情報,對于現實社會犯罪活動的打擊至關重要。而威脅情報,則是網絡虛擬空間對付網絡犯罪和網絡威脅的核心“抓手”之一。
2015年,一個名叫AnglerEK的網絡犯罪釣魚攻擊惡意程序,橫行全球網絡,以每天9萬用戶的攻擊速度,綁架用戶電腦,向用戶收取贖金,每年不法收入近6000萬美元。當人們茫然無措的時候,思科內部的一個神秘團隊開始出手。他們密切分析了Angler EK,發現其使用漏洞利用工具的代理服務器主要地址,深度分析到該地址的系統中的工具包操作之后,思科通過更新其網絡產品重定向鏈接,實現對攻擊行為的封鎖,直接保護了50%以上的消費者免受感染。同時思科與執法部門合作,提供收集到的犯罪線索,幫助有效打擊犯罪分子。
只此一役,便讓這個名叫“Talos”的神秘團隊,在業界浮出水面,聲名鵲起。在去年的思科網絡安全報告中,它更是準確地預測了今年剛肆虐全球的勒索病毒相關特征與傳播趨勢。這個名為“Talos”的安全團隊,已經成為負責維護思科生態系統內所有安全數據的情報團隊。它每天阻止200億次威脅和8000萬次惡意DNS查詢,接收160億網站請求。
Talos一天的安全分析量
什么是Talos?
思科Talos由一流的威脅研究人員組成,借助思科的復雜高端系統支撐,通過分析惡意軟件、漏洞、入侵行為,以及最新趨勢,提供已知和未知的威脅信息,并將其對威脅情況的理解融入到思科的所有安全產品中。簡而言之,思科Talos的使命是基于智能大數據分析技術,為用戶提供最為全面,最為實時的威脅防御。
Talos擁有超過250名研究人員和600名軟件工程師,堪稱網絡安全行業最大的安全研究團隊之一,其中不乏業界知名的網絡安全大牛。Snort、ClamAV等開源工具和平臺就是他們所寫。其主要分為五個骨干團隊:威脅情報、檢測研究、引擎開發、漏洞研發以及外延服務。
思科Talos團隊的工作是處理大量的原始數據,從中提煉有價值和準確的威脅情報。然后將這些情報傳送給檢測研究團隊,由后者轉換為檢測規則。這些規則會被引擎開發團隊中的軟件工程師用于開發安全產品中的檢測惡意軟件及攻擊威脅的引擎。
而漏洞研發團隊的主要工作是研究零日攻擊,并與一些流行軟件廠商合作,搶在網絡犯罪分子之前,快速解決因漏洞帶來的風險。
最后是Talos的外延團隊,它的主要工作是分享其了解的總體網絡威脅情況,把信息整理歸納并傳遞給外界,類似某些機構的通報中心。而且,任何客戶只要購買了任何一款思科的安全產品,都可以免費獲得思科Talos的威脅情報信息。
以今年5月份全球爆發的勒索病毒WannaCry為例:
3月14日,微軟安全公告發布SMB漏洞補丁(MS17-010)
↓
同一天,Talos發布Snort簽名防御MS17-010漏洞
↓
4月14日,影子經紀人發布永恒之藍與雙子星漏洞利用
↓
4月25日,Talos發布Snort簽名防御雙子星和匿名共享
↓
5月12日,WannaCry開始出現大規模傳播趨勢
↓
當日上午7:30,思科Talos博客宣布發現WannaCry攻擊
↓
7:43,在全球將 kill switch 域推送到新的可見域類別
↓
9:33,首次得到樣本60分鐘內,AMP在終端、電子郵件、Web 網關以及網絡安全產品中實現成功檢測和阻止
↓
10:12,思科將其添加到勒索軟件類別
Talos的威脅情報能力
在安全牛之前發布的文章中曾寫道,“思科Talos采用自動化安全大數據方法分析來自全球的郵件、網站和超過1億5千萬網絡終端設備的威脅情報。每天分析全球1/3的郵件總量(6千億封郵件/每天),每天分析超過150萬獨立惡意軟件樣本,每天收集大約160億網站的請求。舉一個形象的例子,Google 每天搜索量大約為35億次,思科Talos收集分析的量是這個數字的4.5倍。”
