全球威胁趋势产生新变化

如今，攻击性和防御性技术层出不穷，威胁的形态和响应的防范方式也都在快速迭代，思科大中华区网络安全事业部技术总监徐洪涛介绍在分析了2018年出现的几个关键事件攻击手段，思科发现呈现出以下几个特征：

一是抢头条、抢风头式的攻击。例如著名的奥运会毁灭者，针对平昌冬奥会的攻击，典型的抢夺新闻头条的攻击。

二是低调合作。这个方式在黑客界已经习以为常了。目前已经有了这样一种恶意软件，它甚至成为了“恶意软件的分销商”。众所周知在IT领域有分销商，而这些恶意软件就是可以分销的恶意软件，帮助恶意软件侵入到网络资源中。

三是潜伏隐蔽的攻击，很多人都了解勒索软件，它可以直接向受害者勒索要钱，那如果勒索不成功的时候怎么办呢？黑客会直接在机器上植入一个挖矿软件，利用用户的机器资源去挖矿和挣钱。

徐洪涛介绍本次发布的《2019年思科全球威胁报告》将物联网、移动平台和供应链列为最受黑客关注的三个攻击目标。以VPNFilter病毒为例，该病毒以路由器为主要目标，导致全球50多个国家50多万台设备受到了影响。而随着移动设备办公越来越多，针对移动设备的攻击也会越来越多，黑客更加倾向于通过攻击MDM平台再控制其管辖下的所有设备。

另外，徐洪涛介绍现在的攻击行为越来越隐蔽化、正在形成产业链。在2017年，思科对勒索软件分析的时候预计2018年会是勒索软件大规模爆发的一年，果然在2018年连续多个勒索软件爆发，但是到了2019年思科感觉发生了变化，勒索软件已经慢慢被一个新的威胁方式所替代，就是加密挖矿软件。背后的原因在于，勒索软件虽然直截了当，攻击者把电脑加密并勒索对方钱财，但攻击者真正能收到赎金的并不多。于是，黑客们开始在电脑上植入一些软件，比如装挖矿软件，利用这些电脑来做各种事情。

思科针对网络安全的博弈之道

一直以来，人们谈到网络与安全都是不分家的，特别是在万物互联的今天，正如习近平总书记强调的安全关口前移，随着物联网终端大量出现导致了边界安全日益严峻。对此卜宪录介绍思科在边界路由、交换机上深厚的领先技术与实践积累，构成了思科独特的优势。例如传统防护的思路是以威胁为中心的防御，随着边界的模糊、应用的复杂，移动、云等新因素出现后，思科在传统保护的基础之上新增“Zero Trust”信任验证机制，不论用何种移动终端设备，也不论是怎样的用户，在其对不同应用发起访问的时候，都会呈现一次性授权，这意味着威胁将会随时会被验证是否为合法用户，是否具有合法的权限来访问一个特定的应用，获取一份特定的数据。

此外，为了帮助客户获取最新的威胁分析，最大程度的进行安全防护，思科进一步加强了对威胁情报的收集以及对情报的共享。例如除了年度威胁报告之外，思科还推出了每月热点威胁，其中包含了全球最常见的威胁的详细分析，比如加密挖矿软件、SMB蠕虫的回归、电子欺诈、色情欺诈等，以及思科的安全解决方案。思科将免费公开每周全球主要的恶意软件的形态、特征，任何企业都可以利用这些特征在第三方平台上去进行安全防御。

这其中最主要的贡献者就是“思科Talos”，徐洪涛介绍Talos是全球最大的安全研究团队，它专门为思科客户、产品和服务提供卓越的保护。思科Talos团队由业界领先的网络安全专家组成，他们分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势。包括ClamAV团队和一些标准的安全工具书的作者中最知名的安全专家，都是Talos的成员。此外，思科Talos还拥有思科无可匹敌的丰富遥测数据：借助上百万个遥测代理、4个全球数据中心、超过100家威胁情报合作伙伴以及1100个威胁捕获程序。

值得一提的是，思科还一直致力于减少威胁“检测时间（TTD）”，即减少发生威胁到发现威胁之间的时间差。缩短检测时间，这对于限制攻击者的操作空间和最大限度减少入侵造成的损失至关重要。自从2015年11月以来，思科将其平均检测时间（TTD）缩短至2017年5月的约3．5小时。

谈及未来，卜宪录介绍思科一方面将深耕行业应用场景，例如面对工业互联网热潮，思科通过异常行为分析和全面的安全策略建立为工厂塑造完整的可信化模型，满足制造业的安全需求；另一方面，思科也将继续丰富安全产品线，通过创新与并购进一步增强自己的安全能力，为客户构造一个面向未来、统领全局的安全网络环境。