全球領(lǐng)先的安全研究團(tuán)隊(duì)
思科Talos是思科的威脅情報(bào)組織,專(zhuān)門(mén)為思科客戶、產(chǎn)品和服務(wù)提供卓越的保護(hù)。借助上百萬(wàn)個(gè)遙測(cè)代理、4個(gè)全球數(shù)據(jù)中心、超過(guò)100家威脅情報(bào)合作伙伴以及1100個(gè)威脅捕獲程序,這個(gè)由超過(guò)250位安全研究人員和600名軟件工程師組成的團(tuán)隊(duì)已經(jīng)是目前全球最大的安全研究團(tuán)隊(duì)和分析威脅情報(bào)數(shù)量最多的組織。思科Talos采用自動(dòng)化安全大數(shù)據(jù)方法分析來(lái)自全球的郵件、網(wǎng)站和超過(guò)1.5億網(wǎng)絡(luò)終端設(shè)備的威脅情報(bào),每天可分析全球1/3的郵件總量(6千億封郵件/每天)、超過(guò)150萬(wàn)獨(dú)立惡意軟件樣本。思科Talos每天阻止200億次威脅和8000萬(wàn)次惡意DNS查詢,接收160億網(wǎng)站請(qǐng)求。Snort、ClamAV等開(kāi)源工具和平臺(tái)正是出自思科Talos之手,同時(shí)思科Talos還得到了Senderbase.org和Spamcop.net社區(qū)的龐大資源支持。
思科Talos覆蓋五個(gè)重要領(lǐng)域——檢測(cè)研究、威脅情報(bào)、引擎開(kāi)發(fā)、漏洞研究以及外聯(lián):
- 檢測(cè)研究包括漏洞和惡意軟件分析,涵蓋解包、反向工程以及開(kāi)發(fā)概念驗(yàn)證代碼,為所有思科安全產(chǎn)品開(kāi)發(fā)檢測(cè)內(nèi)容,確保思科在每個(gè)平臺(tái)上盡可能以最高效的方式解決威脅。
- 威脅情報(bào)包括關(guān)聯(lián)和跟蹤威脅,使思科能夠?qū)w因信息轉(zhuǎn)化為切實(shí)可行的威脅情報(bào),從而更快速地識(shí)別威脅和威脅實(shí)施者,有效保護(hù)客戶安全。
- 引擎開(kāi)發(fā)工作幫助確保思科的各種檢測(cè)引擎保持最新水平并維持其檢測(cè)和解決新威脅的能力。
- 漏洞研究將開(kāi)發(fā)各種方法,用于在思科客戶依賴的平臺(tái)和操作系統(tǒng)中識(shí)別“零日”安全問(wèn)題。
- 外聯(lián)計(jì)劃包括研究、識(shí)別以及宣傳攻擊者在侵害受害者時(shí)采用的新手段。
網(wǎng)絡(luò)安全研究的集大成者
思科Talos為網(wǎng)絡(luò)保護(hù)提供了一種全面且主動(dòng)的獨(dú)特方法,團(tuán)隊(duì)成員致力于提供高質(zhì)量、客戶驅(qū)動(dòng)的安全研究,設(shè)立準(zhǔn)確性和相關(guān)性領(lǐng)域的新標(biāo)桿,其成功記錄和領(lǐng)導(dǎo)力堪稱(chēng)行業(yè)翹楚:
安全覆蓋范圍的廣度和深度:為了提供廣泛的威脅防御,思科Talos支持各種安全解決方案,包括Firepower下一代防火墻\下一代IPS、和高級(jí)惡意軟件防護(hù)(AMP)、郵件安全設(shè)備、Web安全設(shè)備、ThreatGrid、Stealthwatch 以及大量開(kāi)源和商業(yè)威脅保護(hù)系統(tǒng)。通過(guò)跟蹤終端、網(wǎng)絡(luò)、云環(huán)境、Web和郵件中的威脅,思科Talos對(duì)網(wǎng)絡(luò)威脅、威脅根源以及爆發(fā)范圍擁有全面洞察。
