思科曹圖強：勒索軟體將打破安全防禦平衡

在網路安全領域，有一句話小編覺得特別適用，那就是“一朝被蛇咬，十年怕井繩”，去年5月份的WannaCry勒索蠕蟲病毒攻擊事件，以及6月份的Petya勒索病毒的變種擴散事件給不少企業都帶來了不小的創傷。勒索軟體也因此給大家留下了非常深刻的印象，我們不禁要思考，對於勒索軟體我們應該如何進行有效的防禦呢?為此我們特地邀請到思科全球副總裁、大中華區技術長曹圖強，來和我們進行溝通交流，探討思科在與勒索軟體的對抗中都做了哪些工作。

　　曹圖強表示，勒索軟體攻擊已經成為安全領域的最大威脅，並且已經成為一種常態，我們看到其中有一部分勒索軟體正迅速惡化演進成為 Crimeware(犯罪軟體)。而思科Talos研究發現，相較於勒索軟體1.0–WannaCry，Nyetya 已經演變成為Crimeware，曹圖強認為這將會打破原有的安全防禦平衡。

　　在與勒索病毒的攻防對抗過程中，思科認為惡意軟體在去年的快速演進表明我們的對手在不斷學習。我們現在必須提高標準，推行自上而下的領導力、業務主導、技術投資和踐行切實有效的安全措施等行動。我們面臨著嚴峻的風險，必須透過這些舉措來降低風險。

　　此外，面對日益猛烈和智慧化的惡意攻擊，如今碎片化的安全解決方案無法實現真正有效的防禦，思科認為安全產品之間必須要能夠聯動協作。只有整合化架構式的防禦，實時共享威脅情報，才能實現全面有效的安全。

　　深析國內使用者痛點

　　面對勒索軟體，中國使用者又面對著哪些痛點問題呢?對此曹圖強以醫療行業為例向我們做了簡單的分享：曹圖強談到，“勒索病毒”肆虐全球資訊網路，醫療機構成為了受威脅影響最嚴重的“災區”之一。醫療行業最為看重資料的隱私性和業務系統及醫療裝置的可用性，而這些也是需要保護的最關鍵方面。而勒索軟體的製作者也正是看到這些，將醫療行業作為其主要的攻擊物件。

　　近年來，由於中國醫療機構IT網路基礎架構薄弱，再加之醫療網際網路化轉型不斷提速，在日益增多的潛在威脅面前，醫院所面臨的資訊保安的挑戰急需全面重新評估和應對。思科認為，當今醫療系統的業務模型發生了很大的變化，越來越多的智慧終端、越來越多的接入使用者型別、以及越來越廣的接入位置，使得傳統的醫院網路朝著“無邊界”方向發展。從應用端來看，雲端計算得到了廣泛的應用，虛擬化技術、各種新應用大量出現。所有新的技術應用的出現，都使得傳統的網路邊界變得越來越模糊，而如何更好地實施動態分割槽、邊界控制和有效防禦，就成為了醫療網路安全面臨的一個重大課題。

　　思科表示，除了來自全球的日益增長的惡意威脅之外，在新時期下，醫療行業自身的一些特點，也使得其本身存在一些安全的隱患，容易被駭客利用：

　　●一是醫療系統的建設過程中，裝置往往優先注重最佳化醫療方面的技術，忽略了網路安全方面的設計，如：存在非授權的訪問、未加密的通訊通道等，這些容易導致醫療裝置被駭客入侵。

　　●二是有時候醫療機構無法及時地對某些嵌入式系統打上最新的補丁，也會導致自身的系統內部或多或少地存在一些系統漏洞，給駭客以可乘之機。

　　●三是目前醫療行業的從業者對IT系統的依賴性越來越大，而醫生自身不是專業的IT人員，沒有足夠的安全意識，容易在系統的使用過程中，引入新的風險。

　　全面出擊勒索軟體 高效防護

　　根據曹圖強介紹，針對全球不斷演變的各類勒索軟體及其變體，思科提供了領先的防禦思路、整合的架構和覆蓋勒索軟體攻擊全過程的解決方案，對Web和郵件等勒索軟體的重要傳播路徑實現高效防護，助力客戶針對勒索軟體實現“一次發現，全面防護”。

　　而面向未來，思科還將繼續發力勒索軟體防禦，其未來工作主要分為以下幾點：

　　●整合化架構，實現有效聯防：思科將繼續幫助客戶構建更加完美的威脅防禦整合架構，運用最完善的、最好的單點防禦產品，利用產品間有效的互聯互動實現聯防，統一整合到企業安全整體架構中;

　　●全面提高可見性：思科認為，我們無法保護一個自己根本就不瞭解的網路。對網路的全面可知，是管理員做出正確的控制和防禦策略的前提。利用思科的情景感知技術，管理員可以對企業網路的所有使用者、移動終端、客戶端應用程式、作業系統、虛擬機器通訊、漏洞資訊、威脅資訊、URL 等相關資訊取得全面的可見性。思科眾多的網路和網路安全元件都可以很好地支援情景感知技術，思科將繼續從多方面提高可見性，其中包括：

　　○降低平均檢測時間(TTD)：面對網路攻擊，檢測安全實踐的有效性至關重要。思科一直致力於減少威脅“檢測時間(TTD)”，即減少發生威脅到發現威脅之間的時間差。縮短檢測時間，對於限制攻擊者的操作空間和最大限度減少入侵造成的損失至關重要。2016年11月至2017年10月期間的思科檢測時間(TTD)中值約為4.6小時，遠遠低於2015年11月報告的39小時。

　　○運用加密流量分析技術(ETA)：安全環境不斷變化，加密流量分析技術可以在無需解密的情況下，使用機器學習網路分析方法識別加密流量中的惡意軟體。它將能夠以前所未有的方式發現威脅，保護使用者隱私，讓安全功能距離使用者或裝置更近，並且有效識別惡意軟體，從而提高網路可視性。根據思科2018年度網路安全報告，截至2017年10月，加密流量佔比為50%，其中包括合法流量和惡意流量。思科威脅研究人員觀察到，在12個月內檢測到的惡意軟體樣本所使用的加密網路通訊量增加了三倍。

　　●加強合作，優勢共享：面對日益複雜的網路安全態勢，思科認識到單靠一家公司的實力是不足夠的，思科也在繼續攜手全球和中國的合作伙伴共同打造安全生態鏈。例如，今年上半年，網路安全行業最大的安全研究團隊思科Talos 一直與公、私部門的威脅情報合作伙伴以及執法機構合作，研究可能由某些國家支援或國屬高階分子對我們稱為“VPNFilter”的複雜模組化惡意軟體系統的廣泛使用，並持續與業界和公眾進行調查結果的分享。

　　給中國使用者的幾點建議

　　最後，曹圖強根據勒索軟體的現狀和發展趨勢，給出了以下幾點建議：首先企業要做到及時更新基礎設施和應用，讓攻擊者無法利用公開的漏洞。第二，要利用整合防禦對抗複雜性，減少孤立的投資。第三，要儘早讓高層進行參與，以確保其充分了解風險、回報和預算限制。第四，企業應該建立明確的指標以確認並提升安全實踐。第五，藉助第三方安全服務，讓企業安全人員可以獲得應對現代網路威脅所需的技能和經驗，瞭解最新安全漏洞破解方法，以及如何利用高階工具和技術來根除威脅。最後，還需要進行平衡防禦與主動應對，不要採取“一勞永逸”的安全控制或流程。