以震驚全球的SSHPsychos攻擊事件為例:思科Talos通過部署的“蜜罐”發現有人使用SSH加密協議構建大規模DDoS攻擊,其攻擊活動足足占到了整個互聯網上所有SSH活動的三分之一。思科Talos團隊立刻展開數字化偵探工作,基于集合論和集群算法,通過逆向工程和流量分析,研究人員發現了鎖定攻擊者的線索,并最終精確地鎖定了攻擊來源。
之后,思科Talos與跨國電信運營商 Level 3 以及其他互聯網供應商合作,使用黑洞法屏蔽了全球網絡上所有 SSHPsychos 流量。對 SHPsychos 的反擊成為該年度對黑客進行追緝的最大行動之一。由于其在阻止網絡犯罪方面的貢獻,Talos在網絡安全這個圈子里備受稱贊。
除了250名全職威脅情報研究人員以外,思科在全球還部署了上百萬個遙測代理、1100個威脅追捕程序,擁有4個全球數據中心和超過100家威脅情報合作伙伴。根據ESG去年發布的調查報告,在全球18家網絡安全威脅情報最佳提供商中,思科位列第一:
1.Cisco
2.IBM Security
3.Microsoft
4.Symantec(including Blue Coat)
5.McAfee
6.AWS
7.Dell SecureWorks
8.Check Point
9.Kaspersky
10.Palo Alto Networks
11.RSA Security
12.FireEye
13.Forcepoint
14.Fortinet
15.Imperva
16.Trend Micro
17. Proofpoint
18. Sophos
(Source: ESG Research Survey, October 2016)
Talos威脅情報細分
強大的終端遙測
今年另一次大規模的惡意軟件爆發,是Nyetya勒索軟件。在病毒傳播早期,由于監測到該活動影響的范圍較廣,Talos啟動了稱為TaCERS(Talos 重要事件響應系統)的內部研究和響應流程。TaCERS 將活動分為情報、遙測分析、反向工程、通信和檢測研究,世界各地的Talos 研究人員和工程師共同應對此威脅。
根據終端遙測的結果,明確了名為“M.E.Doc”的烏克蘭會計軟件數據包便是攻擊活動的中心源,Nyetya正是通過所有M.E.Doc更新系統的安裝實現傳播。M.E.Doc 是由烏克蘭一家名為 Intellect Service 的公司創建的會計數據包,它部署廣泛,被用于與烏克蘭稅務系統進行交互。
思科Talos主動直接聯系到這家會計公司并建議提供援助,會計公司非常樂意的接受援助,并向前來調查的分析人員提供了日志文件和代碼的使用權限。事件響應小組結合情報分析、逆向工程升級和遙測分析,確認了以下重要信息:
攻擊者竊取了 M.E.Doc 管理員的證書,得以登錄服務器獲得根權限,并修改了 NGINX Web 服務器的配置文件,導致訪問 upd.me-doc.com.ua 的任何流量將通過更新服務器代理以及關聯到 IP 為 176.31.182.167 的 OVH IP 空間內的主機。
通過服務器上初次和最后的上游錯誤信息與現場終端遙測信息進行比較,Talos確定了攻擊活動主動感染階段的開始和結束時間,之后又確定了Nyetya的傳播機制。
當 M.E.Doc 設備執行初始樣本時,命令行參數與在終端遙測所觀察到數據完美匹配。
思科致力于為人們帶來更加安全的高智能、高性能IT設備和產品。而以Talos團隊威脅情報分析為核心的前沿技術,則成為思科網絡安全產品發展的路徑和趨勢:構建以威脅防御為中心的安全集成架構。這種安全模式將覆蓋整個攻擊過程,減少各種各樣的產品以及互相脫節的解決方案所造成的安全復雜性。
京公網安備 11010502049343號