勒索軟件 2.0 時代 Cisco Umbrella 為企業 IT 佈下安全網

不少網絡安全公司均預計,踏入 2018 年勒索軟件仍會是主要威脅之一。受惠於勒索軟件即服務和比特幣等虛擬貨幣的升幅狂潮,可預計該攻擊模式將繼續肆虐。

去年十一月及今年初有本地旅行社相繼遭攻擊正是最佳例子,損失大量客戶資料和導致全線分店停業的嚴重後果,更是為仍覺得「事不關己」的本地企業敲響了警鐘。Cisco (思科)香港、澳門及台灣區技術總監伍偉強認為,勒索軟件已進入 2.0 年代,企業必須採取更完善的自動化保安方案才能確保業務受保障。

 

攻擊數字急升 250% 專家警告勒索軟件已演進至新階段

去年 5 月 WannaCry 事件大規模爆發,席捲全球多個國家,鄰近香港的台灣更成第二大重災區,其後的 Nyetya 病毒攻擊雖然威力不及 WannaCry,仍造成頗大影響。

2018 年的第一週,就相繼再有兩家旅行社懷疑遭到黑客攻擊,客戶數據庫疑被入侵,黑客獲得客戶的身分證、回鄉證等珍貴資料後向旅行社勒索 10 萬港元的贖金。而事件的兩個月前同樣有另一家旅行社遭黑客入侵,掌握數以萬計的客戶個人資料,該公司遭勒索價值過百萬港幣的比特幣作為贖金之餘,更一度需要全線分店停業,業務陷入停頓。

有研究數據指出,勒索軟件攻擊在 2017 年急升了 250%,勒索軟件的相繼爆發可謂有效警醒了企業,Cisco (思科)香港、澳門及台灣區技術總監伍偉強認為黑客活動持續演進,勒索軟件現已進入 2.0 年代。

伍偉強解釋,「以往勒索軟件事件零碎,黑客策略偏向「漁翁撒網」,用電郵等形式廣發惡意連結,資料被鎖定後勒索約幾百元美元。但自去年 5 月 WannaCry 事件爆發,勒索軟件已視為演進至2.0:它附加了蠕蟲 (worm) 的特性 – 當 WannaCry 入侵一部電腦,它會自動掃描攻擊目標電腦的網絡連接,是否存在 Windows 系統中的 SMB 漏洞,過程中全無任何人手干預。該蠕蟲式散播的特性讓 WannaCry 在短短數天時間,已在全球逾 150 個地區策動攻擊,逾 20 萬個用戶電腦『中招』。」

除了勒索軟件的技術更進一步,黑客行業商業化亦是網絡攻擊頻繁的原因之一。回顧 2017 年,全球大大小小黑客事件一浪接一浪,皆因黑客行業愈趨工業化,完善的生態系統令普通網民也能輕易付錢「購買」勒索軟件程式,只需負責「散播」程式就能獲取佣金。比起傳統 IT 行業,多宗成功黑客攻擊個案彷彿令黑客工業更能吸引人「入行」。加上近年比特幣等眾多虛擬貨幣掀起的升值狂潮,令更多黑客和不法分子看到當中的龐大利益,可以預見勒索攻擊仍會新一年的主要安全威脅。

伍偉強補充,「除此之外,黑客目標更顯針對性及持續性。黑客為了勒索更高額的贖金,甚至以破壞系統為目標,不惜多花工夫研究某行業或某機構的資訊科技架構,找出漏洞並針對性地進行攻擊。無論黑客的目標為何,我們已見黑客成為「專業」,他們更願意投資時間及精力,發動周詳的攻擊計劃,以獲取更大的回報。」

 

勒索軟件 2.0 時代 企業網絡保安需無處不在

為了對付勒索軟件 2.0,企業不能單靠防火牆,在網絡周邊築起圍牆就能百份之百對抗入侵。企業必須採用自動化及擁有追溯功能的網絡保安方案,萬一惡意程式進入及潛伏在網絡中,也能有效地即時偵測及迅速把受感染的裝置隔離,並把其影響減至最低。

企業必須從建立網絡時就整合安全元素,以確保網絡每一個角落都能受保護;並配合實時的全球網絡活動情報,緊貼黑客的一舉一動,靈活作出應對。Cisco 旗下的網絡保安情報工具 Cisco Umbrella 是基於雲端的保安平台,能保護日漸面向流動及雲端的企業營運模式,有效阻擋進階的威脅。它能夠在用戶連接到互聯網前,就能第一時間防衛,並當用戶瀏覽互聯網時,即時檢測威脅。

 

DNS 層級辨析已知及新型威脅

背後的重點在於 Cisco Umbrella 會分析 DNS 請求來辨析惡意攻擊,透過 Cisco 資安情報中心 Talos 及專門的演算法,Cisco Umbrella 已可分析出大部分惡意程式中會使用到的惡意網址規則,從而事先預測會出現的惡意網址並列入黑名單封鎖,並於短時間內自動更新。

