在萬物互聯(lián)的時代，企業(yè)享受著“互聯(lián)”帶來的無盡的“商機(jī)”。與此同時，黑客也悄悄分享著“互聯(lián)”帶來的紅利。以各種形式的網(wǎng)絡(luò)為戰(zhàn)場，一場無形的戰(zhàn)爭正在打響。思科Talos安全情報及研究團(tuán)隊(duì)分析評估黑客活動，入侵企圖，惡意軟件以及漏洞的最新趨勢。在這場戰(zhàn)爭中為用戶提供了強(qiáng)大的后盾支持。

嘉賓介紹

[[167855]]

李嵩，現(xiàn)任思科企業(yè)及商業(yè)事業(yè)部安全顧問。在安全行業(yè)從業(yè)超過十年，主要致力于企業(yè)的網(wǎng)絡(luò)安全整體解決方案，在安全架構(gòu) 安全運(yùn)維 風(fēng)險評估有著豐富的經(jīng)驗(yàn)，曾經(jīng)作為安全顧問為北京奧運(yùn)會、新華網(wǎng)、新加坡青年奧運(yùn)會等重大活動提供安全咨詢。

以前的防御措施主要采用防火墻和IPS，一旦攻擊來了就可以快速攔截下來，進(jìn)行最快的攻擊類型匹配和識別，這是早期的企業(yè)常規(guī)部署方式。并且互聯(lián)網(wǎng)出口往往被定義為安全威脅的邊界，但是隨著業(yè)務(wù)本身的擴(kuò)展，逐漸意識到安全是內(nèi)外網(wǎng)都需要保護(hù)的。安全的結(jié)構(gòu)隨著互聯(lián)網(wǎng)以及客戶業(yè)務(wù)而變化著，固守的方式已經(jīng)不能真正解決攻擊所帶來的威脅了。所以現(xiàn)在從被動防御改為主動防御，也就是說既要把控外網(wǎng)的威脅進(jìn)行防御，也要分析內(nèi)網(wǎng)的行為，內(nèi)外網(wǎng)兼顧，從而做到快速實(shí)時的響應(yīng)。內(nèi)網(wǎng)的交換機(jī)和路由器都可以幫助收集信息，當(dāng)威脅分析被確認(rèn)，便可采取聯(lián)動安全，內(nèi)網(wǎng)的網(wǎng)絡(luò)連接設(shè)備都可以作為安全的攔截點(diǎn)，把威脅的隔離信息快速推送到接入點(diǎn)上，將威脅化解為零，這樣就可以將防御性轉(zhuǎn)換成主動性，讓網(wǎng)絡(luò)的威脅防御更加適合客戶業(yè)務(wù)的發(fā)展。

而現(xiàn)在的攻擊方式越來越隱蔽，惡意軟件都有一個潛伏期，在潛伏期中并不會發(fā)作，當(dāng)防御系統(tǒng)探測到這種惡意軟件的時候，就會進(jìn)行長時間的監(jiān)控，同時獲取其哈希碼確定傳播的軌跡，監(jiān)測其是否進(jìn)行了端口掃描和傳播。一旦在其他客戶網(wǎng)絡(luò)也發(fā)現(xiàn)同樣的惡意軟件爆發(fā)，將可以快速同步和查殺。

另外一種方式，可以設(shè)置一個完全真空的空間，讓惡意軟件釋放，從而了解其危險性，一旦發(fā)現(xiàn)有危險操作便可直接查殺。這里思科Talos團(tuán)隊(duì)也基于大數(shù)據(jù)平臺進(jìn)行威脅情報分析，對來自廣域網(wǎng)上的掛馬URL、威脅網(wǎng)站、惡意的郵件服務(wù)器以及DNS都進(jìn)行評級，不論點(diǎn)擊惡意網(wǎng)站或者接受威脅郵件，都可以直接匹配威脅情報進(jìn)行快速除掉。

惡意軟件的越權(quán)訪問就像頑固污漬一樣令人頭痛。李嵩說，其實(shí)每個傳播流程中都可以設(shè)攔截點(diǎn)。惡意軟件在進(jìn)行傳播的時候，很多是通過郵件或者URL使用戶感染。當(dāng)郵件和Web網(wǎng)關(guān)防御感知到這是惡意行為，便會直接查殺。如果惡意軟件滲入到第二個環(huán)節(jié)，進(jìn)行內(nèi)網(wǎng)掃描和傳播時，防御系統(tǒng)會基于跟蹤內(nèi)網(wǎng)被感染的主機(jī)，這些主機(jī)是否進(jìn)行越權(quán)訪問，安全與否感染了沒有。在惡意軟件進(jìn)入第三個環(huán)節(jié)，找到重要的宿主機(jī)后就會開始數(shù)據(jù)的盜取，或者進(jìn)行一些惡意操作，這時防御系統(tǒng)可以直接對其遠(yuǎn)程的CnC主機(jī)進(jìn)行DNS攔截。最后惡意軟件在主機(jī)的爆發(fā)時，通過主機(jī)層面的查殺，可以直接從主機(jī)層面攔截。每個威脅過程都有相應(yīng)的解決辦法，這便組成了完整的思科惡意軟件防護(hù)解決方案。

在此李嵩分享了一個很有意思的案例。

思科的有些客戶經(jīng)常在晚上遭受DDos的攻擊，廣域網(wǎng)上有超過60GB的DDoS流量席卷而來，使其業(yè)務(wù)無法正常運(yùn)行。隨后思科與運(yùn)營商共同建立DDos清洗中心，用來幫助用戶解決惡意流量的問題。流行的DDos流量分為兩種。像大規(guī)模的攻擊，必須通過建立“清洗中心”解決，因?yàn)楹樗呀?jīng)堵到家門口，必須聯(lián)合運(yùn)營商進(jìn)行清洗；應(yīng)用級別的DDos攻擊，流量較小，同樣威脅也很大，我們可以是直接進(jìn)行業(yè)務(wù)線上清洗。

防御方多半會收集攻擊信息作為“攻擊取證和溯源”，其實(shí)攻擊方同樣會收集防御信息，這是一個交互博弈的過程。現(xiàn)在最流行高持續(xù)型威脅攻擊、惡意信用、長期攻擊等攻擊方式，不斷收取網(wǎng)絡(luò)防御信息，每個防御點(diǎn)的設(shè)備是什么，還有哪些漏洞；防御方也會不斷收取攻擊信息，分析、加固然后擊破攻擊方。所以在攻擊和防御這兩者間，誰能快速建立自己的攻防體系，誰能把重要的威脅信息快速共享才是最重要的。