首页 最新资讯 English >

行业动态

当网络攻击进入常态化,架构式安全360°保你周全!

来源于: 思科联天下              日期:2017-5-31

近期通过蠕虫病毒传播方式的勒索软件 WannaCry 着实成为一些企业的噩梦。面对勒索软件各种与众不同的网络威胁,我们在解决的同时,是否也需要思考如何能够实现长期有效的安全防御?

 

知彼知己,才能百战不殆。要想彻底防御,我们先来探讨一下 WannaCry 的传播特点

 

  • 从感染方式来看,WannaCry 利用了 Windows 系统 445 端口(SMB 服务)存在的一个漏洞,通过对这个漏洞的定向攻击,导致存在这个漏洞的电脑都可能成为被入侵的对象,因此大量没有安装补丁包的主机系统,都被 WannaCry 入侵了。

 

 

 

 

  • 从传播方式来看,一旦 WannaCry 成功入侵后,还会采取蠕虫病毒传播的方式,寻找网络中其他存在漏洞的电脑,继续入侵和传播。由于很多企业用户并没有进行很好的网络分段隔离,导致 WannaCry 很快就可以在内网中大范围传播。

  • 为了便于理解,我们用上图做一个简要步骤说明:

     

    1

    攻击者扫描开放 SMB 服务 445 端口的 Windows 主机,作为攻击目标;

     

    2

    攻击者对没有安装 MS17-010 补丁的目标主机,进行入侵攻击;

    3

    入侵成功后,一方面以蠕虫方式攻击其他主机,另一方面对文档类型文件进行加密;

    4

    加密完成后,发出勒索赎金的信息。

     

    了解了 WannaCry 的传播特点,其实用户就可以有的放矢地采取一些安全防御措施,比如安装最新的补丁包、关闭 445 端口的访问,甚至采取严格的网络分段隔离策略等。

     

    但事实上,思科 Talos 威胁情报中心的研究显示,勒索软件的传播一直没有停止

     

    紧随 WannaCry 之后又出现新的勒索软件变种 Jaff,继续利用钓鱼邮件的方式进行大规模传播,这说明对于勒索软件的攻击已经进入一个常态化,用户不仅仅需要 WannaCry 的防御,而且还要考虑如何防御勒索软件的变种。

     

    为了应对以上威胁,思科提出架构式的安全解决方案,利用了动态防御的理念,将网络与安全设备有效集成,利用不同产品之间信息的协作与联动,从传统单点防御的做法,演进到整体安全防御的解决方案。

     

    如何实现?首先来看一下思科的动态安全防御的理念,简单来说:就是从逻辑上把每个网络攻击的过程分为三个阶段——

  • 这三个阶段分别为攻击前、攻击中和攻击后。与之对应的是,思科架构式安全防护能够为每个阶段提供对应的安全防御手段——

  •  

  • Firepower NGFW/NGIPS 实现边界的安全防护

    部署在网络边界的安全设备,检测并拦截攻击者对内部主机的端口扫描,缩小暴露在外网的攻击面;同时拦截外部的入侵和攻击,保护内网有漏洞的主机免受威胁。

    • ESA 邮件安全网关切断传播途径

      邮件安全网关过滤钓鱼邮件和拦截恶意代码,切断恶意软件/勒索软件的传播,同时针对邮件中存在的恶意链接,可以进行防护或者改写。

    • Stealthwatch 检测内网异常行为

      利用网络设备的Flow记录的机器学习和大数据分析,识别内网终端发生端口扫描和蠕虫传播行为。

    • AMP 检测恶意文件

      Advanced Malware Protection(简称 AMP)技术已经集成在思科的网络安全设备和终端防护程序中,利用云服务和沙盒分析技术,对文件实施检测,识别恶意软件并进行阻挡和清除。

返回