很多人都抱怨過(guò)，幾十年前可謂藥到病除，現(xiàn)在的病毒都有抗藥性，得了病很難治。在安全領(lǐng)域，隨著技術(shù)公司和惡意攻擊者之間的對(duì)抗不斷升級(jí)，高級(jí)惡意軟件也具備了種種“抗藥性”，傳統(tǒng)的安全產(chǎn)品既不能顧及企業(yè)安全的每個(gè)邊角，也欠缺足夠的甄別和處理能力。根據(jù)這種情況，思科推出了高級(jí)惡意軟件防護(hù)（AMP）產(chǎn)品，幫用戶構(gòu)筑新型安全體系。

　　惡意文件進(jìn)入終端了怎么辦？思科AMP分三步解決這個(gè)問題：

布局網(wǎng)絡(luò)／終端／郵件的全環(huán)境，運(yùn)用獨(dú)有的持續(xù)性分析技術(shù)，打造全方位全天候的監(jiān)控網(wǎng)；

通過(guò)Threat Grid 引擎、Cisco Talos小組、綜合安全情報(bào) (CSI) 云分析以及高級(jí)沙盒，確定威脅；

通過(guò)基于持續(xù)性分析的文件軌跡功能，對(duì)惡意軟件的傳染源和所有相關(guān)文件進(jìn)行“外科手術(shù)”般的精準(zhǔn)定位、隔離、清理和恢復(fù)，并建立惠及所有用戶的整體性免疫。

一、全環(huán)境的持續(xù)性分析

檢測(cè)是防范的第一步，也是黑客和安全體系的初次交鋒。惡意軟件有兩點(diǎn)讓企業(yè)防不勝防。首先，惡意軟件能通過(guò)多個(gè)攻擊媒介進(jìn)入組織，很多組織不具備相應(yīng)的全面可視性來(lái)實(shí)現(xiàn)全面防御。其次，高級(jí)惡意軟件會(huì)絞盡腦汁地掩蓋自身目的，這大大增加了檢測(cè)的難度。比如，多態(tài)和變形技術(shù)可通過(guò)形態(tài)的自更改來(lái)騙過(guò)簽名引擎，自擦除型木馬可以刪除自身組件來(lái)蒙混過(guò)關(guān)。

這就讓在某一環(huán)境（終端、網(wǎng)絡(luò)、郵件）部署時(shí)間點(diǎn)策略的防御措施束手無(wú)策。也就是說(shuō)，傳統(tǒng)惡意軟件像是正面作戰(zhàn)的軍隊(duì)，只要加固邊防就可以防范，高級(jí)惡意軟件則像無(wú)孔不入的間諜，潛入核心地帶再伺機(jī)破壞，更隱蔽也更具針對(duì)性。

對(duì)此，AMP建立了一種全方位封鎖：橫向上，AMP建立了面向網(wǎng)絡(luò)-端點(diǎn)-郵件的全平臺(tái)安全體系；縱向上，AMP采取了持續(xù)性監(jiān)控分析，可以了解整個(gè)物理和虛擬環(huán)境上每個(gè)文件的完整生命周期。

AMP的全環(huán)境安全體系的實(shí)質(zhì)是將安全防護(hù)落實(shí)到每一臺(tái)設(shè)備上。據(jù)思科2017年中網(wǎng)絡(luò)安全報(bào)告統(tǒng)計(jì)，目前38%的企業(yè)有10家以上安全供應(yīng)商，這就導(dǎo)致產(chǎn)品間缺乏有效集成、總成本高昂、復(fù)雜性跳躍增長(zhǎng)、安全狀況可視化程度較低。而作為全球最大的網(wǎng)絡(luò)安全解決方案提供商，思科的產(chǎn)品在兼容性、覆蓋面和可視化等方面具有得天獨(dú)厚的優(yōu)勢(shì)，從網(wǎng)絡(luò)邊緣到終端的解決方案的協(xié)作，可以大幅縮短檢測(cè)和補(bǔ)救的開銷。

　　思科AMP細(xì)分產(chǎn)品

如果說(shuō)，全環(huán)境安全體系是一座長(zhǎng)城，持續(xù)性分析技術(shù)就是城上的守軍，這種主動(dòng)防御技術(shù)是思科AMP最獨(dú)特的能力之一。

與傳統(tǒng)的時(shí)間點(diǎn)防御不同，AMP會(huì)不間斷地監(jiān)控、分析并記錄所有文件的活動(dòng)和通信，無(wú)論惡意軟件于何時(shí)何處發(fā)難，都能做出有效的應(yīng)對(duì)。

