SMB與蠕蟲(chóng)卷土重來(lái) 分層防護全面可視
網(wǎng)絡(luò )空間威脅形勢嚴峻、網(wǎng)絡(luò )安全攻防戰正愈演愈烈。盡管如此,網(wǎng)絡(luò )威脅趨勢仍然有跡可循,它存在著(zhù)明顯的周期性規律——有些惡意軟件會(huì )以技術(shù)迭代的方式不斷出現,而有些攻擊類(lèi)型和攻擊方法雖已過(guò)時(shí),但仍會(huì )借助某些新的載體出現。以最為熟知的網(wǎng)絡(luò )共享為例,這種技術(shù)可以讓用戶(hù)通過(guò)網(wǎng)絡(luò )共享文件和文件夾。網(wǎng)絡(luò )共享一直是計算機蠕蟲(chóng)最常攻擊的目標,但是近年來(lái)攻擊者逐漸棄用了這種攻擊途徑,轉而熱衷于利用郵件和受感染網(wǎng)站發(fā)起攻擊。
大家還記得,幾年前知名勒索病毒W(wǎng)annaCry如野火般在整個(gè)威脅形勢中開(kāi)辟了一條破壞之路,對世界各地的政府和各行各業(yè)造成了嚴重的損害,再次將網(wǎng)絡(luò )共享拉回公眾的視野中,而這次攻擊的突破口是一種常用的重要協(xié)議:服務(wù)器消息塊 (SMB)。后來(lái)的Nyetya亦利用了SMB相關(guān)的漏洞來(lái)勢洶洶,一旦感染隨即宕機,讓受攻擊者無(wú)力回天。除此之外,SamSam、Bad Rabbit 和 Olympic Destroyer 等威脅利用不同的工具來(lái)侵入網(wǎng)絡(luò ),隨后它們都會(huì )利用 SMB 來(lái)遍歷網(wǎng)絡(luò )。時(shí)至今日,這些惡意威脅的直接沖擊已然淡去,但這并非意味著(zhù)幫助它傳播的機制可以被忽略——盡管網(wǎng)絡(luò )威脅攻擊者各不相同,但足以證明基于SMB文件共享傳播的脆弱程度可見(jiàn)一斑。
值得一提的是,2019年1月的最新調查顯示,開(kāi)放在互聯(lián)網(wǎng)上的SMB漏洞主機仍有200多萬(wàn)個(gè)。我們的下一代IPS設備使用的多個(gè)SMB入侵檢測規則一直在觸發(fā)率最高的十大規則之列,而這主要源于,SMB 使用的主要端口——端口 445通常處于開(kāi)放狀態(tài)。從2018 年10月到11月這兩個(gè)月的認知情報遙測數據,可以發(fā)現終端上的SMB端口活動(dòng)呈現相當穩定的模式,這表明攻擊者經(jīng)常使用 SMB 作為攻擊途徑,而11月13日SMB事件數量相比往常近乎6倍的激增,也毫無(wú)例外地印證了大量的SMB安全事件持續爆發(fā)的趨勢。
高級威脅的攻擊者無(wú)時(shí)無(wú)刻不在找尋滲透IT環(huán)境的途徑,郵件系統往往是企業(yè)IT環(huán)境中抵御攻擊時(shí)最薄弱的環(huán)節。另一方面,在全球安全威脅之下,沒(méi)有任何一個(gè)安全環(huán)境可以獨善其身。當前,攻擊者的目標已經(jīng)不僅限于IT環(huán)境,OT環(huán)境下的企業(yè)也面臨著(zhù)相同的威脅,SMB協(xié)議在制造業(yè)和基建設施中廣泛使用,也使得其所遭受的攻擊隨之增多,而隨著(zhù)業(yè)務(wù)數據價(jià)值的提高,OT環(huán)境下的企業(yè)所面臨的威脅隨之增大,造成的損失不可估量。以制造業(yè)為例,遭受攻擊導致的系統問(wèn)題可能會(huì )對生產(chǎn)、營(yíng)業(yè)額、人力資源和客戶(hù)等發(fā)生一系列毀滅性的連鎖反應。
如何防范與SMB相關(guān)的攻擊呢?最簡(jiǎn)單的辦法是停止使用 SMB,目前幾乎沒(méi)有什么理由要繼續使用它。通過(guò) SMB 連接計算機來(lái)共享文件并非明智之舉,改用專(zhuān)用的文件服務(wù)器或基于云的產(chǎn)品大有裨益。除此之外,思科安全也可以為客戶(hù)提供全面可視、分層防御的解決方案,幫助應對該威脅:
