很多人都抱怨過，幾十年前可謂藥到病除，現(xiàn)在的病毒都有抗藥性，得了病很難治。在安全領域，隨著技術公司和惡意攻擊者之間的對抗不斷升級，高級惡意軟件也具備了種種“抗藥性”，傳統(tǒng)的安全產(chǎn)品既不能顧及企業(yè)安全的每個邊角，也欠缺足夠的甄別和處理能力。根據(jù)這種情況，思科推出了高級惡意軟件防護（AMP）產(chǎn)品，幫用戶構筑新型安全體系。

　　惡意文件進入終端了怎么辦？思科AMP分三步解決這個問題：

布局網(wǎng)絡／終端／郵件的全環(huán)境，運用獨有的持續(xù)性分析技術，打造全方位全天候的監(jiān)控網(wǎng)；

通過Threat Grid 引擎、Cisco Talos小組、綜合安全情報 (CSI) 云分析以及高級沙盒，確定威脅；

通過基于持續(xù)性分析的文件軌跡功能，對惡意軟件的傳染源和所有相關文件進行“外科手術”般的精準定位、隔離、清理和恢復，并建立惠及所有用戶的整體性免疫。

一、全環(huán)境的持續(xù)性分析

檢測是防范的第一步，也是黑客和安全體系的初次交鋒。惡意軟件有兩點讓企業(yè)防不勝防。首先，惡意軟件能通過多個攻擊媒介進入組織，很多組織不具備相應的全面可視性來實現(xiàn)全面防御。其次，高級惡意軟件會絞盡腦汁地掩蓋自身目的，這大大增加了檢測的難度。比如，多態(tài)和變形技術可通過形態(tài)的自更改來騙過簽名引擎，自擦除型木馬可以刪除自身組件來蒙混過關。

這就讓在某一環(huán)境（終端、網(wǎng)絡、郵件）部署時間點策略的防御措施束手無策。也就是說，傳統(tǒng)惡意軟件像是正面作戰(zhàn)的軍隊，只要加固邊防就可以防范，高級惡意軟件則像無孔不入的間諜，潛入核心地帶再伺機破壞，更隱蔽也更具針對性。

對此，AMP建立了一種全方位封鎖：橫向上，AMP建立了面向網(wǎng)絡-端點-郵件的全平臺安全體系；縱向上，AMP采取了持續(xù)性監(jiān)控分析，可以了解整個物理和虛擬環(huán)境上每個文件的完整生命周期。

AMP的全環(huán)境安全體系的實質是將安全防護落實到每一臺設備上。據(jù)思科2017年中網(wǎng)絡安全報告統(tǒng)計，目前38%的企業(yè)有10家以上安全供應商，這就導致產(chǎn)品間缺乏有效集成、總成本高昂、復雜性跳躍增長、安全狀況可視化程度較低。而作為全球最大的網(wǎng)絡安全解決方案提供商，思科的產(chǎn)品在兼容性、覆蓋面和可視化等方面具有得天獨厚的優(yōu)勢，從網(wǎng)絡邊緣到終端的解決方案的協(xié)作，可以大幅縮短檢測和補救的開銷。

　　思科AMP細分產(chǎn)品

如果說，全環(huán)境安全體系是一座長城，持續(xù)性分析技術就是城上的守軍，這種主動防御技術是思科AMP最獨特的能力之一。

與傳統(tǒng)的時間點防御不同，AMP會不間斷地監(jiān)控、分析并記錄所有文件的活動和通信，無論惡意軟件于何時何處發(fā)難，都能做出有效的應對。

持續(xù)性分析還有著三種獨有能力：

隨時反應能力，只要潛伏的惡意軟件有所動作，AMP可以進行即時響應；

模式識別能力，借助持續(xù)性分析獲得的信息，AMP的危害表現(xiàn)（IoC）功能可以識別多個關聯(lián)事件（即使每個事件都看似無害）背后的惡意軟件模式；

追溯性安全能力，一旦出現(xiàn)狀況，惡意軟件的來源、行為以及去向都會一目了然，進行清理或修復都會更方便和有效。

二、基于威脅情報的前瞻性分析

檢測到異常行為之后，安全體系必須對情報加以分析和確認。思科的分析能力在業(yè)界是有口皆碑的。為了衡量企業(yè)的安全能力，思科定義了平均威脅檢測時間(TTD)這一指標，用以指代從發(fā)生入侵到發(fā)現(xiàn)威脅之間的時間窗。思科的平均TTD中值已經(jīng)從2016年11月的39.2小時縮短到了今年5月的3.5小時。而業(yè)界平均檢測時間是100-200天。

這種分析能力的飛躍源于思科龐大的數(shù)據(jù)源和前瞻性的團隊。

為了收集威脅情報，思科建立了由數(shù)千家企業(yè)和數(shù)百萬終端支持的全球覆蓋網(wǎng)絡，還部署了上百萬個遙測代理、1100個威脅追捕程序，擁有4個全球數(shù)據(jù)中心和超過100家威脅情報合作伙伴。因此，在ESG去年發(fā)布的網(wǎng)絡安全威脅情報提供商榜單中，思科位列第一。