持續(xù)性分析還有著三種獨(dú)有能力：

隨時(shí)反應(yīng)能力，只要潛伏的惡意軟件有所動(dòng)作，AMP可以進(jìn)行即時(shí)響應(yīng)；

模式識(shí)別能力，借助持續(xù)性分析獲得的信息，AMP的危害表現(xiàn)（IoC）功能可以識(shí)別多個(gè)關(guān)聯(lián)事件（即使每個(gè)事件都看似無(wú)害）背后的惡意軟件模式；

追溯性安全能力，一旦出現(xiàn)狀況，惡意軟件的來(lái)源、行為以及去向都會(huì)一目了然，進(jìn)行清理或修復(fù)都會(huì)更方便和有效。

二、基于威脅情報(bào)的前瞻性分析

檢測(cè)到異常行為之后，安全體系必須對(duì)情報(bào)加以分析和確認(rèn)。思科的分析能力在業(yè)界是有口皆碑的。為了衡量企業(yè)的安全能力，思科定義了平均威脅檢測(cè)時(shí)間(TTD)這一指標(biāo)，用以指代從發(fā)生入侵到發(fā)現(xiàn)威脅之間的時(shí)間窗。思科的平均TTD中值已經(jīng)從2016年11月的39.2小時(shí)縮短到了今年5月的3.5小時(shí)。而業(yè)界平均檢測(cè)時(shí)間是100-200天。

這種分析能力的飛躍源于思科龐大的數(shù)據(jù)源和前瞻性的團(tuán)隊(duì)。

為了收集威脅情報(bào)，思科建立了由數(shù)千家企業(yè)和數(shù)百萬(wàn)終端支持的全球覆蓋網(wǎng)絡(luò)，還部署了上百萬(wàn)個(gè)遙測(cè)代理、1100個(gè)威脅追捕程序，擁有4個(gè)全球數(shù)據(jù)中心和超過(guò)100家威脅情報(bào)合作伙伴。因此，在ESG去年發(fā)布的網(wǎng)絡(luò)安全威脅情報(bào)提供商榜單中，思科位列第一。

這些情報(bào)將交由Threat Grid引擎、Cisco Talos安全情報(bào)和研究小組以及綜合安全情報(bào) (CSI) 云分析。以Talos團(tuán)隊(duì)為例，它每天阻止200億次威脅和8000萬(wàn)次惡意DNS查詢，接收160億網(wǎng)站請(qǐng)求，更是在去年的思科網(wǎng)絡(luò)安全報(bào)告中準(zhǔn)確地預(yù)測(cè)了今年肆虐全球的勒索病毒特征與傳播趨勢(shì)。此外，Talos還與IBM X-Force等團(tuán)隊(duì)展開合作，共同開展威脅情報(bào)研究。

此外AMP的高級(jí)沙盒整合了全球大數(shù)據(jù)分析、模糊匹配指紋、內(nèi)置防病毒引擎、Rootkit 掃描等技術(shù)，可以依據(jù) 700 多種行為表現(xiàn)，對(duì)文件自動(dòng)執(zhí)行靜態(tài)和動(dòng)態(tài)分析。

10月24日，一種名為“壞兔子”(BadRabbit)的勒索病毒攻擊了俄羅斯、烏克蘭等國(guó)的多處計(jì)算機(jī)網(wǎng)絡(luò)。壞兔子和之前爆發(fā)的“魔窟”（WannaCry）、Petya等勒索病毒類似，都會(huì)以一臺(tái)終端為跳板，迅速擴(kuò)散到整個(gè)局域網(wǎng)等其他設(shè)備。思科第一時(shí)間做出了回應(yīng)，下圖為思科Threat Grid高級(jí)沙盒技術(shù)的部分檢測(cè)報(bào)告。

　　思科Threat Grid高級(jí)沙盒技術(shù)對(duì)“壞兔子”的識(shí)別和分析

三、精準(zhǔn)追溯和阻斷

傳統(tǒng)的時(shí)間點(diǎn)防御技術(shù)不僅在辨別能力上有所欠缺，而且無(wú)法跟蹤偽裝過(guò)的惡意軟件在環(huán)境中的擴(kuò)散情況、探明根本原因，或確定潛在的惡意軟件網(wǎng)關(guān)（即成為擴(kuò)散源的系統(tǒng)）。

在上文介紹的持續(xù)性分析的基礎(chǔ)上，思科AMP打造了打造了“追溯性安全”的概念。用戶可以通過(guò)文件軌跡的功能，還原惡意軟件入侵的“案發(fā)現(xiàn)場(chǎng)”，查找接觸感染文件或曾表現(xiàn)出攻擊行為模式的設(shè)備，對(duì)惡意軟件擴(kuò)散情況（包括進(jìn)入點(diǎn)信息）、惡意軟件活動(dòng)，以及受感染的終端等信息一目了然。

