揭秘思科Talos ,全球领先的安全研究团队

数字化世界正在以空前速度扩张，目标和攻击机会也在快速增多。为了有效抗击这些威胁，安全专家必须超越跟踪和检测，将当今安全技术的边界推向与未来漏洞作战的前线。思科Talos团队，云集全球安全领域的精兵强将，网罗广泛分布各处的威胁情报，以未雨绸缪的前瞻性洞察为矛，以集成的安全与威胁情报解决方案为盾，提供真正有效的安全防御。

全球领先的安全研究团队

思科Talos是思科的威胁情报组织，专门为思科客户、产品和服务提供卓越的保护。借助上百万个遥测代理、4个全球数据中心、超过100家威胁情报合作伙伴以及1100个威胁捕获程序，这个由超过250位安全研究人员和600名软件工程师组成的团队已经是目前全球的安全研究团队和分析威胁情报数量多的组织。思科Talos采用自动化安全大数据方法分析来自全球的邮件、网站和超过1.5亿网络终端设备的威胁情报，每天可分析全球1/3的邮件总量（6千亿封邮件/每天）、超过150万独立恶意软件样本。思科Talos每天阻止200亿次威胁和8000万次恶意DNS查询，接收160亿网站请求。Snort、ClamAV等开源工具和平台正是出自思科Talos之手，同时思科Talos还得到了Senderbase.org和Spamcop.net社区的庞大资源支持。

思科Talos覆盖五个重要领域——检测研究、威胁情报、引擎开发、漏洞研究以及外联：

·         检测研究包括漏洞和恶意软件分析，涵盖解包、反向工程以及开发概念验证代码，为所有思科安全产品开发检测内容，确保思科在每个平台上尽可能以高效的方式解决威胁。

·         威胁情报包括关联和跟踪威胁，使思科能够将归因信息转化为切实可行的威胁情报，从而更快速地识别威胁和威胁实施者，有效保护客户安全。

·         引擎开发工作帮助确保思科的各种检测引擎保持新水平并维持其检测和解决新威胁的能力。

·         漏洞研究将开发各种方法，用于在思科客户依赖的平台和操作系统中识别“零日”安全问题。

·         外联计划包括研究、识别以及宣传攻击者在侵害受害者时采用的新手段。

网络安全研究的集大成者

思科Talos为网络保护提供了一种全面且主动的独特方法，团队成员致力于提供高质量、客户驱动的安全研究，设立准确性和相关性领域的新标杆，其成功记录和领导力堪称行业翘楚：

· 安全覆盖范围的广度和深度：为了提供广泛的威胁防御，思科Talos支持各种安全解决方案，包括Firepower下一代防火墙下一代IPS、和高级恶意软件防护（AMP）、邮件安全设备、Web安全设备、ThreatGrid、Stealthwatch 以及大量开源和商业威胁保护系统。通过跟踪终端、网络、云环境、Web和邮件中的威胁，思科Talos对网络威胁、威胁根源以及爆发范围拥有全面洞察。

· 全面的信息情报：可靠、切实可行的情报是整体性安全策略的核心组成部分。通过ClamAV、Snort、Immunet、SpamCop、SenderBase、Threat Grid以及思科Talos用户社区，思科Talos获得了其他安全研究团队无法比拟的重要情报。思科Talos分析研究全球数百万用户、诱捕系统、沙盒以及大量行业合作伙伴来源的数据。

· 广泛的威胁研究与创新的检测技术：无论是以销售点终端为目标的PoSeidon等新恶意软件系列，还是广泛传播的“Kyle and Stan”等恶意广告网络，或是互联网上给核心服务造成风险的“SSHPsychos”等威胁，思科Talos均能够识别、研究并记录这些攻击。一旦发现新漏洞，思科Talos将发布防范这些零日威胁的规则，使客户在等待来自供应商的保护的同时控制威胁。

· 可靠的社区：为了与客户和合作伙伴互相配合，帮助解决特殊环境下的检测挑战，思科制定了“意识、教育、指导和情报共享”(AEGIS) 计划，使安全行业的参与成员能够直接联系思科Talos威胁情报团队，以帮助构建定制的检测内容，收集有关产品和服务的反馈，改进安全防护。