全面的信息情報(bào):可靠、切實(shí)可行的情報(bào)是整體性安全策略的核心組成部分。通過(guò)ClamAV、Snort、Immunet、SpamCop、SenderBase、Threat Grid以及思科Talos用戶社區(qū),思科Talos獲得了其他安全研究團(tuán)隊(duì)無(wú)法比擬的重要情報(bào)。思科Talos分析研究全球數(shù)百萬(wàn)用戶、誘捕系統(tǒng)、沙盒以及大量行業(yè)合作伙伴來(lái)源的數(shù)據(jù)。
廣泛的威脅研究與創(chuàng)新的檢測(cè)技術(shù):無(wú)論是以銷(xiāo)售點(diǎn)終端為目標(biāo)的PoSeidon等新惡意軟件系列,還是廣泛傳播的“Kyle and Stan”等惡意廣告網(wǎng)絡(luò),或是互聯(lián)網(wǎng)上給核心服務(wù)造成風(fēng)險(xiǎn)的“SSHPsychos”等威脅,思科Talos均能夠識(shí)別、研究并記錄這些攻擊。一旦發(fā)現(xiàn)新漏洞,思科Talos將發(fā)布防范這些零日威脅的規(guī)則,使客戶在等待來(lái)自供應(yīng)商的保護(hù)的同時(shí)控制威脅。
可靠的社區(qū):為了與客戶和合作伙伴互相配合,幫助解決特殊環(huán)境下的檢測(cè)挑戰(zhàn),思科制定了“意識(shí)、教育、指導(dǎo)和情報(bào)共享”(AEGIS) 計(jì)劃,使安全行業(yè)的參與成員能夠直接聯(lián)系思科Talos威脅情報(bào)團(tuán)隊(duì),以幫助構(gòu)建定制的檢測(cè)內(nèi)容,收集有關(guān)產(chǎn)品和服務(wù)的反饋,改進(jìn)安全防護(hù)。
洞悉安全態(tài)勢(shì)的前瞻者
在近年發(fā)生的數(shù)次惡意軟件感染事件中,思科Talos均憑借業(yè)界領(lǐng)先的洞察,提前預(yù)測(cè)到惡意軟件的爆發(fā)趨勢(shì)和網(wǎng)絡(luò)安全面臨的挑戰(zhàn),并及時(shí)提供詳盡的威脅信息和安全防護(hù)指導(dǎo)。早在2016年,思科Talos就發(fā)布了《勒索軟件:過(guò)去、現(xiàn)在和未來(lái)》,敏銳捕捉到惡意軟件的攻擊重點(diǎn)從個(gè)人最終用戶轉(zhuǎn)向以整個(gè)網(wǎng)絡(luò)為攻擊目標(biāo)這一變化趨勢(shì),同時(shí)也對(duì)長(zhǎng)期以蠕蟲(chóng)和僵尸網(wǎng)絡(luò)形式存在的自我傳播型惡意軟件進(jìn)行了深入分析。而2017年5月12日爆發(fā)的WannaCry勒索軟件感染事件正是利用了惡意軟件自我傳播方式進(jìn)行攻擊,在全球范圍內(nèi)造成的損失和負(fù)面影響前所未有。
在WannaCry大規(guī)模爆發(fā)的當(dāng)天,思科Talos第一時(shí)間向公眾發(fā)布了一系列文章,進(jìn)行了業(yè)界最為全面的技術(shù)分析,全面闡釋了勒索軟件原理,為思科用戶提供了全面集成的解決方案,使其免受勒索軟件侵害。時(shí)間快進(jìn)到2017年6月,更為復(fù)雜的攻擊“Nyetya”出現(xiàn)了,這次攻擊利用所謂的“供應(yīng)鏈攻擊”作為危害組織的初始矢量。
思科Talos表示,WannaCry和Nyetya是導(dǎo)致全球許多組織受到嚴(yán)重影響的兩個(gè)惡意軟件示例。這些事件啟示防御者需要從信息安全的角度回到本始,確保組織受到充分的保護(hù),并且針對(duì)潛在的破壞性事件作好充分的響應(yīng)準(zhǔn)備。計(jì)算機(jī)蠕蟲(chóng)幾十年來(lái)一直存在,并非新鮮事物。制定到位、健全、分層次的深度防御戰(zhàn)略將確保組織能夠防止廣泛的系統(tǒng)停機(jī),并當(dāng)其環(huán)境內(nèi)部發(fā)生系統(tǒng)破壞時(shí)進(jìn)行快速檢測(cè)和響應(yīng),從而將事件可能造成的損失最小化。
