在網路型APT設備的普遍發展後,勒索軟體將促進另一波端點行為防護的競賽。各大資安廠商因為勒索軟體帶來的損失,投入許多人力在開發新型的端點防護方案。簡單來說,加密行為的偵測,已成為各端點安全廠商的重點項目。
索軟體大量出現,對資安防護廠商來說,也面臨不同於以往的挑戰。過去用來保護資料安全、防止資料外洩的技術,卻反被用來作為資料綁架的手段,甚至必須要在正常的保護行為中,找出不當使用的事件。同時,也凸顯出在端點防護中,行為防護的必要性。
目前,大部分的端點防護軟體在偵測未知勒索軟體的方式,會最先從網路層著手。但隨著勒索軟體的進化,過去依賴網路連線偵測的防護手法,將無法偵測到未知的勒索軟體,這點從2016年7月出現在無網路連線環境下,也可進行加密的新版Locky即可見端倪。這意味著,安全防護的重心,將在APT議題的盛行後,再次移轉回端點防護的領域。
在網路型APT設備的普遍發展後,勒索軟體將促進另一波端點行為防護的競賽。各大資安廠商因為勒索軟體帶來的損失,投入許多人力在開發新型的端點防護方案。簡單來說,加密行為的偵測,已成為各端點安全廠商的重點項目。
|
▲勒索軟體防護方式。 |
下圖是勒索軟體防護方式的抽象化表示。在最外圍兩層的項目,是目前各企業在網路端防護最先採用的防護措施,如阻擋執行檔、腳本檔案、惡意網站和釣魚網站等,旨在防止勒索軟體進入以及連線至C&C伺服器。但隨著勒索軟體的進化和TOR網路的利用,偵測不良連線變得更為困難。除此之外,感染途徑也不僅限於透過企業對外網路進入,也可能是因為人員將設備攜出而導致感染。
簡單來說,雖然網路端防護可以攔阻大部分感染來源,但只依賴網路端的防護是無法完全遏阻惡意加密行為的發生,還需要行為防護才可能完善。於中心點向外三層的項目,屬端點行為偵測的範疇。當資料被非對稱式加密技術處理成密文後,無法在沒有私鑰的狀況下進行還原。因此,加密行為偵測、加密前備份以及加密後還原,將成為勒索軟體防護的核心行為防護。
無論企業分別使用的解決方案為何,再厲害的端點或網路防護,都可能會因為人為疏失而產生漏洞。安全和便利永遠都在兩端拉扯,使用者為了簡單行事,會規避許多安全規定。因此,最終的防線還是在資料備份的完善程度。無論建置多少安全防護,資料備份還是必須要妥善完成,這是企業最後的一道防線。
現在勒索軟體的影響,還只出現在個人或企業儲存資料。國外已有警察單位出現被感染的案例,也因此交付贖金給惡意軟體的散播來源。假如感染到醫療、交通、能源以及銀行等等民生系統,那就不是損失資料,而是民生系統癱瘓。這也提醒我們,必須要重視防護勒索軟體的重要性。
(本文作者林子涵為Sophos台灣區技術經理)