2015年10月28日星期三

AMP快速偵破惡意程式 思科搗破黑客大本營


思科大力拓展IT保安,包括了收購開發了公開源碼的Snort「入侵偵察系統」(intrusion detection system, IDS)的SourceFire。Snort是全球最先進IDS之一,研究機構Gartner在Magic Quadrant中評之為領導者。

思科不單收購了先進的IDS,也同時重塑了IT保安理念,著眼於目前的保安設備過於分散,廠家過多,管理整合花去不少時間,互相不協調。即使說,前端保安設備探測有入侵活動,其他防禦設備無法協調,馬上提供保護,結果還是功虧一簣。以零售商Target的POS受入侵為例,沙盒設備已探測到不尋常活動,並發出警告,但保安人員沒有馬上隔離病毒,結果洩露大批用戶資料,Target行政總裁亦因此下台。

目前,企業有太多保安設備須要整合,往往只見樹木不見森林。思科則從整個架構(Infrastructure)出發,綜合所有訊息來判斷惡意程式,利用網絡作為感應器(Sensor),更快偵察出威脅,找出可疑流量、違反規定的行為和遭入侵設備,所以思科不像HP或IBM,通過收購SIEM項目判斷入侵。然後,思科再利用網絡作為攔截的執行工具(Enforcer),通過結合思科「身份服務引擎」(Identity Services Engine,ISE)加上TrustSec技術,以軟件定義方式,隔離懷疑有問題的網絡部分,毋須好像美國新力集團一樣,每次受網絡攻擊,就全面關閉企業網絡,嚴重打擊正常業務。

Talos搗破網絡綁匪集團

思科也成立了蒐集和分析網上威脅,打擊黑客活動和蒐集病毒情報,Talos團隊成員均來自思科保安專家和SourceFire分析人員。Talos擁有極先進的分析基建,每天檢查數以十億計網站訪問和電郵,可探測到數以百萬計攻擊,並作出保護反應。最近,Talos就瓦解全球一半,以技術最先進勒索工具Angler Exploit Kit發動攻擊的服務器。

近年,網上有不少勒索工具(Ransomware)惡意程式出現,可繞過保安設備,同時攻擊大量終端設備,加入偽裝的廣告或勒索,被入侵電腦的檔案,全遭加密無法開啟,必須支付贖金才獲解密。目前,有不少類似惡意程式在黑市出售,每次勒索金額約為三百美元。估計全球以Angler進行攻擊的綁匪,每年竊取金額達六百萬美元。

然而,互聯網服務供應商(ISP)也很難知悉客戶有否綁匪存在,因為所有勒索工具連接已加密,類似勒索活動卻加重ISP支援負擔;最近Talos就追溯到,不少以Angler控制受害人電腦的Proxy服務器;均從美國一家名為Limestone Networks的ISP發出指令,每日多達九萬用戶受攻擊,佔全球Angler勒索案一半,估計其中3%受害者支付贖金,每年收益已達三百萬美元。Talos與Limestone Networks合作執法,關閉了有關服務器,重擊了全球Angler勒索集團。

OpenDNS加強雲端保安

Talos成功打擊Angler勒索集團,全憑與向全球ISP提供服務的Level 3合作,並獲「軟件即服務」保安廠商OpenDNS協助,探測直達勒索活動源頭。最近,思科更以六億三千五百萬美元代價,全面收購了OpenDNS,增強雲端服務的保護能力。

思科保安業務部門首席工程師Jason Brvenik向全球IT新聞人員介紹,不少威脅都是精心策畫,加上數碼經濟和IoT興起,黑客犯罪誘因更大,必須縮短惡意程式偵破時間(Time to detection, TTD),以往惡意程式從受感染至偵察,需時約一百至二百天。思科通過SourceFire開發的AMP(Advanced Malware Protection)技術,即使零日惡意程式成功越過了檢測防線,只要平均四十六小時,亦會被AMP的追溯分析偵破。「思科AMP創下了業界最快偵破APT惡意程式的紀錄,已超越了不少沙盒技術。」



沒有留言:

發佈留言