這個夏季黑客非常活躍,短短兩個月內已有 WannaCry 及 Petya 勒索軟體新變種Nyetya 等多個勒索軟體成為新聞頭條。今年 5 月 12 日,史上第一隻結合蠕蟲傳播方式的勒索病毒 WannaCry 開始肆虐全球,短短幾天橫掃 150 國,讓許多行業領域出現受災戶,譬如英國多家醫院因為電腦遭綁架,導致醫療服務被迫停擺,災情之慘重可見一斑。而在 6 月底,一個多向量(Multi-vector)的勒索軟體 Nyetya 攻擊多個歐美企業,被鎖定的檔案更是無法被解密及修復。

每當有大型勒索軟體或網路攻擊爆發,思科(Cisco)的 Talos 威脅情資中心便及時深度剖析這些勒索病毒,快速掌握其關鍵特徵。以 WannaCry 為例,Talos 確認它是透過掃描 TCP 445 埠,藉由蠕蟲傳播方式感染主機並加密檔案;而 WannaCry 主要運用 Windows M17-010 的弱點,在受害電腦安裝 ShadowBrokers 所公佈 NSA 開發的後門(DOUBLEPULSAR)及惡意程式 ETERNALBLUE(永恆之藍)嘗試入侵。至於 Nyetya 雖然和 WannaCry 都是經由永恆之藍傳播,但同時也有利用 Psexec 和 WMI 兩個微軟元件來傳播。

當 WannaCry 報告出爐後,思科在第一時間昭告公眾,也同時針對思科用戶、非思科用戶提出緊急應對建議,包括立即檢查現有系統的弱點,關閉無用的埠或服務,及儘快安裝修補程式(MS17-010)。這些快狠準的情資分析報告與緊急建議,產生極大作用,幫助許多企業與政府機關快速施展因應,有效遏止災情蔓延。

不可諱言,有人形容 WannaCry 不過是暗網向世人發出的一聲「問候」,只是事件開端,事實證明後續已祭出更具殺傷力的 Nyetya 勒索軟體。因此縱然不少企業有驚無險度過 WannaCry 及 Nyetya 風暴,依舊不可掉以輕心,必須未雨綢繆,預先建立應對的防禦機制。為此思科提出三個足以有效防範勒索軟體的解決方案,分別是 AMP for Endpoints 進階惡意程式防護方案終端版、Umbrella 資安防護傘,及 Talos 威脅情資中心。

Talos 威脅情資,助長 AMP 與 Umbrella 防禦力

AMP 終端版蘊含三大關鍵特質,有助於阻止勒索軟體在端點開啟。首先是「新一代預防功能」,以思科 Talos 最新全球威脅情資為基礎,提供內建沙盒技術,可針對未知檔案進行隔離與分析;其次是「更強大的可視性與更快速的偵測能力」,記錄所有檔案活動,監控及偵測惡意行為,即時發送告警,另借助思科及用戶提供的威脅數據,使 AMP 終端版能隨時獲得最新威脅訊息,將偵測時間(Time to Detection;TTD)縮短到數分鐘以內。

再者 AMP 終端版擁有「更有效的回溯功能」,基於深入可視性及惡意行為的詳細歷史記錄,幫助企業得知惡意程式過去、現在的行為,並藉由簡單的雲端使用介面,搜尋所有企業終端設備上的感染指標(Indicators of Compromise;IOC),以利於加快調查速度,再透過簡易步驟移除惡意程式。

至於思科 Umbrella 資安防護傘,則是透過雲端的網路安全閘道器,為守護企業資安的第一道防線,具有三大關鍵優勢。第一是「全面可視性及無所不在的防禦力」,透過結合思科資安防護傘與思科 Cloudlock 雲端存取安全中介(Cloud Access Security Brokers)之領先技術,協助企業辨識正在使用的軟體即服務(SaaS),並依照安全策略,封鎖箇中高風險或不當應用,保護範圍涵蓋所有網路設備、辦公室位置及漫遊用戶的網路存取點。

第二是「提供即時情報,防止攻擊發生」,Umbrella 每天處理逾千億個連網要求,讓思科得以掌握龐大數據,善加分析即時數據與過去事件的關聯性,有效辦別並偵測異常狀況,順勢建立防禦模式,以自動偵測下一個潛在威脅攻擊者。最後則是「廣泛覆蓋惡意攻擊目標及檔案」,Umbrella 防護傘運用思科諸多強大的安全工具,包含藉由機器學習模式發現已知與新興威脅,遏阻 DNS 或 IP 層級的惡意連線,借重 Talos 威脅情報阻止 HTTP/S 層級的惡意網址連結,乃至透過思科進階惡意程式防護(AMP)來偵測並抵擋雲端惡意檔案,因而能即時偵測並阻止威脅,實現最全面可視性。

回顧 WannaCry 事件,在爆發的首日,思科的 AMP 就能成功檢測與阻擋該項威脅,而 Umbrella 防護傘也可快速破解駭客大量註冊惡意網址的規則,預知即將出現的惡意網址,及早納入黑名單,因而產生莫大防護功效;AMP 與 Umbrella 之所以展現令人驚艷的防禦力,幕後功臣即是 Talos 威脅情資中心。

思科 Talos 由 250 位威脅研究專家組成,每天從 150 萬個惡意程式樣本、6 千億封郵件、160 億個網頁要求中擷取關鍵資訊,據此發展威脅偵測機制,為思科旗下資安方案供給源源不絕的威脅智能養分,協助全球企業用戶每天阻擋 200 億個威脅,每年發現逾 180 個零日弱點,藉由領先業界的速度偵測網路資料外洩事件,亦透過 Umbrella 每天阻擋 8 千萬個惡意 DNS 請求。

展望今後,企業若欲阻止接踵而來的新一波勒索軟體侵襲,顯然需要借重思科 Talos 持續供給最新威脅情資,以利於針對 DNS、終端、郵件、Web 與網路等各個層級,全面構築防護機制,即時化解已知或未知威脅的攻勢。

立刻訂閱思科 Talos 部落格,即時獲得最新威脅情報:blog.talosintelligence.com

了解更多思科網路資安方案,請到 www.cisco.com.tw/security

 


Advertisement

更多 iThome相關內容