在萬物互聯的時代，企業享受著“互聯”帶來的無盡的“商機”。與此同時，黑客也悄悄分享著“互聯”帶來的紅利。以各種形式的網絡為戰場，一場無形的戰爭正在打響。思科Talos安全情報及研究團隊分析評估黑客活動，入侵企圖，惡意軟件以及漏洞的最新趨勢。在這場戰爭中為用戶提供了強大的后盾支持。

嘉賓介紹

[[167855]]

李嵩，現任思科企業及商業事業部安全顧問。在安全行業從業超過十年，主要致力于企業的網絡安全整體解決方案，在安全架構 安全運維 風險評估有著豐富的經驗，曾經作為安全顧問為北京奧運會、新華網、新加坡青年奧運會等重大活動提供安全咨詢。

以前的防御措施主要采用防火墻和IPS，一旦攻擊來了就可以快速攔截下來，進行最快的攻擊類型匹配和識別，這是早期的企業常規部署方式。并且互聯網出口往往被定義為安全威脅的邊界，但是隨著業務本身的擴展，逐漸意識到安全是內外網都需要保護的。安全的結構隨著互聯網以及客戶業務而變化著，固守的方式已經不能真正解決攻擊所帶來的威脅了。所以現在從被動防御改為主動防御，也就是說既要把控外網的威脅進行防御，也要分析內網的行為，內外網兼顧，從而做到快速實時的響應。內網的交換機和路由器都可以幫助收集信息，當威脅分析被確認，便可采取聯動安全，內網的網絡連接設備都可以作為安全的攔截點，把威脅的隔離信息快速推送到接入點上，將威脅化解為零，這樣就可以將防御性轉換成主動性，讓網絡的威脅防御更加適合客戶業務的發展。

而現在的攻擊方式越來越隱蔽，惡意軟件都有一個潛伏期，在潛伏期中并不會發作，當防御系統探測到這種惡意軟件的時候，就會進行長時間的監控，同時獲取其哈希碼確定傳播的軌跡，監測其是否進行了端口掃描和傳播。一旦在其他客戶網絡也發現同樣的惡意軟件爆發，將可以快速同步和查殺。

另外一種方式，可以設置一個完全真空的空間，讓惡意軟件釋放，從而了解其危險性，一旦發現有危險操作便可直接查殺。這里思科Talos團隊也基于大數據平臺進行威脅情報分析，對來自廣域網上的掛馬URL、威脅網站、惡意的郵件服務器以及DNS都進行評級，不論點擊惡意網站或者接受威脅郵件，都可以直接匹配威脅情報進行快速除掉。

惡意軟件的越權訪問就像頑固污漬一樣令人頭痛。李嵩說，其實每個傳播流程中都可以設攔截點。惡意軟件在進行傳播的時候，很多是通過郵件或者URL使用戶感染。當郵件和Web網關防御感知到這是惡意行為，便會直接查殺。如果惡意軟件滲入到第二個環節，進行內網掃描和傳播時，防御系統會基于跟蹤內網被感染的主機，這些主機是否進行越權訪問，安全與否感染了沒有。在惡意軟件進入第三個環節，找到重要的宿主機后就會開始數據的盜取，或者進行一些惡意操作，這時防御系統可以直接對其遠程的CnC主機進行DNS攔截。最后惡意軟件在主機的爆發時，通過主機層面的查殺，可以直接從主機層面攔截。每個威脅過程都有相應的解決辦法，這便組成了完整的思科惡意軟件防護解決方案。

在此李嵩分享了一個很有意思的案例。

思科的有些客戶經常在晚上遭受DDos的攻擊，廣域網上有超過60GB的DDoS流量席卷而來，使其業務無法正常運行。隨后思科與運營商共同建立DDos清洗中心，用來幫助用戶解決惡意流量的問題。流行的DDos流量分為兩種。像大規模的攻擊，必須通過建立“清洗中心”解決，因為洪水已經堵到家門口，必須聯合運營商進行清洗；應用級別的DDos攻擊，流量較小，同樣威脅也很大，我們可以是直接進行業務線上清洗。

防御方多半會收集攻擊信息作為“攻擊取證和溯源”，其實攻擊方同樣會收集防御信息，這是一個交互博弈的過程。現在最流行高持續型威脅攻擊、惡意信用、長期攻擊等攻擊方式，不斷收取網絡防御信息，每個防御點的設備是什么，還有哪些漏洞；防御方也會不斷收取攻擊信息，分析、加固然后擊破攻擊方。所以在攻擊和防御這兩者間，誰能快速建立自己的攻防體系，誰能把重要的威脅信息快速共享才是最重要的。