思科合作伙伴:SYNful Knock攻击路由器给思科带来的影响是销售手法的改变

受感染的思科路由器数量不断攀升,研究人员发现,到目前为止有约200个IP地址被名为SYNful Knock的恶意固件在安装时被感染,被感染的IP地址遍及30多个国家,数字远大于FireEye上周报道的14个感染个案。

思科合作伙伴表示,SYNful Knock攻击路由器的攀升不会影响思科销售,但会影响到渠道如何销售给客户的手法。

一位不愿透露姓名的解决方案提供商和思科金牌合作伙伴高管表示,“渠道方面,就销售而言,这并没有什么问题。对渠道来说,问题是渠道会延缓传统路由器技术的销售,原因是客户现在要重新考虑自己应该如何在网络边缘部署一切。”

FireEye子公司麦迪安(Mandiant)在上周的一篇博客文章里证实,麦迪安发现了14个感染个案,个案中Cisco路由器被植入恶意软件。思科发言人告诉记者,黑客窃取了有效的网络管理权限,或是可以接触路由器实体以安装恶意软件。路由器被植入恶意软件后,攻击者可利用后门进行访问,而且后门在路由器重新启动后仍会存在。

总部设在美国加利福尼亚州圣何塞的网络巨头思科在事件曝光后, 与网络犯罪专家和生态系统合作伙伴Shadowserver基金会组成了一个合作团队,该团队发现,到周一为止,31个国家里的199个不同的IP地址受到SYNful Knock的攻击。

Shadowserver在周一的一篇博客文章里表示,“有必要强调这次恶意行为的严重程度,这一点很重要。要尽快、尽全力找到那些受影响的路由器并对其进行修复。”

Shadowserver提供的资料显示,美国被感染路由器最多,达65个,其次是印度,12个,俄罗斯11个,波兰9个,中国8个。思科向记者证实,目前知道有三种型号的路由器受到感染——1841、2811和3825。其中3825早已下架,“几年来”没有卖过。据思科说,这些路由器的硬件支持下个月结束。

一位思科发言人表示,“这并不是我们的技术漏洞。这是一种新型威胁,在过去,人们认为这种新型威胁是不可能的。要应对这种威胁,一部分真的是务必跟足业内认定的最佳做法和步骤。”

该思科发言人称,“我们正在加强与我们客户团队的沟通,务必要认识到教育客户履行最佳实践的重要性,并要对客户提供相关的指导。这并不是单纯的销售思科设备,实际上,我们要求我们的销售团队要走出去,去帮助我们的客户,确保他们用现存的工具保护自己的网络。”

一众合作伙伴表示,渠道在与客户打交道时也需要取类似的做法,要充分了解客户的内部网络、架构和安全性,以防止未来的攻击。

Lumenate是一家位于美国达拉斯的解决方案供应商,是思科合作伙伴。该公司的战略和保健高级副总裁Jamie Shepard表示,“作为一个渠道合作伙伴,我们现在已经不能来一句,‘这里是我们的连接团队,现在去部署路由器吧。’我们希望走出去,与搞安全的那帮人沟通,了解客户的架构……因为这件事,我们已经见到采购订单被推迟,但订单以后会变得更大,原因是我们以后采用的做法是提供更多的咨询。”

解决方案供应商在这方面的看法一致,他们认为销售时需要有更多的咨询,要了解客户的内部技术和架构,如此则有助于防止安全漏洞。此外,合作伙伴表示,黑客攻击诸如思科路由器一类旧传统设备上获得成功,原因是客户都集中精力在部署新的云技术,没有照顾好旧设备。

一思科金牌合作伙伴表示,“SYNful Knock这事表明,传统设备和新的流程没有完全整合。有心人利用了这些漏洞。大概可以说,合作伙伴和渠道作为一个整体,需要更多地了解客户的内部状况, 这样对客户来说就可以变得更有价值些。”

思科表示,思科为客户提供如何预防、检测SYNful Knock以及修复方面的指导,包括提供“Snort规则”评估客户的网络,以帮助客户确定自己是否有风险或是已经被攻破。

发表评论