再談勒索軟件的防御

　　最新出現的勒索軟件 “ 壞兔子 ” 在從 10 月 24 日在全球范圍開(kāi)始蔓延，這是繼今年 5 月份的 WannaCry 和 6 月份的 Petya 爆發(fā)后，出現的第三次的勒索軟件爆發(fā)，這也從側面印證了勒索軟件的威脅已經(jīng)進(jìn)入了常態(tài)化趨勢。本篇介紹的內容是，如何通過(guò) AMP 高級惡意代碼防護技術(shù)，實(shí)現從網(wǎng)絡(luò )到終端的有效安全防護。

　　讓我們再來(lái)看一下，在構建架構式防御的 “攻擊鏈條” 的中，從攻擊前、攻擊中和攻擊后三個(gè)階段入手，并將其進(jìn)行細化成 6 個(gè)步驟，深入分析每個(gè)步驟的入侵特征，從而提出對應的防御手段。

　　思科高級惡意軟件保護（Advanced Malware Protection 簡(jiǎn)稱(chēng) AMP）技術(shù)，能夠利用業(yè)界領(lǐng)先威脅情報分析和沙盒分析技術(shù)，檢測可疑文件中是否存在惡意代碼，并對其進(jìn)行告警或者攔截。思科 AMP 技術(shù)采用了深度集成和持續分析的方法，實(shí)現了對入侵威脅過(guò)程的持續檢測、分析確認、跟蹤回溯的功能。

　　下面我們以 “壞兔子”（BadRabbit）勒索軟件為例，看看思科 AMP 終端保護是如何實(shí)現對勒索軟件檢測和攔截過(guò)程的。

　　在惡意軟件 BadRabbit 爆發(fā)的第一時(shí)間，思科 Talos 就捕獲樣本并進(jìn)行了完整的分析，獲取到惡意文件的 HASH 特征，分析顯示 BadRabbit 是利用假冒 Flash 的升級程序，通過(guò)這個(gè)更新程序進(jìn)行擴散和感染電腦終端。

　　事實(shí)上，思科 Talos 團隊每天分析數百萬(wàn)個(gè)惡意軟件樣本和數萬(wàn)億字節數據，并將最新的威脅情報更新到 AMP 終端。其中最核心的技術(shù)，借助了思科 ThreatGrid 高級沙盒技術(shù)，對文件自動(dòng)執行靜態(tài)和動(dòng)態(tài)分析，從而發(fā)現隱蔽的惡意代碼威脅。

　　思科 AMP 終端保護工具，借助于云端沙盒分析技術(shù)，利用了包括大數據分析、機器學(xué)習、模糊匹配指紋、內置防病毒引擎、Rootkit 掃描等多種技術(shù)，自動(dòng)檢測和攔截各種惡意代碼威脅（如下圖）。

　　當終端 PC 下載或運行帶有惡意代碼的文件時(shí)，AMP 將實(shí)時(shí)檢測，并根據預先設定的策略進(jìn)行告警或隔離，并呈現出結果（如下圖）。

　　通過(guò)上圖可以看到，文件 dispci.exe 已經(jīng)被Cisco AMP 終端保護檢測并確定為 BadRabbit 勒索軟件。

　　思科 AMP 在控制臺詳細記錄了惡意代碼入侵的事件，包括惡意代碼類(lèi)型、文件名稱(chēng)及位置、HASH 等內容（如下圖）。

　　此外，AMP 能夠對進(jìn)入終端的文件進(jìn)行續觀(guān)察、分析和記錄文件活動(dòng)，包括該惡意軟件來(lái)自何處、到過(guò)何處，以及執行什么活動(dòng)。最后，AMP 將在所有受影響的終端上自動(dòng)隔離相關(guān)文件（見(jiàn)下圖）。

　　思科具備業(yè)界最完整的 AMP 產(chǎn)品體系，涵蓋了從網(wǎng)絡(luò )邊界、終端防護到內容檢測，并且提供了靈活的部署方式（見(jiàn)下圖）。

　　思科 AMP 技術(shù)與其他思科安全產(chǎn)品深度集成，提供了豐富的部署方式，滿(mǎn)足了不同應用環(huán)境的需求。在各種 AMP 部署方式中，彼此之間支持信息的共享和聯(lián)動(dòng)，發(fā)送威脅數據到運維團隊，實(shí)現自動(dòng)化的響應，最終實(shí)現了勒索軟件的有效防御。

　　思科 AMP 解決方案的與眾不同之處在于，能夠將網(wǎng)絡(luò )邊界的 AMP 高級惡意代碼保護，與部署在終端的 AMP 整合在一起，實(shí)現信息的共享，記錄惡意代碼的軌跡，最終能夠實(shí)現持續性的威脅檢測與防護。