SMB與蠕蟲卷土重來 分層防護(hù)全面可視

網(wǎng)絡(luò)空間威脅形勢(shì)嚴(yán)峻、網(wǎng)絡(luò)安全攻防戰(zhàn)正愈演愈烈。盡管如此，網(wǎng)絡(luò)威脅趨勢(shì)仍然有跡可循，它存在著明顯的周期性規(guī)律——有些惡意軟件會(huì)以技術(shù)迭代的方式不斷出現(xiàn)，而有些攻擊類型和攻擊方法雖已過時(shí)，但仍會(huì)借助某些新的載體出現(xiàn)。以最為熟知的網(wǎng)絡(luò)共享為例，這種技術(shù)可以讓用戶通過網(wǎng)絡(luò)共享文件和文件夾。網(wǎng)絡(luò)共享一直是計(jì)算機(jī)蠕蟲最常攻擊的目標(biāo)，但是近年來攻擊者逐漸棄用了這種攻擊途徑，轉(zhuǎn)而熱衷于利用郵件和受感染網(wǎng)站發(fā)起攻擊。

大家還記得，幾年前知名勒索病毒W(wǎng)annaCry如野火般在整個(gè)威脅形勢(shì)中開辟了一條破壞之路，對(duì)世界各地的政府和各行各業(yè)造成了嚴(yán)重的損害，再次將網(wǎng)絡(luò)共享拉回公眾的視野中，而這次攻擊的突破口是一種常用的重要協(xié)議：服務(wù)器消息塊 (SMB)。

后來的Nyetya亦利用了SMB相關(guān)的漏洞來勢(shì)洶洶，一旦感染隨即宕機(jī)，讓受攻擊者無力回天。除此之外，SamSam、Bad Rabbit 和 Olympic Destroyer 等威脅利用不同的工具來侵入網(wǎng)絡(luò)，隨后它們都會(huì)利用 SMB 來遍歷網(wǎng)絡(luò)。時(shí)至今日，這些惡意威脅的直接沖擊已然淡去，但這并非意味著幫助它傳播的機(jī)制可以被忽略——盡管網(wǎng)絡(luò)威脅攻擊者各不相同，但足以證明基于SMB文件共享傳播的脆弱程度可見一斑。

值得一提的是，2019年1月的最新調(diào)查顯示，開放在互聯(lián)網(wǎng)上的SMB漏洞主機(jī)仍有200萬余個(gè)。我們的下一代IPS設(shè)備使用的多個(gè)SMB入侵檢測(cè)規(guī)則一直在觸發(fā)率最高的十大規(guī)則之列，而這主要源于，SMB使用的主要端口——端口 445通常處于開放狀態(tài)。從2018 年10月到11月這兩個(gè)月的認(rèn)知情報(bào)遙測(cè)數(shù)據(jù)，可以發(fā)現(xiàn)終端上的SMB端口活動(dòng)呈現(xiàn)相當(dāng)穩(wěn)定的模式，這表明攻擊者經(jīng)常使用 SMB 作為攻擊途徑。而11月13日SMB事件數(shù)量相比往常近乎6倍的激增，也毫無例外地印證了大量的SMB安全事件持續(xù)爆發(fā)的趨勢(shì)。

高級(jí)威脅的攻擊者無時(shí)無刻不在找尋滲透IT環(huán)境的途徑，郵件系統(tǒng)往往是企業(yè)IT環(huán)境中抵御攻擊時(shí)最薄弱的環(huán)節(jié)。另一方面，在全球安全威脅之下，沒有任何一個(gè)安全環(huán)境可以獨(dú)善其身。當(dāng)前，攻擊者的目標(biāo)已經(jīng)不僅限于IT環(huán)境，OT環(huán)境下的企業(yè)也面臨著相同的威脅，SMB協(xié)議在制造業(yè)和基建設(shè)施中廣泛使用，也使得其所遭受的攻擊隨之增多，而隨著業(yè)務(wù)數(shù)據(jù)價(jià)值的提高，OT環(huán)境下的企業(yè)所面臨的威脅隨之增大，造成的損失不可估量。以制造業(yè)為例，遭受攻擊導(dǎo)致的系統(tǒng)問題可能會(huì)對(duì)生產(chǎn)、營業(yè)額、人力資源和客戶等發(fā)生一系列毀滅性的連鎖反應(yīng)。

如何防范與SMB相關(guān)的攻擊呢？最簡(jiǎn)單的辦法是停止使用 SMB，目前幾乎沒有什么理由要繼續(xù)使用它。通過 SMB 連接計(jì)算機(jī)來共享文件并非明智之舉，改用專用的文件服務(wù)器或基于云的產(chǎn)品大有裨益。除此之外，思科安全也可以為客戶提供全面可視、分層防御的解決方案，幫助應(yīng)對(duì)該威脅：

• 加強(qiáng)郵件安全：郵件是最重要的業(yè)務(wù)通信工具，同時(shí)也是網(wǎng)絡(luò)攻擊活動(dòng)最主要的目標(biāo)。事實(shí)上，根據(jù)思科的年度網(wǎng)絡(luò)安全報(bào)告，攻擊者已經(jīng)將郵件作為傳播惡意軟件的主要媒介。攻擊者還會(huì)利用社交工程技術(shù)發(fā)起復(fù)雜且有高度針對(duì)性的企業(yè)郵件入侵 (BEC) 和網(wǎng)絡(luò)釣魚活動(dòng)。思科郵件安全包括高級(jí)威脅防御功能，可以更快地檢測(cè)、阻止和修復(fù)傳入郵件中的威脅。同時(shí)，它可以保護(hù)組織的品牌，防止數(shù)據(jù)丟失，并通過端到端加密在數(shù)據(jù)傳輸過程中保護(hù)重要信息。
• 思科Stealthwatch提供全面網(wǎng)絡(luò)可視化：可以檢測(cè)與 SMB 共享的連接，對(duì)此活動(dòng)進(jìn)行關(guān)聯(lián)分析，從而向管理員發(fā)出警報(bào)
• 思科Tetration提供數(shù)據(jù)應(yīng)用可視化：Tetration的零信任模式可持續(xù)監(jiān)控合規(guī)性偏差，在幾分鐘內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)中的違規(guī)情況；同時(shí)對(duì)服務(wù)器上運(yùn)行的進(jìn)程行為進(jìn)行基準(zhǔn)測(cè)試，識(shí)別符合惡意軟件執(zhí)行形式的行為偏差
• 面向終端的高級(jí)惡意軟件防護(hù) (AMP)：持續(xù)監(jiān)控和安全追溯功能可以阻止利用 SMB進(jìn)行傳播的惡意威脅
• 思科網(wǎng)絡(luò)安全設(shè)備（例如 NGFW、NGIPS 和 Meraki MX），可以檢測(cè)與 SMB 攻擊相關(guān)的惡意活動(dòng)
• 思科Threat Grid：可以幫助識(shí)別惡意文件行為，并自動(dòng)通知所有思科安全產(chǎn)品