- 加強郵件安全:郵件是最重要的業(yè)務(wù)通信工具,同時(shí)也是網(wǎng)絡(luò )攻擊活動(dòng)最主要的目標。事實(shí)上,根據思科的年度網(wǎng)絡(luò )安全報告,攻擊者已經(jīng)將郵件作為傳播惡意軟件的主要媒介。攻擊者還會(huì )利用社交工程技術(shù)發(fā)起復雜且有高度針對性的企業(yè)郵件入侵 (BEC) 和網(wǎng)絡(luò )釣魚(yú)活動(dòng);思科郵件安全包括高級威脅防御功能,可以更快地檢測、阻止和修復傳入郵件中的威脅。同時(shí),它可以保護組織的品牌,防止數據丟失,并通過(guò)端到端加密在數據傳輸過(guò)程中保護重要信息。目前,思科領(lǐng)先的郵件安全方案可免費試用14天,幫助用戶(hù)阻止網(wǎng)絡(luò )釣魚(yú)、企業(yè)郵件入侵、勒索軟件和垃圾郵件,并增強郵件安全性,實(shí)現真正有效的防御能力
- 思科Stealthwatch提供全面網(wǎng)絡(luò )可視化:可以檢測與 SMB 共享的連接,對此活動(dòng)進(jìn)行關(guān)聯(lián)分析,從而向管理員發(fā)出警報
- 思科Tetration提供數據應用可視化:Tetration的零信任模式可持續監控合規性偏差,在幾分鐘內發(fā)現網(wǎng)絡(luò )中的違規情況;同時(shí)對服務(wù)器上運行的進(jìn)程行為進(jìn)行基準測試,識別符合惡意軟件執行形式的行為偏差
- 面向終端的高級惡意軟件防護 (AMP):持續監控和安全追溯功能可以阻止利用 SMB進(jìn)行傳播的惡意威脅思科網(wǎng)絡(luò )安全設備(例如 NGFW、NGIPS 和 Meraki MX),可以檢測與 SMB 攻擊相關(guān)的惡意活動(dòng)
- 思科Threat Grid:可以幫助識別惡意文件行為,并自動(dòng)通知所有思科安全產(chǎn)品
思科“每月熱點(diǎn)威脅” 安全為先精準剖析
以上關(guān)于SMB和蠕蟲(chóng)威脅最新動(dòng)態(tài)的詳解,事實(shí)上是思科“每月熱點(diǎn)威脅”報告其中的一期。思科作為全球領(lǐng)先的網(wǎng)絡(luò )安全情報的最佳提供商,我們的威脅情報智能研究分析團隊思科Talos不僅為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持,也日益成為第一時(shí)間幫助用戶(hù)應對“未知威脅”的信息情報來(lái)源和應對方案的提供者。正是因為如此,思科才能提供關(guān)于威脅的及時(shí)響應和周詳解析,以及為客戶(hù)提供安全產(chǎn)品解決方案的全面防護。
往年,思科以年度為單位,定期推出思科年度安全報告,幫助用戶(hù)從宏觀(guān)角度把握安全局勢和業(yè)態(tài)發(fā)展,最近思科以“思科網(wǎng)絡(luò )安全報告系列”為主題發(fā)布了一系列報告,包括《思科2019年首席信息安全官(CISO)基準研究報告》、《2019年思科數據隱私基準研究報告》以及《2019年思科威脅報告》等,對全球網(wǎng)絡(luò )安全態(tài)勢和安全領(lǐng)導者進(jìn)行深入研究和分析。如今,在此基礎上,為了更精準且高效地應對全球變幻莫測的網(wǎng)絡(luò )威脅態(tài)勢并提供阻止這些威脅的領(lǐng)先方案,思科還推出了“每月熱點(diǎn)威脅”報告,內容涵蓋不同類(lèi)別的熱點(diǎn)威脅信息,以及針對全球最常見(jiàn)的威脅的詳細分析,以幫助用戶(hù)更好地掌握最新威脅信息和防御的最佳實(shí)踐。近期發(fā)布的有關(guān)數字化詐騙勒索與惡意加密貨幣挖礦等惡意威脅同樣可在思科“每月熱點(diǎn)威脅”中一窺究竟。
毋庸置疑,隨著(zhù)新威脅的出現,安全將對未來(lái)各個(gè)業(yè)務(wù)的成功發(fā)揮巨大的作用,思科在網(wǎng)絡(luò )和安全技術(shù)領(lǐng)域多年的積累和持續創(chuàng )新是思科承諾給用戶(hù)的最重要的安全保障。我們始終希望我們的客戶(hù)處于數字業(yè)務(wù)轉型的最前沿,構建全局安全,戰勝網(wǎng)絡(luò )威脅。思科將為客戶(hù)提供其領(lǐng)先的安全防御技術(shù)免費試用的機會(huì ),知曉最新的攻擊威脅分析和防御技術(shù),更多內容請查看:https://www.cisco.com/c/m/zh_cn/products/security/offers/threat-of-the-month.html 來(lái)源:思科