這些情報將交由Threat Grid引擎、Cisco Talos安全情報和研究小組以及綜合安全情報 (CSI) 云分析。以Talos團隊為例，它每天阻止200億次威脅和8000萬次惡意DNS查詢，接收160億網(wǎng)站請求，更是在去年的思科網(wǎng)絡安全報告中準確地預測了今年肆虐全球的勒索病毒特征與傳播趨勢。此外，Talos還與IBM X-Force等團隊展開合作，共同開展威脅情報研究。

此外AMP的高級沙盒整合了全球大數(shù)據(jù)分析、模糊匹配指紋、內置防病毒引擎、Rootkit 掃描等技術，可以依據(jù) 700 多種行為表現(xiàn)，對文件自動執(zhí)行靜態(tài)和動態(tài)分析。

10月24日，一種名為“壞兔子”(BadRabbit)的勒索病毒攻擊了俄羅斯、烏克蘭等國的多處計算機網(wǎng)絡。壞兔子和之前爆發(fā)的“魔窟”（WannaCry）、Petya等勒索病毒類似，都會以一臺終端為跳板，迅速擴散到整個局域網(wǎng)等其他設備。思科第一時間做出了回應，下圖為思科Threat Grid高級沙盒技術的部分檢測報告。

　　思科Threat Grid高級沙盒技術對“壞兔子”的識別和分析

三、精準追溯和阻斷

傳統(tǒng)的時間點防御技術不僅在辨別能力上有所欠缺，而且無法跟蹤偽裝過的惡意軟件在環(huán)境中的擴散情況、探明根本原因，或確定潛在的惡意軟件網(wǎng)關（即成為擴散源的系統(tǒng)）。

在上文介紹的持續(xù)性分析的基礎上，思科AMP打造了打造了“追溯性安全”的概念。用戶可以通過文件軌跡的功能，還原惡意軟件入侵的“案發(fā)現(xiàn)場”，查找接觸感染文件或曾表現(xiàn)出攻擊行為模式的設備，對惡意軟件擴散情況（包括進入點信息）、惡意軟件活動，以及受感染的終端等信息一目了然。

下圖是“壞兔子”勒索軟件在某終端的傳播軌跡。隨著時間的推移（從左到右表示時間），傳染源進行了一系列創(chuàng)建或運行行為，用戶正在查看惡意文件的路徑、沿襲等信息，這種洞察力是其他廠商無法實現(xiàn)的。

　　對“壞兔子”的追溯過程

思科AMP終端保護工具（AMP for Endpoints），借助于云端沙盒分析技術，利用了包括大數(shù)據(jù)分析、機器學習、模糊匹配指紋、內置防病毒引擎、Rootkit掃描等多種技術，自動檢測和攔截各種惡意代碼威脅。當終端PC下載或運行帶有惡意代碼的文件時，AMP將實時檢測，并根據(jù)預先設定的策略進行告警或隔離，并呈現(xiàn)出結果。

　　這種洞察能力是必要的。

首先，在面對大量危害事件時，用戶可以通過情報來確認危害的處理優(yōu)先級；在進行危害控制時，用戶可以從檢測模式切換到控制模式，快速探明感染的規(guī)模和根本原因，從而有效阻止進一步感染；清理是重點也是難點所在，用戶需要第一時間對惡意源頭和已經(jīng)被感染的設備進行“斬首”來避免威脅擴散，如果不能洞悉惡意行為的每一個細節(jié)，就很難做到斬草除根；最后，由于AMP搜集了惡意軟件的沿襲、使用、依賴關系、通信和協(xié)議等信息，用戶可以發(fā)現(xiàn)惡意攻擊背后的誘因，比如那些軟件引入了惡意軟件。

此外，AMP通過龐大的裝機量建立了一種以數(shù)據(jù)為核心的部署-反饋的良性循環(huán)。惡意軟件的配置文件和表現(xiàn)會第一時間添加到大數(shù)據(jù)分析引擎中，該攻擊的每個實例都會被阻止，使其沒有機會進入AMP用戶的設備或網(wǎng)絡。AMP裝機量越大，阻斷的性能越好，反過來阻斷也為AMP的裝機量增長提供了發(fā)力點。

總結

通過以上的三個防御環(huán)節(jié)，不難發(fā)現(xiàn)，AMP的核心優(yōu)勢在于：

1. 情報

思科在ESG的網(wǎng)絡安全威脅情報提供商榜單上位列第一，這種領先直接體現(xiàn)在AMP的分析能力上，也體現(xiàn)在阻斷性能上。

2.集成化架構

思科是全球最大的網(wǎng)絡安全解決方案提供商，因此可以建立起細致、便利的全環(huán)境一體化的安全體系；所有安全產(chǎn)品自動化聯(lián)動協(xié)作，實時共享威脅情報，最終幫助用戶實現(xiàn)有效的安全

3.持續(xù)性分析能力

AMP可以對用戶的整個物理／虛擬環(huán)境進行持續(xù)性檢測，這不僅讓潛伏的高級惡意軟件無所遁形，也是可視化的追溯性安全（精準的軌跡發(fā)掘、呈現(xiàn)和清理功能）的基礎。

在2017年IDC Marketscape的終端報告中，思科終端安全防護產(chǎn)品-面向終端的AMP被評為行業(yè)的“領導者”，其“戰(zhàn)略”緯度更是走在行業(yè)最前沿，這是對思科近期的嘗試和改進的肯定。

　　IDC Marketscape終端安全報告