很多人都抱怨过，几十年前可谓药到病除，现在的病毒都有抗药性，得了病很难治。在安全领域，随着技术公司和恶意攻击者之间的对抗不断升级，高级恶意软件也具备了种种“抗药性”，传统的安全产品既不能顾及企业安全的每个边角，也欠缺足够的甄别和处理能力。根据这种情况，思科推出了高级恶意软件防护（AMP）产品，帮用户构筑新型安全体系。

　　恶意文件进入终端了怎么办？思科AMP分三步解决这个问题：

布局网络／终端／邮件的全环境，运用独有的持续性分析技术，打造全方位全天候的监控网；

通过Threat Grid 引擎、Cisco Talos小组、综合安全情报 (CSI) 云分析以及高级沙盒，确定威胁；

通过基于持续性分析的文件轨迹功能，对恶意软件的传染源和所有相关文件进行“外科手术”般的精准定位、隔离、清理和恢复，并建立惠及所有用户的整体性免疫。

一、全环境的持续性分析

检测是防范的第一步，也是黑客和安全体系的初次交锋。恶意软件有两点让企业防不胜防。首先，恶意软件能通过多个攻击媒介进入组织，很多组织不具备相应的全面可视性来实现全面防御。其次，高级恶意软件会绞尽脑汁地掩盖自身目的，这大大增加了检测的难度。比如，多态和变形技术可通过形态的自更改来骗过签名引擎，自擦除型木马可以删除自身组件来蒙混过关。

这就让在某一环境（终端、网络、邮件）部署时间点策略的防御措施束手无策。也就是说，传统恶意软件像是正面作战的军队，只要加固边防就可以防范，高级恶意软件则像无孔不入的间谍，潜入核心地带再伺机破坏，更隐蔽也更具针对性。

对此，AMP建立了一种全方位封锁：横向上，AMP建立了面向网络-端点-邮件的全平台安全体系；纵向上，AMP采取了持续性监控分析，可以了解整个物理和虚拟环境上每个文件的完整生命周期。

AMP的全环境安全体系的实质是将安全防护落实到每一台设备上。据思科2017年中网络安全报告统计，目前38%的企业有10家以上安全供应商，这就导致产品间缺乏有效集成、总成本高昂、复杂性跳跃增长、安全状况可视化程度较低。而作为全球最大的网络安全解决方案提供商，思科的产品在兼容性、覆盖面和可视化等方面具有得天独厚的优势，从网络边缘到终端的解决方案的协作，可以大幅缩短检测和补救的开销。

　　思科AMP细分产品

如果说，全环境安全体系是一座长城，持续性分析技术就是城上的守军，这种主动防御技术是思科AMP最独特的能力之一。

与传统的时间点防御不同，AMP会不间断地监控、分析并记录所有文件的活动和通信，无论恶意软件于何时何处发难，都能做出有效的应对。

持续性分析还有着三种独有能力：

随时反应能力，只要潜伏的恶意软件有所动作，AMP可以进行即时响应；

模式识别能力，借助持续性分析获得的信息，AMP的危害表现（IoC）功能可以识别多个关联事件（即使每个事件都看似无害）背后的恶意软件模式；

追溯性安全能力，一旦出现状况，恶意软件的来源、行为以及去向都会一目了然，进行清理或修复都会更方便和有效。

二、基于威胁情报的前瞻性分析

检测到异常行为之后，安全体系必须对情报加以分析和确认。思科的分析能力在业界是有口皆碑的。为了衡量企业的安全能力，思科定义了平均威胁检测时间(TTD)这一指标，用以指代从发生入侵到发现威胁之间的时间窗。思科的平均TTD中值已经从2016年11月的39.2小时缩短到了今年5月的3.5小时。而业界平均检测时间是100-200天。

这种分析能力的飞跃源于思科庞大的数据源和前瞻性的团队。

为了收集威胁情报，思科建立了由数千家企业和数百万终端支持的全球覆盖网络，还部署了上百万个遥测代理、1100个威胁追捕程序，拥有4个全球数据中心和超过100家威胁情报合作伙伴。因此，在ESG去年发布的网络安全威胁情报提供商榜单中，思科位列第一。