當用戶於 DNS 訪問時作出實時防護,其他思科產品也能從 Talos 得到最新的防護資訊,有效防範零日攻擊。而自動同步的資料庫更是跨網絡、不分地域,既縮短了網絡威脅的偵測時間,企業亦無需擔心手動部署安全規則或各地分部資訊不同步導致出現錯漏等問題。

其次 Cisco Umbrella 可以阻擋惡意程式與 C&C 伺服器的通訊。要了解網絡上的安全威脅環境通常要從各方面來源收集資料,而其中一種有用的做法是檢視命令和控制 (Command and Control, C&C)伺服器的各種活動,例如殭屍網路、針對性攻擊等。

Cisco Umbrella 的資料庫中儲存有大量已知的 C&C 伺服器和惡意程式名單,並連接 Talos 資安情報中心的資料庫確保系統可偵測出已知的最新安全威脅,而針對間諜軟件這類惡意程式,即使員工不慎下載並運行軟件,系統亦能即時偵測到,有效阻止感染設備的惡意軟件連接 C&C 伺服器傳送資料或下載更新與 Dropper(病毒植入程式)的可能,從源頭著手封鎖,有效減低資料外洩及黑客遠端控制設備的風險。

Cisco Umbrella 的安全總覽版面只需透過瀏覽器便能打開,透過統一介面即可了解網絡設備和雲端應用等各項連接設備的情況,方便管理人員隨時掌握最新情況。

很多時企業採用不同品牌的設備和軟件來組成防護方案,這種做法無可厚非,但如何有效管理不同品牌的防護產品就成為企業的最頭痛的問題,畢竟需要更多的人力、資源投放去調教這些不同的產品,才能得到最好的效果。

而 Cisco Umbrella 則採用開放式平台,除了可與現有的企業內部系統互相整合外,包括智能裝置、網絡安全設備,以至能夠與第三方的工具整合。只要透過 Cisco Umbrella 的 API,企業便可把現有的網絡安全應用、威脅情報平台、雲端存取安全代理(Cloud Access Security Broker,CASB)等資料傳送至 Cisco Umbrella 並即時執行新安全規則,或者把 Cisco Umbrella 的安全事件資料傳送給自己的安全資訊與事件管理平台(Security Information and Event Management,SIEM)。

 

機器學習分析異常行為 Cisco AMP 判別惡意程式保障終端

網絡層面的惡意攻擊固然要留意,但終端防護亦不能忽視。因為惡意程式可從多個途徑入侵,或者潛伏一輪後才作出惡意行為,Cisco Advanced Malware Protection(AMP)利用了 Cisco Talos 提供的威脅情報來比對網絡內的檔案、遙測數據和檔案行為,從而主動防禦各種網絡威脅。

Cisco AMP 終端版透過程式碼檢查機制,可分析接收到的外部通訊要求或程式當中是否藏有針對漏洞寫成的攻擊程式碼,配合沙盒 (Sandbox) 機制和機械學習 (Machine Learning) ,有助系統更準確、安全地分析未知程式,一經判定為惡意程式,Cisco AMP 便會立刻阻擋惡意程式入侵網絡內的終端設備、電郵系統等網絡閘道。

從檔案進入網絡的一刻起,Cisco AMP 便會透過防毒軟件引擎、一對一特徵識別、機械學習和模糊式指紋識別開始監視,發現有問題的話便會馬上阻擋。檔案可在進入系統後才執行惡意行為,故 Cisco AMP 是會一直監視、分析和記錄檔案活動。當惡意行為出現時,Cisco AMP 便會提供檔案程式的來源、現處位置和活動,企業內的 IT 部門便可馬上封鎖檔案和作出補救。

此外,近數年興起的無檔案 (fileless) 惡意程式攻擊亦值得企業注意。所謂無檔案惡意程式,是指存在於記憶體而非硬碟中的惡意程式,它通常是在使用者造訪惡意網站或點選惡意廣告時進行感染,有時亦會利用漏洞而注入某些常用程式的執行程序上,藉以進駐 RAM,進而竊取資料或下載其他惡意程式,由於它並非以檔案的形式存在,因此有機會躲過防毒軟體的偵測。

就著這類無檔案惡意程式攻擊,Cisco AMP 亦有針對性的分析偵測機制,以確保終端受到保護。其原理在於 Cisco AMP 的防止漏洞利用功能 (Exploit Prevention) 可以識別出終端上運行的常用業務應用程式(如 Microsoft 辦公軟件、Firefox/Chrome 等主流瀏覽器),每次執行時都會重新映射 DLL 和連結庫的出入口,並將其移動到隨機位置上。

當惡意軟件試圖訪問或入侵時,就會無法找到上述的應用程式,便會將目標放到誘餌上,這時 Cisco AMP 就能記錄並阻擋惡意程式的嘗試入侵行為,讓在真正的應用程式受到保護。

若讀者想參閱更多 Cisco Umbrella 和 Cisco AMP 等思科網絡安全方案的資訊,詳情可到 https://www.cisco.com/c/en_hk/products/security/index.html 了解。