思科Stealthwatch让WannaCry无计可施

2017-05-19 10:52:00 作者:Hanna Jabbour 分类 : 比特网

  5月12日星期五,互联网上爆发了一个极度危险的全新恶意软件威胁,让全球众多的计算机用户为其胆战心惊。穷其源头,这一名为“WannaCry”的恶意软件原本是掌握在政府机构手中的一个秘密武器,后于一年前被未知攻击者窃取并泄露。

  思科行业领先的Talos威胁情报团队凭借一双火眼金睛,从众多威胁中发现了这一恶意软件,并确认了其威胁性。WannaCry的初始版本通过一个恶意软件载荷在被感染的计算机上安装勒索软件。它会扫描TCP 445端口,以利用部分未打补丁的Windows计算机上存在的漏洞。与蠕虫病毒类似,WannaCry能够在网络中传播,导致大规模感染。

  本博客介绍了客户可以如何利用思科安全解决方案来保护其网络和计算机,以免受此恶意软件及其在未来数天、数周乃至数月可能生成的新变种的攻击。

  感染检测

  WannaCry恶意软件的初始版本利用Server Message Block(SMB)协议来感染网络上运行Microsoft Windows操作系统的计算机,并进行传播。借助Cisco Stealthwatch,网络操作员可以监控网络内的SMB活动。

  Ÿ Cisco Stealthwatch具有内建的报告功能,可以专门跟踪和报告内部主机计算机与互联网上主机之间的SMB流量,此类流量是表明系统感染WannaCry的一个重要迹象。

  Ÿ WannaCry恶意软件还使用SMB流量进行内部传播。Stealthwatch会检测到相同子网内主机使用的SMB流量,并将其判定为可疑活动。

  Ÿ Stealthwatch会针对可疑SMB活动发出多个提醒。它尤其会关注针对大量不同主机发起的激增的SMB流量和SMB联接。这一信息可帮助确定主机是否被WannaCry感染。

  Ÿ Stealthwatch还能够检测并报告到Tor网络、Bogon IP地址和已知命令与控制主机的联接。

  ü 借助持续更新的威胁情报源,Stealthwatch也能够检测到主机与Tor网络和Bogon IP地址的通信。这使得安全人员能够发现任意联接到互联网上可疑主机的内部IP。

  传播检测

  WannaCry恶意软件的初始版本会在网络内部横向传播(从主机到主机),以试图感染尽可能多的主机。在恶意软件触发其勒索软件载荷前,这一传播机制就已经开始。Stealthwatch能够检测到横向移动事件,尤其是相同子网内系统间的此类移动。

  ž 任意侦察和扫描活动,尤其是相同子网内的系统间的此类活动,都会被Stealthwatch跟踪到。

  ž Stealthwatch蠕虫传播检测报告功能可以跟踪并关联成功联接到外部命令与控制主机的扫描活动。WannaCry与其他蠕虫病毒均有着类似的一致活动。

  关联

  思科Stealthwatch将关联在特定主机计算机上观察到的不同活动,并根据每次观察所得的数字评分将该IP判定为可疑。之后Stealthwatch会针对每个主机IP地址,基于一个指数累积这些评分,然后发出名为“威胁指数”(Concern Index)的提醒。威胁指数数值越高,表明主机参与恶意活动的可能性越大。

  确定范围和规避威胁

  通过使用思科Stealthwatch Management Center和仪表板,您可以轻松建立一份简单的报告,列出所有存在可疑活动和可能被感染的系统。借助集成的思科身份服务引擎(ISE),之后您可以隔离可疑计算机,避免WannaCry进一步传播,直至威胁被修复。

  阻止WannaCry传播

  WannaCry在互联网上大肆扩散,我们预计在未来几年还将会看到更多变种。利用Stealthwatch无处不在的渗透力和高级分析功能,您将可以尽早检测到WannaCry活动,阻止其在您的环境中进行传播。

  思科Stealthwatch介绍

  思科Stealthwatch可提供行业领先的网络可视性和安全情报,帮助提高威胁检测、事件响应和调查分析的速度和精确度。该系统能够利用 Netflow 和现有基础设施中的其他态势感知数据,以快捷高效的方式将整个网络转化为一个传感器网。它通过基于行为的自动化学习和关联建模分析,能够快速检测各种异常流量和行为,包括零日恶意软件、分布式拒绝服务(DDoS)攻击、内部威胁和高级持久性威胁(APT)、以及网络分段访问违规等。Stealthwatch的管理界面十分直观、简洁,它通过单一视图展示流量在网络中的横向移动,同时集成了思科Talos的全球信息安全情报,为用户提供一个简单、精致且功能强大的平台,全面增强企业可视化、安全分析、高级威胁感知和事件响应调查的能力。

  思科公司简介

  思科(NASDAQ:CSCO)是全球科技领导厂商,自1984年起就专注于成就互联网。我们的人才、产品和合作伙伴都致力于帮助社会实现安全互联,并且把握未来的数字化机遇。

芥末视频

最近更新
科普

科普图集
互联网校招薪资待遇,最高年薪达56万元

互联网校招薪资待遇,最高年薪达56万元>>详情

互联网+打造科技铁路,旅客出行能刷脸

互联网+打造科技铁路,旅客出行能刷脸>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。