您当前的位置是:  首页 > 新闻 > 文章精选 >
 首页 > 新闻 > 文章精选 >

再谈勒索软件的防御

2017-11-02 14:40:00   作者:   来源:CTI论坛   评论:0  点击:7519


  摘要
  最新出现的勒索软件 “ 坏兔子 ” 在从 10 月 24 日在全球范围开始蔓延,这是继今年 5 月份的 WannaCry 和 6 月份的 Petya 爆发后,出现的第三次的勒索软件爆发,这也从侧面印证了勒索软件的威胁已经进入了常态化趋势。本篇介绍的内容是,如何通过 AMP 高级恶意代码防护技术,实现从网络到终端的有效安全防护。
  架构式防御方法实现有效安全
  让我们再来看一下,在构建架构式防御的 “攻击链条” 的中,从攻击前、攻击中和攻击后三个阶段入手,并将其进行细化成 6 个步骤,深入分析每个步骤的入侵特征,从而提出对应的防御手段。
鍔犺浇涓�...
  思科高级恶意软件保护(Advanced Malware Protection 简称 AMP)技术,能够利用业界领先威胁情报分析和沙盒分析技术,检测可疑文件中是否存在恶意代码,并对其进行告警或者拦截。思科 AMP 技术采用了深度集成和持续分析的方法,实现了对入侵威胁过程的持续检测、分析确认、跟踪回溯的功能。
  AMP 基于终端的恶意软件防护
  下面我们以 “坏兔子”(BadRabbit)勒索软件为例,看看思科 AMP 终端保护是如何实现对勒索软件检测和拦截过程的。
  1、威胁情报与沙盒分析
鍔犺浇涓�...
  在恶意软件 BadRabbit 爆发的第一时间,思科 Talos 就捕获样本并进行了完整的分析,获取到恶意文件的 HASH 特征,分析显示 BadRabbit 是利用假冒 Flash 的升级程序,通过这个更新程序进行扩散和感染电脑终端。
  事实上,思科 Talos 团队每天分析数百万个恶意软件样本和数万亿字节数据,并将最新的威胁情报更新到 AMP 终端。其中最核心的技术,借助了思科 ThreatGrid 高级沙盒技术,对文件自动执行静态和动态分析,从而发现隐蔽的恶意代码威胁。
  2、AMP 实时阻止恶意软件
  思科 AMP 终端保护工具,借助于云端沙盒分析技术,利用了包括大数据分析、机器学习、模糊匹配指纹、内置防病毒引擎、Rootkit 扫描等多种技术,自动检测和拦截各种恶意代码威胁(如下图)。
鍔犺浇涓�...
  当终端 PC 下载或运行带有恶意代码的文件时,AMP 将实时检测,并根据预先设定的策略进行告警或隔离,并呈现出结果(如下图)。
鍔犺浇涓�...
  通过上图可以看到,文件 dispci.exe 已经被Cisco AMP 终端保护检测并确定为 BadRabbit 勒索软件。
  3、持续监控和轨迹跟踪
  思科 AMP 在控制台详细记录了恶意代码入侵的事件,包括恶意代码类型、文件名称及位置、HASH 等内容(如下图)。
鍔犺浇涓�...
  此外,AMP 能够对进入终端的文件进行续观察、分析和记录文件活动,包括该恶意软件来自何处、到过何处,以及执行什么活动。最后,AMP 将在所有受影响的终端上自动隔离相关文件(见下图)。
鍔犺浇涓�...
  AMP 灵活的部署方式
  思科具备业界最完整的 AMP 产品体系,涵盖了从网络边界、终端防护到内容检测,并且提供了灵活的部署方式(见下图)。
鍔犺浇涓�...
  思科 AMP 技术与其他思科安全产品深度集成,提供了丰富的部署方式,满足了不同应用环境的需求。在各种 AMP 部署方式中,彼此之间支持信息的共享和联动,发送威胁数据到运维团队,实现自动化的响应,最终实现了勒索软件的有效防御。
  AMP 优势总结
  思科 AMP 解决方案的与众不同之处在于,能够将网络边界的 AMP 高级恶意代码保护,与部署在终端的 AMP 整合在一起,实现信息的共享,记录恶意代码的轨迹,最终能够实现持续性的威胁检测与防护。
鍔犺浇涓�...
  • AMP 网络:在网络边界 Firepower 安全平台上集成 AMP 高级恶意代码保护。
  • AMP 终端:在终端主机上利用 AMP 实现恶意文件的监控、分析和拦截。
  • AMP 内容:在 Web 和 Email 安全设备集成 AMP 高级恶意代码保护。
鍔犺浇涓�...
  作者:吴清伟,思科安全高级顾问
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题