面對(duì)不斷變化的安全態(tài)勢(shì),2017思科年中網(wǎng)絡(luò)安全報(bào)告(MCR)報(bào)告提供了2017年上半年數(shù)據(jù)驅(qū)動(dòng)的行業(yè)洞察和網(wǎng)絡(luò)安全趨勢(shì),同時(shí)為改進(jìn)安全狀態(tài)提供了切實(shí)可行的建議。作為主要撰稿人之一,思科Talos在該報(bào)告中指出,威脅正在快速演進(jìn),攻擊數(shù)量不斷增加,并預(yù)測(cè)網(wǎng)絡(luò)中可能會(huì)出現(xiàn)“服務(wù)破壞”(DeOS)攻擊。隨著物聯(lián)網(wǎng)的出現(xiàn),重點(diǎn)行業(yè)開(kāi)展了更多的線上運(yùn)營(yíng),此類(lèi)威脅的攻擊面、潛在規(guī)模和影響不斷增加。諸如WannaCry和Nyetya等網(wǎng)絡(luò)攻擊顯示了網(wǎng)絡(luò)攻擊的速度之快和影響之廣,這種攻擊與傳統(tǒng)勒索軟件看似相似,但破壞性更強(qiáng)。思科將這些攻擊視為“服務(wù)破壞”攻擊的前兆,而“服務(wù)破壞”攻擊將更具破壞性,使企業(yè)難以恢復(fù)運(yùn)營(yíng)。
思科大中華區(qū)副總裁、安全業(yè)務(wù)總經(jīng)理莊敬賢表示,勒索軟件攻擊已經(jīng)成為安全領(lǐng)域的最大威脅,并且已經(jīng)成為一種常態(tài),我們看到其中有一部分勒索軟件正迅速惡化演進(jìn)成為 Crimeware(犯罪軟件)。近期思科Talos研究發(fā)現(xiàn)相較于勒索軟件1.0 – WannaCry,Nyetya 已經(jīng)演變成為Crimeware(犯罪軟件),這將會(huì)打破原有的安全防御平衡。面對(duì)日益猛烈和智慧化的惡意攻擊,如今碎片化的安全解決方案無(wú)法實(shí)現(xiàn)真正有效的防御,安全產(chǎn)品之間必須要能夠聯(lián)動(dòng)協(xié)作。只有集成化架構(gòu)式的防御,實(shí)時(shí)共享威脅情報(bào),才能實(shí)現(xiàn)全面有效的安全。
目前,思科Talos仍在針對(duì)中國(guó)市場(chǎng)不斷進(jìn)行安全研究,并發(fā)現(xiàn)了一個(gè)新的安全隱患:中國(guó)在線DDoS平臺(tái)的不斷涌現(xiàn)似乎與中國(guó)黑客論壇上出售的源碼聯(lián)系密切。在線DDoS平臺(tái)一直頗有市場(chǎng),因?yàn)樗鼈儾粌H具有易于使用的界面,而且會(huì)為用戶提供所有必要的基礎(chǔ)設(shè)施,用戶無(wú)需自己構(gòu)建僵尸網(wǎng)絡(luò)或額外購(gòu)買(mǎi)其他服務(wù),只需通過(guò)可靠的支付網(wǎng)站購(gòu)買(mǎi)激活代碼,就可以通過(guò)輸入目標(biāo)發(fā)動(dòng)攻擊。這樣一來(lái),即便是沒(méi)有相關(guān)黑客知識(shí)的菜鳥(niǎo),也能發(fā)動(dòng)強(qiáng)大的攻擊,這取決于DDoS平臺(tái)運(yùn)營(yíng)者的后端基礎(chǔ)設(shè)施是否強(qiáng)大。
作為全球領(lǐng)先的威脅情報(bào)智能研究分析團(tuán)隊(duì),思科Talos通過(guò)分析惡意軟件、漏洞、入侵行為以及最新趨勢(shì),提供業(yè)內(nèi)最全面和主動(dòng)的安全與威脅情報(bào)解決方案,并將其對(duì)威脅情況的洞察融入到思科所有的安全產(chǎn)品中,這為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持,進(jìn)而構(gòu)成思科安全生態(tài)系統(tǒng)的堅(jiān)實(shí)基礎(chǔ)。