思科最新威脅洞察：SMB與蠕蟲捲土重來

——思科大中華區副總裁、安全事業部總經理卜憲錄

機器學習、人工智慧及自動化技術幾乎滲透到了每個企業數字化戰略中，強大的網路空間安全基礎設施對於企業在當今市場競爭中取得成功至關重要，企業用戶正在比以往任何時候都更加註意在網路空間安全方面的投資。不久前，專註於科技產業市場研究的Canalys發布的報告顯示，2018年全球在網路空間安全技術方面的支出預計將超過370億美元，這比2017年增長了9.1％。Canalys的調查表明，網路空間安全成為最大的增長點，思科安全的市場份額持續增長憑藉14.3%的增長率引領該市場，成為全球最大的網路空間安全供應商。

SMB與蠕蟲捲土重來分層防護全面可視

網路空間威脅形勢嚴峻、網路安全攻防戰正愈演愈烈。儘管如此，網路威脅趨勢仍然有跡可循，它存在著明顯的周期性規律——有些惡意軟體會以技術迭代的方式不斷出現，而有些攻擊類型和攻擊方法雖已過時，但仍會藉助某些新的載體出現。以最為熟知的網路共享為例，這種技術可以讓用戶通過網路共享文件和文件夾。網路共享一直是計算機蠕蟲最常攻擊的目標，但是近年來攻擊者逐漸棄用了這種攻擊途徑，轉而熱衷於利用郵件和受感染網站發起攻擊。

大家還記得，幾年前知名勒索病毒WannaCry如野火般在整個威脅形勢中開闢了一條破壞之路，對世界各地的政府和各行各業造成了嚴重的損害，再次將網路共享拉回公眾的視野中，而這次攻擊的突破口是一種常用的重要協議：伺服器消息塊 (SMB)。後來的Nyetya亦利用了SMB相關的漏洞來勢洶洶，一旦感染隨即宕機，讓受攻擊者無力回天。除此之外，SamSam、BadRabbit 和 OlympicDestroyer 等威脅利用不同的工具來侵入網路，隨後它們都會利用 SMB 來遍歷網路。時至今日，這些惡意威脅的直接衝擊已然淡去，但這並非意味著幫助它傳播的機制可以被忽略——儘管網路威脅攻擊者各不相同，但足以證明基於SMB文件共享傳播的脆弱程度可見一斑。

值得一提的是，2019年1月的最新調查顯示，開放在互聯網上的SMB漏洞主機仍有200多萬個。我們的下一代IPS設備使用的多個SMB入侵檢測規則一直在觸發率最高的十大規則之列，而這主要源於，SMB 使用的主要埠——埠 445通常處於開放狀態。從2018 年10月到11月這兩個月的認知情報遙測數據，可以發現終端上的SMB埠活動呈現相當穩定的模式，這表明攻擊者經常使用 SMB 作為攻擊途徑，而11月13日SMB事件數量相比往常近乎6倍的激增，也毫無例外地印證了大量的SMB安全事件持續爆發的趨勢。

高級威脅的攻擊者無時無刻不在找尋滲透IT環境的途徑，郵件系統往往是企業IT環境中抵禦攻擊時最薄弱的環節。另一方面，在全球安全威脅之下，沒有任何一個安全環境可以獨善其身。當前，攻擊者的目標已經不僅限於IT環境，OT環境下的企業也面臨著相同的威脅，SMB協議在製造業和基建設施中廣泛使用，也使得其所遭受的攻擊隨之增多，而隨著業務數據價值的提高，OT環境下的企業所面臨的威脅隨之增大，造成的損失不可估量。以製造業為例，遭受攻擊導致的系統問題可能會對生產、營業額、人力資源和客戶等發生一系列毀滅性的連鎖反應。

