢測(cè)并阻擋惡意勒索軟件進(jìn)入網(wǎng)絡(luò)。 ● Web安全網(wǎng)關(guān)攔截釣魚(yú)網(wǎng)站的訪問(wèn)：思科Web安全網(wǎng)關(guān)是業(yè)界唯一的將傳統(tǒng)URL網(wǎng)站過(guò)濾、網(wǎng)站信譽(yù)過(guò)濾和惡意軟件過(guò)濾功能集中到單一平臺(tái)的Web安全設(shè)備。 ● AMP阻擋勒索軟件的傳播：思科AMP（高級(jí)惡意軟件防護(hù)）技術(shù)在攻擊全過(guò)程對(duì)文件和流量進(jìn)行持續(xù)分析，幫助用戶了解感染或威脅的完整范圍，確定根本原因并進(jìn)行防御。 ● Stealthwatch檢測(cè)終端C&C連接行為：思科Stealthwatch實(shí)現(xiàn)網(wǎng)絡(luò)可視化與異常行為分析，包括零日惡意軟件、分布式拒絕服務(wù)攻擊、內(nèi)部威脅和高級(jí)持久性威脅。 ● Umbrella（OpenDNS）服務(wù)切斷惡意域名解析：思科Umbrella（OpenDNS）服務(wù)通過(guò)為用戶和企業(yè)提供DNS解析服務(wù)，實(shí)現(xiàn)更安全、更快捷和更智能的域名解析。 ● 安全服務(wù)：針對(duì)勒索軟件，思科安全服務(wù)提供遠(yuǎn)程漏洞掃描和釣魚(yú)軟件模擬攻擊測(cè)試等高級(jí)服務(wù)。