近期通过蠕虫病毒传播方式的勒索软件 WannaCry 着实成为一些企业的噩梦。面对勒索软件各种与众不同的网络威胁,我们在解决的同时,是否也需要思考如何能够实现长期有效的安全防御?
知彼知己,才能百战不殆。要想彻底防御,我们先来探讨一下 WannaCry 的传播特点!
从感染方式来看,WannaCry 利用了 Windows 系统 445 端口(SMB 服务)存在的一个漏洞,通过对这个漏洞的定向攻击,导致存在这个漏洞的电脑都可能成为被入侵的对象,因此大量没有安装补丁包的主机系统,都被 WannaCry 入侵了。
从传播方式来看,一旦 WannaCry 成功入侵后,还会采取蠕虫病毒传播的方式,寻找网络中其他存在漏洞的电脑,继续入侵和传播。由于很多企业用户并没有进行很好的网络分段隔离,导致 WannaCry 很快就可以在内网中大范围传播。
为了便于理解,我们用上图做一个简要步骤说明:
攻击者扫描开放 SMB 服务 445 端口的 Windows 主机,作为攻击目标;
攻击者对没有安装 MS17-010 补丁的目标主机,进行入侵攻击;
入侵成功后,一方面以蠕虫方式攻击其他主机,另一方面对文档类型文件进行加密;
加密完成后,发出勒索赎金的信息。
了解了 WannaCry 的传播特点,其实用户就可以有的放矢地采取一些安全防御措施,比如安装最新的补丁包、关闭 445 端口的访问,甚至采取严格的网络分段隔离策略等。
但事实上,思科 Talos 威胁情报中心的研究显示,勒索软件的传播一直没有停止!
紧随 WannaCry 之后又出现新的勒索软件变种 Jaff,继续利用钓鱼邮件的方式进行大规模传播,这说明对于勒索软件的攻击已经进入一个常态化,用户不仅仅需要 WannaCry 的防御,而且还要考虑如何防御勒索软件的变种。
为了应对以上威胁,思科提出架构式的安全解决方案,利用了动态防御的理念,将网络与安全设备有效集成,利用不同产品之间信息的协作与联动,从传统单点防御的做法,演进到整体安全防御的解决方案。
如何实现?首先来看一下思科的动态安全防御的理念,简单来说:就是从逻辑上把每个网络攻击的过程分为三个阶段——
这三个阶段分别为攻击前、攻击中和攻击后。与之对应的是,思科架构式安全防护能够为每个阶段提供对应的安全防御手段——
Firepower NGFW/NGIPS 实现边界的安全防护
部署在网络边界的安全设备,检测并拦截攻击者对内部主机的端口扫描,缩小暴露在外网的攻击面;同时拦截外部的入侵和攻击,保护内网有漏洞的主机免受威胁。
ESA 邮件安全网关切断传播途径
邮件安全网关过滤钓鱼邮件和拦截恶意代码,切断恶意软件/勒索软件的传播,同时针对邮件中存在的恶意链接,可以进行防护或者改写。
Stealthwatch 检测内网异常行为
利用网络设备的Flow记录的机器学习和大数据分析,识别内网终端发生端口扫描和蠕虫传播行为。
AMP 检测恶意文件
Advanced Malware Protection(简称 AMP)技术已经集成在思科的网络安全设备和终端防护程序中,利用云服务和沙盒分析技术,对文件实施检测,识别恶意软件并进行阻挡和清除。