【IT168 评论】在网络安全领域，有一句话小编觉得特别适用，那就是“一朝被蛇咬，十年怕井绳”，去年5月份的WannaCry勒索蠕虫病毒攻击事件，以及6月份的Petya勒索病毒的变种扩散事件给不少企业都带来了不小的创伤。勒索软件也因此给大家留下了非常深刻的印象，我们不禁要思考，对于勒索软件我们应该如何进行有效的防御呢?为此我们特地邀请到思科全球副总裁、大中华区首席技术官曹图强，来和我们进行沟通交流，探讨思科在与勒索软件的对抗中都做了哪些工作。

▲思科全球副总裁，大中华区首席技术官 曹图强

　　曹图强表示，勒索软件攻击已经成为安全领域的最大威胁，并且已经成为一种常态，我们看到其中有一部分勒索软件正迅速恶化演进成为 Crimeware(犯罪软件)。而思科Talos研究发现，相较于勒索软件1.0–WannaCry，Nyetya 已经演变成为Crimeware，曹图强认为这将会打破原有的安全防御平衡。

　　在与勒索病毒的攻防对抗过程中，思科认为恶意软件在去年的快速演进表明我们的对手在不断学习。我们现在必须提高标准，推行自上而下的领导力、业务主导、技术投资和践行切实有效的安全措施等行动。我们面临着严峻的风险，必须通过这些举措来降低风险。

　　此外，面对日益猛烈和智慧化的恶意攻击，如今碎片化的安全解决方案无法实现真正有效的防御，思科认为安全产品之间必须要能够联动协作。只有集成化架构式的防御，实时共享威胁情报，才能实现全面有效的安全。

　　深析国内用户痛点

　　面对勒索软件，中国用户又面对着哪些痛点问题呢?对此曹图强以医疗行业为例向我们做了简单的分享：曹图强谈到，“勒索病毒”肆虐全球信息网络，医疗机构成为了受威胁影响最严重的“灾区”之一。医疗行业最为看重数据的隐私性和业务系统及医疗设备的可用性，而这些也是需要保护的最关键方面。而勒索软件的制作者也正是看到这些，将医疗行业作为其主要的攻击对象。

　　近年来，由于中国医疗机构IT网络基础架构薄弱，再加之医疗互联网化转型不断提速，在日益增多的潜在威胁面前，医院所面临的信息安全的挑战急需全面重新评估和应对。思科认为，当今医疗系统的业务模型发生了很大的变化，越来越多的智能终端、越来越多的接入用户类型、以及越来越广的接入位置，使得传统的医院网络朝着“无边界”方向发展。从应用端来看，云计算得到了广泛的应用，虚拟化技术、各种新应用大量出现。所有新的技术应用的出现，都使得传统的网络边界变得越来越模糊，而如何更好地实施动态分区、边界控制和有效防御，就成为了医疗网络安全面临的一个重大课题。

　　思科表示，除了来自全球的日益增长的恶意威胁之外，在新时期下，医疗行业自身的一些特点，也使得其本身存在一些安全的隐患，容易被黑客利用：

　　●一是医疗系统的建设过程中，设备往往优先注重优化医疗方面的技术，忽略了网络安全方面的设计，如：存在非授权的访问、未加密的通信信道等，这些容易导致医疗设备被黑客入侵。

　　●二是有时候医疗机构无法及时地对某些嵌入式系统打上最新的补丁，也会导致自身的系统内部或多或少地存在一些系统漏洞，给黑客以可乘之机。

　　●三是目前医疗行业的从业者对IT系统的依赖性越来越大，而医生自身不是专业的IT人员，没有足够的安全意识，容易在系统的使用过程中，引入新的风险。

　　全面出击勒索软件 高效防护

　　根据曹图强介绍，针对全球不断演变的各类勒索软件及其变体，思科提供了领先的防御思路、集成的架构和覆盖勒索软件攻击全过程的解决方案，对Web和邮件等勒索软件的重要传播路径实现高效防护，助力客户针对勒索软件实现“一次发现，全面防护”。

▲思科动态威胁防御模型 —— Before, During, After覆盖勒索软件攻击全过程

　　而面向未来，思科还将继续发力勒索软件防御，其未来工作主要分为以下几点：

　　●集成化架构，实现有效联防：思科将继续帮助客户构建更加完美的威胁防御集成架构，运用最完善的、最好的单点防御产品，利用产品间有效的互联互动实现联防，统一整合到企业安全整体架构中;

　　●全面提高可见性：思科认为，我们无法保护一个自己根本就不了解的网络。对网络的全面可知，是管理员做出正确的控制和防御策略的前提。利用思科的情景感知技术，管理员可以对企业网络的所有用户、移动终端、客户端应用程序、操作系统、虚拟机通讯、漏洞信息、威胁信息、URL 等相关信息取得全面的可见性。思科众多的网络和网络安全组件都可以很好地支持情景感知技术，思科将继续从多方面提高可见性，其中包括：

　　○降低平均检测时间(TTD)：面对网络攻击，检测安全实践的有效性至关重要。思科一直致力于减少威胁“检测时间(TTD)”，即减少发生威胁到发现威胁之间的时间差。缩短检测时间，对于限制攻击者的操作空间和最大限度减少入侵造成的损失至关重要。2016年11月至2017年10月期间的思科检测时间(TTD)中值约为4.6小时，远远低于2015年11月报告的39小时。

　　○运用加密流量分析技术(ETA)：安全环境不断变化，加密流量分析技术可以在无需解密的情况下，使用机器学习网络分析方法识别加密流量中的恶意软件。它将能够以前所未有的方式发现威胁，保护用户隐私，让安全功能距离用户或设备更近，并且有效识别恶意软件，从而提高网络可视性。根据思科2018年度网络安全报告，截至2017年10月，加密流量占比为50%，其中包括合法流量和恶意流量。思科威胁研究人员观察到，在12个月内检测到的恶意软件样本所使用的加密网络通信量增加了三倍。

　　●加强合作，优势共享：面对日益复杂的网络安全态势，思科认识到单靠一家公司的实力是不足够的，思科也在继续携手全球和中国的合作伙伴共同打造安全生态链。例如，今年上半年，网络安全行业最大的安全研究团队思科Talos 一直与公、私部门的威胁情报合作伙伴以及执法机构合作，研究可能由某些国家支持或国属高级分子对我们称为“VPNFilter”的复杂模块化恶意软件系统的广泛使用，并持续与业界和公众进行调查结果的分享。

　　给中国用户的几点建议

　　最后，曹图强根据勒索软件的现状和发展趋势，给出了以下几点建议：首先企业要做到及时更新基础设施和应用，让攻击者无法利用公开的漏洞。第二，要利用集成防御对抗复杂性，减少孤立的投资。第三，要尽早让高层进行参与，以确保其充分了解风险、回报和预算限制。第四，企业应该建立明确的指标以确认并提升安全实践。第五，借助第三方安全服务，让企业安全人员可以获得应对现代网络威胁所需的技能和经验，了解最新安全漏洞破解方法，以及如何利用高级工具和技术来根除威胁。最后，还需要进行平衡防御与主动应对，不要采取“一劳永逸”的安全控制或流程。