情報，對于現(xiàn)實社會犯罪活動的打擊至關(guān)重要。而威脅情報，則是網(wǎng)絡(luò)虛擬空間對付網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)威脅的核心“抓手”之一。

2015年，一個名叫AnglerEK的網(wǎng)絡(luò)犯罪釣魚攻擊惡意程序，橫行全球網(wǎng)絡(luò)，以每天9萬用戶的攻擊速度，綁架用戶電腦，向用戶收取贖金，每年不法收入近6000萬美元。當(dāng)人們茫然無措的時候，思科內(nèi)部的一個神秘團(tuán)隊開始出手。他們密切分析了Angler EK，發(fā)現(xiàn)其使用漏洞利用工具的代理服務(wù)器主要地址，深度分析到該地址的系統(tǒng)中的工具包操作之后，思科通過更新其網(wǎng)絡(luò)產(chǎn)品重定向鏈接，實現(xiàn)對攻擊行為的封鎖，直接保護(hù)了50%以上的消費者免受感染。同時思科與執(zhí)法部門合作，提供收集到的犯罪線索，幫助有效打擊犯罪分子。

只此一役，便讓這個名叫“Talos”的神秘團(tuán)隊，在業(yè)界浮出水面，聲名鵲起。在去年的思科網(wǎng)絡(luò)安全報告中，它更是準(zhǔn)確地預(yù)測了今年剛肆虐全球的勒索病毒相關(guān)特征與傳播趨勢。這個名為“Talos”的安全團(tuán)隊，已經(jīng)成為負(fù)責(zé)維護(hù)思科生態(tài)系統(tǒng)內(nèi)所有安全數(shù)據(jù)的情報團(tuán)隊。它每天阻止200億次威脅和8000萬次惡意DNS查詢，接收160億網(wǎng)站請求。

Talos一天的安全分析量

什么是Talos?

思科Talos由一流的威脅研究人員組成，借助思科的復(fù)雜高端系統(tǒng)支撐，通過分析惡意軟件、漏洞、入侵行為，以及最新趨勢，提供已知和未知的威脅信息，并將其對威脅情況的理解融入到思科的所有安全產(chǎn)品中。簡而言之，思科Talos的使命是基于智能大數(shù)據(jù)分析技術(shù)，為用戶提供最為全面，最為實時的威脅防御。

Talos擁有超過250名研究人員和600名軟件工程師，堪稱網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊之一，其中不乏業(yè)界知名的網(wǎng)絡(luò)安全大牛。Snort、ClamAV等開源工具和平臺就是他們所寫。其主要分為五個骨干團(tuán)隊：威脅情報、檢測研究、引擎開發(fā)、漏洞研發(fā)以及外延服務(wù)。

思科Talos團(tuán)隊的工作是處理大量的原始數(shù)據(jù)，從中提煉有價值和準(zhǔn)確的威脅情報。然后將這些情報傳送給檢測研究團(tuán)隊，由后者轉(zhuǎn)換為檢測規(guī)則。這些規(guī)則會被引擎開發(fā)團(tuán)隊中的軟件工程師用于開發(fā)安全產(chǎn)品中的檢測惡意軟件及攻擊威脅的引擎。

而漏洞研發(fā)團(tuán)隊的主要工作是研究零日攻擊，并與一些流行軟件廠商合作，搶在網(wǎng)絡(luò)犯罪分子之前，快速解決因漏洞帶來的風(fēng)險。

最后是Talos的外延團(tuán)隊，它的主要工作是分享其了解的總體網(wǎng)絡(luò)威脅情況，把信息整理歸納并傳遞給外界，類似某些機(jī)構(gòu)的通報中心。而且，任何客戶只要購買了任何一款思科的安全產(chǎn)品，都可以免費獲得思科Talos的威脅情報信息。

以今年5月份全球爆發(fā)的勒索病毒W(wǎng)annaCry為例：

3月14日，微軟安全公告發(fā)布SMB漏洞補丁(MS17-010)

↓

同一天，Talos發(fā)布Snort簽名防御MS17-010漏洞

↓

4月14日，影子經(jīng)紀(jì)人發(fā)布永恒之藍(lán)與雙子星漏洞利用

↓

4月25日，Talos發(fā)布Snort簽名防御雙子星和匿名共享

↓

5月12日，WannaCry開始出現(xiàn)大規(guī)模傳播趨勢

↓

當(dāng)日上午7:30，思科Talos博客宣布發(fā)現(xiàn)WannaCry攻擊

↓

7:43，在全球?qū)?kill switch 域推送到新的可見域類別

↓

9:33，首次得到樣本60分鐘內(nèi)，AMP在終端、電子郵件、Web 網(wǎng)關(guān)以及網(wǎng)絡(luò)安全產(chǎn)品中實現(xiàn)成功檢測和阻止

