勒索軟體以無差別式的攻擊,直接損毀遭受感染的檔案,近年來已讓中小企業深刻感受到資安威脅的危險性,開始正視防範措施。Sophos資深技術經理詹鴻基認為,深入了解防範措施後可發現其實並非無法可解,只要基於現有的防毒引擎,增添端點安全防護機制,落實漏洞管理措施與加密防護,進而聯合閘道端建立共同防禦,不須額外增添昂貴先進的資安技術,即足以降低大部分風險。
新變種的惡意程式通常會利用文件檔案巨集程式與瀏覽器漏洞發動攻擊,只要是已知的漏洞,則可透過防護技術偵測與攔阻,因此建立漏洞防護的機制相當重要。但是台灣中小企業普遍欠缺這方面的觀念,詹鴻基觀察主要原因,在於多數企業認為防毒軟體即可防範勒索軟體、病毒、木馬、惡意程式等不同威脅,但實際上,各種攻擊程式的行為模式不同,不可能以單一機制防範所有手法。
端點與閘道聯防確保端點安全無虞
勒索軟體的危害,詹鴻基認為,在有利可圖的現況下,將會持續不斷變種與翻新手法,造成的破壞力遠勝於過去大規模病毒感染事件,因此不得不有所防備。以WannaCry事件來看,遭受感染的第一台電腦未必是員工辦公桌機,可能也包含非IT人員管轄的資產,進而在內網中擴散。
如何確保資訊環境的安全性,可說是IT人員必須思考的問題。若IT人員得以掌握整體資訊環境,即可擬定防護措施,但若有根本不知其存在的資訊裝置,如何能確保整體安全性?對中小型企業來說,或許可透過NAC平台控管,但建置價格通常不低,最合適的做法,應該是善用現有的端點與閘道端方案因應當前攻擊威脅。
|
▲Sophos Endpoint Protection搭配Intercept X,強化勒索加密與漏洞防護,並且在Central雲端控管平台中增加根本原因分析,勾勒出整起資安事件軌跡。(資料來源:Sophos) |
「以前的端點與閘道端各司其職,運作邏輯完全不同,Sophos在三年前透過收購方式取得閘道端技術後,發展出Heartbeat機制,若有未安裝防護的電腦接取網路,閘道端接收不到Heartbeat訊號,則阻止該主機的對外連線行為。如此一來,內部員工私人裝置未通過申請程序,或是未安裝最新系統修補程式與病毒碼,即無法連線到網際網路。」詹鴻基說。
針對最常被利用來發動滲透入侵的網頁與郵件管道,亦可透過Sophos防火牆訂閱雲端沙箱機制,藉此提升未知檔案的判別精準度。
漏洞防護、阻止異常加密 嚴防勒索襲擊
|
▲ Sophos資深技術經理詹鴻基認為,外部威脅攻擊手法相當多,傳統的防毒軟體仍具高防護效率,但必須補強端點的漏洞防禦,進而運用已日漸成熟的人工智慧與機器學習技術,來提高偵測率。 |
至於偵測機制,雖然今日勒索軟體動輒利用二十多種已知的漏洞組合撰寫攻擊程式,但二十多年來,病毒碼偵測始終為防禦惡意程式最有效率的方式,只要有能力掌握,並建立防護措施,詹鴻基評估,至少有九成以上的機率可破壞攻擊。萬一是使用者警覺心不足,點選執行觸發惡意的加密行為,端點防護措施須具備可協助偵測並阻止執行的機制,例如多數使用者不會大量且快速地加密檔案,一旦被偵測發現便可直接攔阻,並且保留原始檔案,才不致造成損失。
儘管防護機制可制止惡意加密行為,但既已成為資安事件,仍有必要釐清感染攻擊鏈,從而改善控管政策與措施,提高端點的免疫力。以往常見的作法是建置商業版或免費版的日誌管理伺服器,進行關聯分析來追查事件的來龍去脈,近年來IT人員遇到的困境是攻擊者為了避免被發現,通常會自動銷毀記錄檔,使得整起事件無法被真實還原,難以建立有效防禦措施。
對此,Sophos的新一代端點安全產品Intercept X,提供的根本原因分析(Root Cause Analysis)機制,讓IT管理者可透過Sophos Central雲端管理平台快速地查看,藉由自動產生入侵軌跡拓樸圖,一目了然惡意行為資訊,包含開啟檔案的暫存檔、修改的資訊、連線到外部等細節。
深度學習演算模型提高預測精準度
除了根本原因分析,Intercept X方案亦包含勒索加密防護(CryptoGuard)與漏洞防護(Exploit Prevention)機制,用於防堵防毒引擎無法偵測得知的新型態攻擊手法。
詹鴻基說明,Sophos既有的Endpoint Protection是以防毒引擎為核心,Intercept X則設計以無特徵碼技術防範漏洞攻擊,統一使用Sophos Central雲端管理平台,讓用戶在不改變現有配置下達到進階防護效果。
「Intercept X採以輕量化的程式提高端點安全性,亦可相容於其他防毒引擎。運作模式是在檔案通過防毒引擎掃描後,程式開始運行當下,被Intercept X發現是漏洞攻擊行為,才會觸發執行防護與記錄,既不會佔用系統資源,也不需要經常更新,只要在新型態漏洞攻擊手法出現時予以更新即可。」詹鴻基強調。
Sophos增添Intercept X方案的用意,除了可用於輔助病毒碼偵測無法發現的攻擊手法,同時也可基於Heartbeat機制觸發防火牆執行攔阻以達到聯防效果。在2018年初發布的新版本中,更增添應用程式同步管控機制,在端點的應用程式連線上網時,自動通報防火牆平台,如此一來,防火牆針對上網行為的辨識能力才得以跟上現代應用程式變換的速度。
此外,Intercept X新版本中加入憑證偷竊防護,阻斷攻擊者滲透入侵端點後進行潛伏、擴散,再竊取最高管理者的帳密,進而登入企業營運系統取得機敏資料的流程。
較特別的是,Sophos於2017年收購Invincea取得的深度學習神經網路演算法技術,也納入Intercept X方案,運用Sophos長期累積的龐大資料量,訓練出更加精準的演算模型,讓預測惡意軟體的執行行為得以提高偵測率、降低誤判率。