下圖是“壞兔子”勒索軟件在某終端的傳播軌跡。隨著時(shí)間的推移（從左到右表示時(shí)間），傳染源進(jìn)行了一系列創(chuàng)建或運(yùn)行行為，用戶正在查看惡意文件的路徑、沿襲等信息，這種洞察力是其他廠商無(wú)法實(shí)現(xiàn)的。

　　對(duì)“壞兔子”的追溯過(guò)程

思科AMP終端保護(hù)工具（AMP for Endpoints），借助于云端沙盒分析技術(shù)，利用了包括大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、模糊匹配指紋、內(nèi)置防病毒引擎、Rootkit掃描等多種技術(shù)，自動(dòng)檢測(cè)和攔截各種惡意代碼威脅。當(dāng)終端PC下載或運(yùn)行帶有惡意代碼的文件時(shí)，AMP將實(shí)時(shí)檢測(cè)，并根據(jù)預(yù)先設(shè)定的策略進(jìn)行告警或隔離，并呈現(xiàn)出結(jié)果。

　　這種洞察能力是必要的。

首先，在面對(duì)大量危害事件時(shí)，用戶可以通過(guò)情報(bào)來(lái)確認(rèn)危害的處理優(yōu)先級(jí)；在進(jìn)行危害控制時(shí)，用戶可以從檢測(cè)模式切換到控制模式，快速探明感染的規(guī)模和根本原因，從而有效阻止進(jìn)一步感染；清理是重點(diǎn)也是難點(diǎn)所在，用戶需要第一時(shí)間對(duì)惡意源頭和已經(jīng)被感染的設(shè)備進(jìn)行“斬首”來(lái)避免威脅擴(kuò)散，如果不能洞悉惡意行為的每一個(gè)細(xì)節(jié)，就很難做到斬草除根；最后，由于AMP搜集了惡意軟件的沿襲、使用、依賴關(guān)系、通信和協(xié)議等信息，用戶可以發(fā)現(xiàn)惡意攻擊背后的誘因，比如那些軟件引入了惡意軟件。

此外，AMP通過(guò)龐大的裝機(jī)量建立了一種以數(shù)據(jù)為核心的部署-反饋的良性循環(huán)。惡意軟件的配置文件和表現(xiàn)會(huì)第一時(shí)間添加到大數(shù)據(jù)分析引擎中，該攻擊的每個(gè)實(shí)例都會(huì)被阻止，使其沒有機(jī)會(huì)進(jìn)入AMP用戶的設(shè)備或網(wǎng)絡(luò)。AMP裝機(jī)量越大，阻斷的性能越好，反過(guò)來(lái)阻斷也為AMP的裝機(jī)量增長(zhǎng)提供了發(fā)力點(diǎn)。

總結(jié)

通過(guò)以上的三個(gè)防御環(huán)節(jié)，不難發(fā)現(xiàn)，AMP的核心優(yōu)勢(shì)在于：

1. 情報(bào)

思科在ESG的網(wǎng)絡(luò)安全威脅情報(bào)提供商榜單上位列第一，這種領(lǐng)先直接體現(xiàn)在AMP的分析能力上，也體現(xiàn)在阻斷性能上。

2.集成化架構(gòu)

思科是全球最大的網(wǎng)絡(luò)安全解決方案提供商，因此可以建立起細(xì)致、便利的全環(huán)境一體化的安全體系；所有安全產(chǎn)品自動(dòng)化聯(lián)動(dòng)協(xié)作，實(shí)時(shí)共享威脅情報(bào)，最終幫助用戶實(shí)現(xiàn)有效的安全

3.持續(xù)性分析能力

AMP可以對(duì)用戶的整個(gè)物理／虛擬環(huán)境進(jìn)行持續(xù)性檢測(cè)，這不僅讓潛伏的高級(jí)惡意軟件無(wú)所遁形，也是可視化的追溯性安全（精準(zhǔn)的軌跡發(fā)掘、呈現(xiàn)和清理功能）的基礎(chǔ)。

在2017年IDC Marketscape的終端報(bào)告中，思科終端安全防護(hù)產(chǎn)品-面向終端的AMP被評(píng)為行業(yè)的“領(lǐng)導(dǎo)者”，其“戰(zhàn)略”緯度更是走在行業(yè)最前沿，這是對(duì)思科近期的嘗試和改進(jìn)的肯定。

　　IDC Marketscape終端安全報(bào)告