如何防範與SMB相關的攻擊呢？最簡單的辦法是停止使用 SMB，目前幾乎沒有什麼理由要繼續使用它。通過 SMB 連接計算機來共享文件並非明智之舉，改用專用的文件伺服器或基於雲的產品大有裨益。除此之外，思科安全也可以為客戶提供全面可視、分層防禦的解決方案，幫助應對該威脅：

加強郵件安全：郵件是最重要的業務通信工具，同時也是網路攻擊活動最主要的目標。事實上，根據思科的年度網路安全報告，攻擊者已經將郵件作為傳播惡意軟體的主要媒介。攻擊者還會利用社交工程技術發起複雜且有高度針對性的企業郵件入侵 (BEC) 和網路釣魚活動；思科郵件安全包括高級威脅防禦功能，可以更快地檢測、阻止和修復傳入郵件中的威脅。同時，它可以保護組織的品牌，防止數據丟失，並通過端到端加密在數據傳輸過程中保護重要信息。目前，思科領先的郵件安全方案可免費試用14天，幫助用戶阻止網路釣魚、企業郵件入侵、勒索軟體和垃圾郵件，並增強郵件安全性，實現真正有效的防禦能力

思科Stealthwatch提供全面網路可視化：可以檢測與 SMB 共享的連接，對此活動進行關聯分析，從而向管理員發出警報

思科Tetration提供數據應用可視化：Tetration的零信任模式可持續監控合規性偏差，在幾分鐘內發現網路中的違規情況；同時對伺服器上運行的進程行為進行基準測試，識別符合惡意軟體執行形式的行為偏差

面向終端的高級惡意軟體防護 (AMP)：持續監控和安全追溯功能可以阻止利用 SMB進行傳播的惡意威脅

思科網路安全設備（例如 NGFW、NGIPS 和 Meraki MX），可以檢測與 SMB 攻擊相關的惡意活動

思科ThreatGrid：可以幫助識別惡意文件行為，並自動通知所有思科安全產品

思科「每月熱點威脅」 安全為先精準剖析

以上關於SMB和蠕蟲威脅最新動態的詳解，事實上是思科「每月熱點威脅」報告其中的一期。思科作為全球領先的網路安全情報的最佳提供商，我們的威脅情報智能研究分析團隊思科Talos不僅為思科的安全研究和安全產品服務提供了強大的後盾支持，也日益成為第一時間幫助用戶應對「未知威脅」的信息情報來源和應對方案的提供者。正是因為如此，思科才能提供關於威脅的及時響應和周詳解析，以及為客戶提供安全產品解決方案的全面防護。

往年，思科以年度為單位，定期推出思科年度安全報告，幫助用戶從宏觀角度把握安全局勢和業態發展，最近思科以「思科網路安全報告系列」為主題發布了一系列報告，包括《思科2019年首席信息安全官（CISO）基準研究報告》、《2019年思科數據隱私基準研究報告》以及《2019年思科威脅報告》等，對全球網路安全態勢和安全領導者進行深入研究和分析。如今，在此基礎上，為了更精準且高效地應對全球變幻莫測的網路威脅態勢並提供阻止這些威脅的領先方案，思科還推出了「每月熱點威脅」報告，內容涵蓋不同類別的熱點威脅信息，以及針對全球最常見的威脅的詳細分析，以幫助用戶更好地掌握最新威脅信息和防禦的最佳實踐。近期發布的有關數字化詐騙勒索與惡意加密貨幣挖礦等惡意威脅同樣可在思科「每月熱點威脅」中一窺究竟。

毋庸置疑，隨著新威脅的出現，安全將對未來各個業務的成功發揮巨大的作用，思科在網路和安全技術領域多年的積累和持續創新是思科承諾給用戶的最重要的安全保障。我們始終希望我們的客戶處於數字業務轉型的最前沿，構建全局安全，戰勝網路威脅。思科將為客戶提供免費試用其領先的安全防禦技術的機會，知曉最新的攻擊威脅分析和防禦技術，更多內容請查看：https://www.cisco.com/c/m/zh_cn/products/security/offers/threat-of-the-month.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！