勒索軟件拉響全球警鐘，專家支招如何應對

宋辰

為了逃避檢測，勒索軟件會不斷演進而且變得更加普遍且具有彈性，自我傳播勒索軟件將是該領域的下一步棋。

當今世界勒索軟件帶來的網絡安全隱患正不斷增加。今年5月12日，全球爆發的一次大規模勒索軟件感染事件正是利用了惡意軟件自我傳播方式進行攻擊。這個名為WannaCry的惡意軟件會掃描電腦上的TCP 445端口（SMB），以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。 在WannaCry大規模爆發的當天，思科Talos團隊通過分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢，提供了完全真實環境下的威脅信息。思科Talos第一時間向公眾發布了系列文章，對WannaCry進行了全面的技術分析，包括文件分析、域名/IP分析、程序分析、漏洞分析等，全面闡釋了勒索軟件原理。 其實，在WannaCry事件發生前，思科已經提前預測到了惡意軟件的爆發趨勢以及網絡安全領域所面臨的挑戰。 思科Talos團隊在2016年發布的《勒索軟件：過去、現在和未來》中已經對勒索軟件的演變趨勢進行了詳盡描述，指出了高效自我傳播型惡意軟件的特性，并對未來勒索軟件提供了防御指導。 此外，在今年初發布的思科2017年度網絡安全報告（ACR）中指出，通過利用安全有效性缺口，犯罪分子正帶動“傳統”攻擊載體的復興，例如廣告軟件和垃圾郵件。目前65%的組織在其環境中至少使用6種到50種以上的安全產品。隨著互聯網在速度、連網設備和流量方面不斷增長，多種安全產品的同時使用使網絡保護變得更為復雜和混亂，并形成安全有效性缺口。面對這些挑戰，檢測安全實踐的有效性至關重要，而縮短“檢測時間（即發生威脅到發現威脅之間的時間差）”可有效限制攻擊者的操作空間并最大限度減少入侵造成的損失。目前，思科已成功將檢測時間從2016年初的平均14小時減少到了2016下半年的6小時，相比之下行業標準檢測時間需要100天甚至更久。 雖然WannaCry風波暫時告一段落，但是勒索軟件的威脅遠沒有消失，繼續呈現出常態化的趨勢。針對全球不斷演變的各類勒索軟件及其變體，思科提供了從防御思路、集成架構，到覆蓋勒索軟件攻擊全過程的解決方案。 ● NGFW與NGIPS在互聯網出口檢測并阻擋惡意勒索軟件的進入：思科新一代防火墻和Firepower NGIPS產品憑借出色的自適應能力，在攻擊全過程提供威脅保護。 ● 郵件安全防護切斷傳播途徑：思科郵件安全網關以云安全防御中心Talos為核心，對帶有勒索軟件的郵件進行快速發現、分析和響應，檢測并阻擋惡意勒索軟件進入網絡。 ● Web安全網關攔截釣魚網站的訪問：思科Web安全網關是業界唯一的將傳統URL網站過濾、網站信譽過濾和惡意軟件過濾功能集中到單一平臺的Web安全設備。 ● AMP阻擋勒索軟件的傳播：思科AMP（高級惡意軟件防護）技術在攻擊全過程對文件和流量進行持續分析，幫助用戶了解感染或威脅的完整范圍，確定根本原因并進行防御。 ● Stealthwatch檢測終端C&C連接行為：思科Stealthwatch實現網絡可視化與異常行為分析，包括零日惡意軟件、分布式拒絕服務攻擊、內部威脅和高級持久性威脅。 ● Umbrella（OpenDNS）服務切斷惡意域名解析：思科Umbrella（OpenDNS）服務通過為用戶和企業提供DNS解析服務，實現更安全、更快捷和更智能的域名解析。 ● 安全服務：針對勒索軟件，思科安全服務提供遠程漏洞掃描和釣魚軟件模擬攻擊測試等高級服務。