↓

10:12，思科將其添加到勒索軟件類別

Talos的威脅情報能力

在安全牛之前發(fā)布的文章中曾寫道，“思科Talos采用自動化安全大數(shù)據(jù)方法分析來自全球的郵件、網(wǎng)站和超過1億5千萬網(wǎng)絡(luò)終端設(shè)備的威脅情報。每天分析全球1/3的郵件總量(6千億封郵件/每天)，每天分析超過150萬獨立惡意軟件樣本，每天收集大約160億網(wǎng)站的請求。舉一個形象的例子，Google 每天搜索量大約為35億次，思科Talos收集分析的量是這個數(shù)字的4.5倍。”

以震驚全球的SSHPsychos攻擊事件為例：思科Talos通過部署的“蜜罐”發(fā)現(xiàn)有人使用SSH加密協(xié)議構(gòu)建大規(guī)模DDoS攻擊，其攻擊活動足足占到了整個互聯(lián)網(wǎng)上所有SSH活動的三分之一。思科Talos團(tuán)隊立刻展開數(shù)字化偵探工作，基于集合論和集群算法，通過逆向工程和流量分析，研究人員發(fā)現(xiàn)了鎖定攻擊者的線索，并最終精確地鎖定了攻擊來源。

之后，思科Talos與跨國電信運營商 Level 3 以及其他互聯(lián)網(wǎng)供應(yīng)商合作，使用黑洞法屏蔽了全球網(wǎng)絡(luò)上所有 SSHPsychos 流量。對 SHPsychos 的反擊成為該年度對黑客進(jìn)行追緝的最大行動之一。由于其在阻止網(wǎng)絡(luò)犯罪方面的貢獻(xiàn)，Talos在網(wǎng)絡(luò)安全這個圈子里備受稱贊。

除了250名全職威脅情報研究人員以外，思科在全球還部署了上百萬個遙測代理、1100個威脅追捕程序，擁有4個全球數(shù)據(jù)中心和超過100家威脅情報合作伙伴。根據(jù)ESG去年發(fā)布的調(diào)查報告，在全球18家網(wǎng)絡(luò)安全威脅情報最佳提供商中，思科位列第一：

1.Cisco

2.IBM Security

3.Microsoft

4.Symantec(including Blue Coat)

5.McAfee

6.AWS

7.Dell SecureWorks

8.Check Point

9.Kaspersky

10.Palo Alto Networks

11.RSA Security

12.FireEye

13.Forcepoint

14.Fortinet

15.Imperva

16.Trend Micro

17. Proofpoint

18. Sophos

(Source: ESG Research Survey, October 2016)

Talos威脅情報細(xì)分

強(qiáng)大的終端遙測

今年另一次大規(guī)模的惡意軟件爆發(fā)，是Nyetya勒索軟件。在病毒傳播早期，由于監(jiān)測到該活動影響的范圍較廣，Talos啟動了稱為TaCERS(Talos 重要事件響應(yīng)系統(tǒng))的內(nèi)部研究和響應(yīng)流程。TaCERS 將活動分為情報、遙測分析、反向工程、通信和檢測研究，世界各地的Talos 研究人員和工程師共同應(yīng)對此威脅。

根據(jù)終端遙測的結(jié)果，明確了名為“M.E.Doc”的烏克蘭會計軟件數(shù)據(jù)包便是攻擊活動的中心源，Nyetya正是通過所有M.E.Doc更新系統(tǒng)的安裝實現(xiàn)傳播。M.E.Doc 是由烏克蘭一家名為 Intellect Service 的公司創(chuàng)建的會計數(shù)據(jù)包，它部署廣泛，被用于與烏克蘭稅務(wù)系統(tǒng)進(jìn)行交互。

思科Talos主動直接聯(lián)系到這家會計公司并建議提供援助，會計公司非常樂意的接受援助，并向前來調(diào)查的分析人員提供了日志文件和代碼的使用權(quán)限。事件響應(yīng)小組結(jié)合情報分析、逆向工程升級和遙測分析，確認(rèn)了以下重要信息：

攻擊者竊取了 M.E.Doc 管理員的證書，得以登錄服務(wù)器獲得根權(quán)限，并修改了 NGINX Web 服務(wù)器的配置文件，導(dǎo)致訪問 upd.me-doc.com.ua 的任何流量將通過更新服務(wù)器代理以及關(guān)聯(lián)到 IP 為 176.31.182.167 的 OVH IP 空間內(nèi)的主機(jī)。

通過服務(wù)器上初次和最后的上游錯誤信息與現(xiàn)場終端遙測信息進(jìn)行比較，Talos確定了攻擊活動主動感染階段的開始和結(jié)束時間，之后又確定了Nyetya的傳播機(jī)制。

當(dāng) M.E.Doc 設(shè)備執(zhí)行初始樣本時，命令行參數(shù)與在終端遙測所觀察到數(shù)據(jù)完美匹配。

思科致力于為人們帶來更加安全的高智能、高性能IT設(shè)備和產(chǎn)品。而以Talos團(tuán)隊威脅情報分析為核心的前沿技術(shù)，則成為思科網(wǎng)絡(luò)安全產(chǎn)品發(fā)展的路徑和趨勢：構(gòu)建以威脅防御為中心的安全集成架構(gòu)。這種安全模式將覆蓋整個攻擊過程，減少各種各樣的產(chǎn)品以及互相脫節(jié)的解決方案所造成的安全復(fù)雜性。