今年 5 月勒索軟件 WananCry 肆虐,隨後又有另一款勒索軟件 Nyetya 接踵而來,可見網絡安全的挑戰愈來愈大。思科的網絡安全方案 Cisco Umbrella 在 13 分鐘內已把 WannaCry 的 killswitch 域名加入「最新偵測域名名單」中,並在兩個多小時後列入「惡意程式」類型,阻止所有思科客戶連到該域名,全自動啟動了防護機制。
WannaCry 肆虐全球反映企業需要全新網絡保安架構
今年 5 月勒索軟件 WannaCry 於全球肆虐,在短短數天時間,已在全球逾 150 個地區策動攻擊,逾 20 萬個用戶電腦「中招」。WannaCry 並非如其他勒索軟件般以釣魚或 Microsoft Word 巨集入侵,而是利用 Windows 的 Server Message Block 漏洞,掃描 TCP 445 埠,以類似蠕蟲的方式散播,攻擊主機並加密主機上儲存的檔案,然後要求以 Bitcoin 支付贖金,因此機構內的電腦很容易會同一時間感染 WannaCry,使災情變得特別嚴重。
事實上,微軟早於三月修補該漏洞,唯不少人疏於更新方讓 WananCry 有機可乘,不過這情況亦反映單靠防火牆未能有效阻擋未知的網絡威脅,企業需要一個整合及自動化的網絡保安架構,再配合完善的網絡保安情報系統,才能面對日益嚴峻的網絡攻擊。思科旗下的網絡保安情報工具 Cisco Umbrella 現正提供優惠,值得各位留意。
WannaCry 出現後 13 分鐘 Cisco Umbrella 即自動更新
Cisco Umbrella 乃基於雲端的保安平台,能保護日漸面向流動及雲端的企業營運模式,有效阻擋進階的威脅。它能夠在用戶連接到互聯網前,就能第一時間防衛,並當用戶瀏覽互聯網時,即時檢測威脅。
其中一個原因是因為 Cisco Umbrella 會分析 DNS 請求來辨析惡意攻擊。以 WannaCry 作例子,該程式包括了一個 kill switch 功能,會向一個預先設定的域名 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com 發出 GET 請求,如果失敗,它會繼續進行感染操作,但成功的話就會結束。Cisco Umbrella 在 WannaCry 出現後 13 分鐘已偵測到對該域名的請求急速攣升,故把該域名加入「最新偵測域名名單」中,並於兩小時後自動地更新所有思科產品,立即為用戶提供防護,大幅縮短網絡威脅的偵測時間和毋須人手操作。
阻截惡意程式與 C&C 伺服器通訊 開放式平台可融合其他產品提升效率
其實 Cisco Umbrella 可以阻擋惡意程式與 C&C 伺服器的通訊,把攻擊的破壞和修復的成本減至最低。除此之外,Cisco Umbrella 可掌握所有用戶在網絡裡任何角落的域名請求活動,以及找出企業用戶正使用的雲端應用程式及判斷其潛在風險。
以上介面正顯示企業內部各種雲端服務的使用情況。值得留意的是,Cisco Umbrella 的控制版面只需透過瀏覽器便能打開,故部署和管理是十分方便。
除此之外,Cisco Umbrella 採用開放式平台,能夠與企業內部或者第三方的工具整合,具有很高的自訂能力。只要透過 Cisco Umbrella 的 API,企業便可把現有的網絡安全應用、威脅情報平台、雲端存取安全代理(Cloud Access Security Broker,CASB)等資料傳送至 Cisco Umbrella 並即時執行新安全規則,或者把 Cisco Umbrella 的安全事件資料傳送給自己的安全資訊與事件管理平台(Security Information and Event Management,SIEM)。
Cisco AMP 全面監視記錄網絡檔案 發現惡意行為即馬上封鎖
但單單阻擋惡意的網絡流量並不足夠,因為惡意程式可從多個途徑入侵,或者潛伏一輪後才作出惡意行為。故大家可一併留意 Cisco Advanced Malware Protection(AMP)。Cisco AMP 利用了 Cisco Talos 提供的威脅情報來比對網絡內的檔案、遙測數據和檔案行為,從而主動防禦各種網絡威脅。
從檔案進入網絡的一刻起,Cisco AMP 便會透過防毒軟件引擎、一對一特徵識別、機械學習和模糊式指紋識別(Fuzzy-Fingerprinting)開始監視,發現有問題的話便會馬上阻擋。但正如之前所講,檔案可在進入系統後才執行惡意行為,故 Cisco AMP 是會一直監視、分析和記錄檔案活動。當惡意行為出現時,Cisco AMP 便會提供檔案程式的來源、現處位置和活動,企業內的 IT 部門便可馬上封鎖檔案和作出補救。
在 WannaCry 樣本出現後一小時內,Cisco AMP 終端版亦偵測到這個勒索軟件,經過沙箱模擬及自動分析後判定其為一惡意程式,立刻阻擋它入侵網絡內的終端、電郵、網絡閘道。
與 Cisco Umbrella 一樣,Cisco AMP 的管理平台是在瀏覽器上操作,故使用簡單。Cisco 採用訂閱收費方式,能針對終端裝置(Endpoints)、網絡、電郵、Web 活動保護。
Cisco Threat Intelligence 提供全球威脅情報
最後要介紹的是 Cisco Talos 的威脅情報團隊,這隊超過 250 人的團隊每日偵測和分析 Web 請求、電郵流量、惡意程式樣本和網絡入侵等資料,從而更新 Cisco 及其他產品的安全規則。在 WannaCry 爆發期間,Cisco Talos 更於同日更新網誌,提供了相關的惡意 IP 地址、檔案名稱和 Hash 值,讓沒有使用 Cisco 產品的人也能得到保障。
Cisco Umbrella 優惠 年費 $36,000 提供 100 個用戶帳號
假如各位需要 Cisco Umbrella 提升企業的網絡安全的話,現在是採購的好時機了,因為思科正為 Cisco Umbrella 專業級提供優惠,每年只需 $36,000 便可提供 100 個用戶帳號,優惠詳情可登入思科專屬優惠網站查看。
如欲購買 Cisco Umbrella,各位可與思科銷售團隊或合作伙伴聯絡,或電郵至 hk_assistant@cisco.com。如欲了解更多有關思科網絡保安方案,請瀏覽思科產品網頁。
