思科最新威胁洞察 SMB与蠕虫卷土重来

——思科大中华区副总裁、安全事业部总经理卜宪录

 

机器学习、人工智能及自动化技术几乎渗透到了每个企业数字化战略中，强大的网络空间安全基础设施对于企业在当今市场竞争中取得成功至关重要，企业用户正在比以往任何时候都更加注意在网络空间安全方面的投资。不久前，专注于科技产业市场研究的Canalys发布的报告显示，2018年全球在网络空间安全技术方面的支出预计将超过370亿美元，这比2017年增长了9.1％。Canalys的调查表明，网络空间安全成为最大的增长点，思科安全的市场份额持续增长凭借14.3%的增长率引领该市场，成为全球最大的网络空间安全供应商。

 

SMB与蠕虫卷土重来 分层防护全面可视

网络空间威胁形势严峻、网络安全攻防战正愈演愈烈。尽管如此，网络威胁趋势仍然有迹可循，它存在着明显的周期性规律——有些恶意软件会以技术迭代的方式不断出现，而有些攻击类型和攻击方法虽已过时，但仍会借助某些新的载体出现。以最为熟知的网络共享为例，这种技术可以让用户通过网络共享文件和文件夹。网络共享一直是计算机蠕虫最常攻击的目标，但是近年来攻击者逐渐弃用了这种攻击途径，转而热衷于利用邮件和受感染网站发起攻击。

 

大家还记得，几年前知名勒索病毒WannaCry如野火般在整个威胁形势中开辟了一条破坏之路，对世界各地的政府和各行各业造成了严重的损害，再次将网络共享拉回公众的视野中，而这次攻击的突破口是一种常用的重要协议：服务器消息块 (SMB)。后来的Nyetya亦利用了SMB相关的漏洞来势汹汹，一旦感染随即宕机，让受攻击者无力回天。除此之外，SamSam、Bad Rabbit 和 Olympic Destroyer 等威胁利用不同的工具来侵入网络，随后它们都会利用 SMB 来遍历网络。时至今日，这些恶意威胁的直接冲击已然淡去，但这并非意味着帮助它传播的机制可以被忽略——尽管网络威胁攻击者各不相同，但足以证明基于SMB文件共享传播的脆弱程度可见一斑。

 

值得一提的是，2019年1月的最新调查显示，开放在互联网上的SMB漏洞主机仍有200多万个。我们的下一代IPS设备使用的多个SMB入侵检测规则一直在触发率最高的十大规则之列，而这主要源于，SMB 使用的主要端口——端口 445通常处于开放状态。从2018 年10月到11月这两个月的认知情报遥测数据，可以发现终端上的SMB端口活动呈现相当稳定的模式，这表明攻击者经常使用 SMB 作为攻击途径，而11月13日SMB事件数量相比往常近乎6倍的激增，也毫无例外地印证了大量的SMB安全事件持续爆发的趋势。

 

高级威胁的攻击者无时无刻不在找寻渗透IT环境的途径，邮件系统往往是企业IT环境中抵御攻击时最薄弱的环节。另一方面，在全球安全威胁之下，没有任何一个安全环境可以独善其身。当前，攻击者的目标已经不仅限于IT环境，OT环境下的企业也面临着相同的威胁，SMB协议在制造业和基建设施中广泛使用，也使得其所遭受的攻击随之增多，而随着业务数据价值的提高，OT环境下的企业所面临的威胁随之增大，造成的损失不可估量。以制造业为例，遭受攻击导致的系统问题可能会对生产、营业额、人力资源和客户等发生一系列毁灭性的连锁反应。

 

如何防范与SMB相关的攻击呢？最简单的办法是停止使用 SMB，目前几乎没有什么理由要继续使用它。通过 SMB 连接计算机来共享文件并非明智之举，改用专用的文件服务器或基于云的产品大有裨益。除此之外，思科安全也可以为客户提供全面可视、分层防御的解决方案，帮助应对该威胁：

• 加强邮件安全：邮件是最重要的业务通信工具，同时也是网络攻击活动最主要的目标。事实上，根据思科的年度网络安全报告，攻击者已经将邮件作为传播恶意软件的主要媒介。攻击者还会利用社交工程技术发起复杂且有高度针对性的企业邮件入侵 (BEC) 和网络钓鱼活动；思科邮件安全包括高级威胁防御功能，可以更快地检测、阻止和修复传入邮件中的威胁。同时，它可以保护组织的品牌，防止数据丢失，并通过端到端加密在数据传输过程中保护重要信息。目前，思科领先的邮件安全方案可免费试用14天，帮助用户阻止网络钓鱼、企业邮件入侵、勒索软件和垃圾邮件，并增强邮件安全性，实现真正有效的防御能力
• 思科Stealthwatch提供全面网络可视化：可以检测与 SMB 共享的连接，对此活动进行关联分析，从而向管理员发出警报
• 思科Tetration提供数据应用可视化：Tetration的零信任模式可持续监控合规性偏差，在几分钟内发现网络中的违规情况；同时对服务器上运行的进程行为进行基准测试，识别符合恶意软件执行形式的行为偏差
• 面向终端的高级恶意软件防护 (AMP)：持续监控和安全追溯功能可以阻止利用 SMB进行传播的恶意威胁
• 思科网络安全设备（例如 NGFW、NGIPS 和 Meraki MX），可以检测与 SMB 攻击相关的恶意活动
• 思科Threat Grid：可以帮助识别恶意文件行为，并自动通知所有思科安全产品

 

思科“每月热点威胁”        安全为先精准剖析

以上关于SMB和蠕虫威胁最新动态的详解，事实上是思科“每月热点威胁”报告其中的一期。思科作为全球领先的网络安全情报的最佳提供商，我们的威胁情报智能研究分析团队思科Talos不仅为思科的安全研究和安全产品服务提供了强大的后盾支持，也日益成为第一时间帮助用户应对“未知威胁”的信息情报来源和应对方案的提供者。正是因为如此，思科才能提供关于威胁的及时响应和周详解析，以及为客户提供安全产品解决方案的全面防护。

 

往年，思科以年度为单位，定期推出思科年度安全报告，帮助用户从宏观角度把握安全局势和业态发展，最近思科以“思科网络安全报告系列”为主题发布了一系列报告，包括《思科2019年首席信息安全官（CISO）基准研究报告》、《2019年思科数据隐私基准研究报告》以及《2019年思科威胁报告》等，对全球网络安全态势和安全领导者进行深入研究和分析。如今，在此基础上，为了更精准且高效地应对全球变幻莫测的网络威胁态势并提供阻止这些威胁的领先方案，思科还推出了“每月热点威胁”报告，内容涵盖不同类别的热点威胁信息，以及针对全球最常见的威胁的详细分析，以帮助用户更好地掌握最新威胁信息和防御的最佳实践。近期发布的有关数字化诈骗勒索与恶意加密货币挖矿等恶意威胁同样可在思科“每月热点威胁”中一窥究竟。

 

毋庸置疑，随着新威胁的出现，安全将对未来各个业务的成功发挥巨大的作用，思科在网络和安全技术领域多年的积累和持续创新是思科承诺给用户的最重要的安全保障。我们始终希望我们的客户处于数字业务转型的最前沿，构建全局安全，战胜网络威胁。思科将为客户提供其领先的安全防御技术免费试用的机会，知晓最新的攻击威胁分析和防御技术，更多内容请查看：https://www.cisco.com/c/m/zh_cn/products/security/offers/threat-of-the-month.html

Originally Posted at: https://apjc.thecisconetwork.com/site/content/lang/zh/id/10510