这些情报将交由Threat Grid引擎、Cisco Talos安全情报和研究小组以及综合安全情报 (CSI) 云分析。以Talos团队为例，它每天阻止200亿次威胁和8000万次恶意DNS查询，接收160亿网站请求，更是在去年的思科网络安全报告中准确地预测了今年肆虐全球的勒索病毒特征与传播趋势。此外，Talos还与IBM X-Force等团队展开合作，共同开展威胁情报研究。

此外AMP的高级沙盒整合了全球大数据分析、模糊匹配指纹、内置防病毒引擎、Rootkit 扫描等技术，可以依据 700 多种行为表现，对文件自动执行静态和动态分析。

10月24日，一种名为“坏兔子”(BadRabbit)的勒索病毒攻击了俄罗斯、乌克兰等国的多处计算机网络。坏兔子和之前爆发的“魔窟”（WannaCry）、Petya等勒索病毒类似，都会以一台终端为跳板，迅速扩散到整个局域网等其他设备。思科第一时间做出了回应，下图为思科Threat Grid高级沙盒技术的部分检测报告。

　　思科Threat Grid高级沙盒技术对“坏兔子”的识别和分析

三、精准追溯和阻断

传统的时间点防御技术不仅在辨别能力上有所欠缺，而且无法跟踪伪装过的恶意软件在环境中的扩散情况、探明根本原因，或确定潜在的恶意软件网关（即成为扩散源的系统）。

在上文介绍的持续性分析的基础上，思科AMP打造了打造了“追溯性安全”的概念。用户可以通过文件轨迹的功能，还原恶意软件入侵的“案发现场”，查找接触感染文件或曾表现出攻击行为模式的设备，对恶意软件扩散情况（包括进入点信息）、恶意软件活动，以及受感染的终端等信息一目了然。

下图是“坏兔子”勒索软件在某终端的传播轨迹。随着时间的推移（从左到右表示时间），传染源进行了一系列创建或运行行为，用户正在查看恶意文件的路径、沿袭等信息，这种洞察力是其他厂商无法实现的。

　　对“坏兔子”的追溯过程

思科AMP终端保护工具（AMP for Endpoints），借助于云端沙盒分析技术，利用了包括大数据分析、机器学习、模糊匹配指纹、内置防病毒引擎、Rootkit扫描等多种技术，自动检测和拦截各种恶意代码威胁。当终端PC下载或运行带有恶意代码的文件时，AMP将实时检测，并根据预先设定的策略进行告警或隔离，并呈现出结果。

　　这种洞察能力是必要的。

首先，在面对大量危害事件时，用户可以通过情报来确认危害的处理优先级；在进行危害控制时，用户可以从检测模式切换到控制模式，快速探明感染的规模和根本原因，从而有效阻止进一步感染；清理是重点也是难点所在，用户需要第一时间对恶意源头和已经被感染的设备进行“斩首”来避免威胁扩散，如果不能洞悉恶意行为的每一个细节，就很难做到斩草除根；最后，由于AMP搜集了恶意软件的沿袭、使用、依赖关系、通信和协议等信息，用户可以发现恶意攻击背后的诱因，比如那些软件引入了恶意软件。

此外，AMP通过庞大的装机量建立了一种以数据为核心的部署-反馈的良性循环。恶意软件的配置文件和表现会第一时间添加到大数据分析引擎中，该攻击的每个实例都会被阻止，使其没有机会进入AMP用户的设备或网络。AMP装机量越大，阻断的性能越好，反过来阻断也为AMP的装机量增长提供了发力点。

总结

通过以上的三个防御环节，不难发现，AMP的核心优势在于：

1. 情报

思科在ESG的网络安全威胁情报提供商榜单上位列第一，这种领先直接体现在AMP的分析能力上，也体现在阻断性能上。

2.集成化架构

思科是全球最大的网络安全解决方案提供商，因此可以建立起细致、便利的全环境一体化的安全体系；所有安全产品自动化联动协作，实时共享威胁情报，最终帮助用户实现有效的安全

3.持续性分析能力

AMP可以对用户的整个物理／虚拟环境进行持续性检测，这不仅让潜伏的高级恶意软件无所遁形，也是可视化的追溯性安全（精准的轨迹发掘、呈现和清理功能）的基础。

在2017年IDC Marketscape的终端报告中，思科终端安全防护产品-面向终端的AMP被评为行业的“领导者”，其“战略”纬度更是走在行业最前沿，这是对思科近期的尝试和改进的肯定。

　　IDC Marketscape终端安全报告