洞悉安全态势的前瞻者

在近年发生的数次恶意软件感染事件中，思科Talos均凭借业界领先的洞察，提前预测到恶意软件的爆发趋势和网络安全面临的挑战，并及时提供详尽的威胁信息和安全防护指导。早在2016年，思科Talos就发布了《勒索软件：过去、现在和未来》，敏锐捕捉到恶意软件的攻击重点从个人终用户转向以整个网络为攻击目标这一变化趋势，同时也对长期以蠕虫和僵尸网络形式存在的自我传播型恶意软件进行了深入分析。而2017年5月12日爆发的WannaCry勒索软件感染事件正是利用了恶意软件自我传播方式进行攻击，在全球范围内造成的损失和负面影响前所未有。

在WannaCry大规模爆发的当天，思科Talos第一时间向公众发布了一系列文章，进行了业界为全面的技术分析，全面阐释了勒索软件原理，为思科用户提供了全面集成的解决方案，使其免受勒索软件侵害。时间快进到2017年6月，更为复杂的攻击“Nyetya”出现了，这次攻击利用所谓的“供应链攻击”作为危害组织的初始矢量。

思科Talos表示，WannaCry和Nyetya是导致全球许多组织受到严重影响的两个恶意软件示例。这些事件启示防御者需要从信息安全的角度回到本始，确保组织受到充分的保护，并且针对潜在的破坏性事件作好充分的响应准备。计算机蠕虫几十年来一直存在，并非新鲜事物。制定到位、健全、分层次的深度防御战略将确保组织能够防止广泛的系统停机，并当其环境内部发生系统破坏时进行快速检测和响应，从而将事件可能造成的损失化。

面对不断变化的安全态势，2017思科®年中网络安全报告（MCR）报告提供了2017年上半年数据驱动的行业洞察和网络安全趋势，同时为改进安全状态提供了切实可行的建议。作为主要撰稿人之一，思科Talos在该报告中指出，威胁正在快速演进，攻击数量不断增加，并预测网络中可能会出现“服务破坏”（DeOS）攻击。随着物联网的出现，重点行业开展了更多的线上运营，此类威胁的攻击面、潜在规模和影响不断增加。诸如WannaCry和Nyetya等网络攻击显示了网络攻击的速度之快和影响之广，这种攻击与传统勒索软件看似相似，但破坏性更强。思科将这些攻击视为“服务破坏”攻击的前兆，而“服务破坏”攻击将更具破坏性，使企业难以恢复运营。

思科大中华区副总裁、安全业务总经理庄敬贤表示，勒索软件攻击已经成为安全领域的威胁，并且已经成为一种常态，我们看到其中有一部分勒索软件正迅速恶化演进成为 Crimeware（犯罪软件）。近期思科Talos研究发现相较于勒索软件1.0 – WannaCry，Nyetya 已经演变成为Crimeware（犯罪软件），这将会打破原有的安全防御平衡。面对日益猛烈和智慧化的恶意攻击，如今碎片化的安全解决方案无法实现真正有效的防御，安全产品之间必须要能够联动协作。只有集成化架构式的防御，实时共享威胁情报，才能实现全面有效的安全。

目前，思科Talos仍在针对中国市场不断进行安全研究，并发现了一个新的安全隐患：中国在线DDoS平台的不断涌现似乎与中国黑客论坛上出售的源码联系密切。在线DDoS平台一直颇有市场，因为它们不仅具有易于使用的界面，而且会为用户提供所有必要的基础设施，用户无需自己构建僵尸网络或额外购买其他服务，只需通过可靠的支付网站购买激活代码，就可以通过输入目标发动攻击。这样一来，即便是没有相关黑客知识的菜鸟，也能发动强大的攻击，这取决于DDoS平台运营者的后端基础设施是否强大。

作为全球领先的威胁情报智能研究分析团队，思科Talos通过分析恶意软件、漏洞、入侵行为以及新趋势，提供业内全面和主动的安全与威胁情报解决方案，并将其对威胁情况的洞察融入到思科所有的安全产品中，这为思科的安全研究和安全产品服务提供了强大的后盾支持，进而构成思科安全生态系统的坚实基础。