全球各地大部分的產業受到新冠肺炎疫情大流行重創,僅有高科技製造業一枝獨秀,卻也因此更受國際駭客組織覬覦,藉由加密勒索軟體來獲取利益,近期本土知名企業仁寶與研華的辦公室環境相繼傳出遭受攻擊,可說是典型的案例。
Sophos資深顧問周裕華觀察,未來勒索軟體的規模勢必只會更大,從全球知名GPS及穿戴式裝置大廠Garmin遭感染事件來看,被惡意加密的檔案副檔名為Garmin,由此可發現此攻擊活動極具針對性,據傳Garmin不敵營運停擺多日造成的損失,最終選擇支付贖金。儘管美國聯邦調查局(FBI)等執法單位不斷呼籲受駭者切勿付款,以免助長網路犯罪,但不少企業往往還是認為盡速恢復正常營運的重要性更高。
事實上,企業必須意識到,勒索軟體不僅會持續地演變,同時已轉趨針對性,相當於採取APT狙殺鏈手法來發動,初期滲透常見運用目前防禦機制尚難以精準判讀的無檔案(Fileless)攻擊,除非擁有端點偵測與回應(EDR)分析能力,完整地分析惡意程式感染行為的軌跡,才可能隨之調整控管措施,降低再次爆發資安事件的風險。
例如Sophos Intercept X次世代端點安全防護建構的縱深防禦,核心引擎具備EDR技術,運行深度學習演算分析,無須特徵碼即可偵測發現已知與未知的惡意程式,有效地迴避零時差攻擊。更特別的是Intercept X可藉由行為分析阻斷首度出現的勒索軟體,搭配內建的CryptoGuard技術追蹤異動狀態,回復未經授權被加密的檔案,大幅降低勒索軟體帶來的危害。
周裕華指出,Sophos技術發展理念在於簡化複雜的資安控管程序,IT管理者或資安維運人員可透過Sophos Central集中控管平台操作配置政策規則,基於群組方式套用到各式終端設備。針對潛在的威脅,Intercept X Advanced with EDR具有主動獵捕能力,可先以深度學習演算分析偵測潛在威脅,並且依據風險等級排序處理順序,一旦發現可疑的檔案活動,便會分解檔案屬性、程式碼等指標進行大規模比對分析,維運人員亦可運用SQL語言深入獵捕與調查,確認為惡意時即透過遠端終端指令直接操作,例如重新啟動系統、終止處理程序、執行指令碼、調整設定參數、安裝或移除軟體等。
Sophos資深顧問周裕華建議,面對日益嚴峻的攻擊威脅,企業營運重要資產須先釐清,並且依據產值與投入保護的成本,估算資安風險控管的投資報酬率,方可制定合適的施行準則。
對於欠缺IT人力或資安專業知識的企業,則可借助Sophos提供的MTR(Managed Threat Response)託管式服務來協助。周裕華說明,MTR服務團隊即是採用Sophos Intercept X Advanced with EDR來執行威脅獵捕,以發現惡意行為的回應模式,若企業授權給MTR服務團隊,可達到及時遏止的效果。
值得一提的是Sophos簡化了數位鑑識調查工作,只要在監控過程中發現某個端點出現惡意攻擊行為,可直接在主控台上遠端發送執行鑑識快照指令並且回傳,供資安維運人員深入分析,無須到現場取出電腦硬碟或拆解裝置,同樣可釐清攻擊活動完整的軌跡。
以桌面虛擬化應用環境為例,多數企業認為只要重新啟動即可重置系統環境,即使被滲透成功植入惡意程式也不以為意,殊不知桌面虛擬化系統在尚未關機之前也可能成為灘頭堡,進而快速地橫向移動擴大感染範圍,虛擬化的應用環境,也必須受到嚴格的管控,避免成為資安破口。周裕華強調,進入5G高速網路時代後,面臨的攻擊威脅只會更加快速,必須掌握營運工作流程中可能衍生的資安弱點,才可避免被利用釀成無法挽回的重大事故。
企業可借助代理Sophos全產品與服務的鉅晶國際(JJNET),共同捍衛各種數位化應用衍生的攻擊。
進一步了解更多 SOPHOS 雲端原生的資料安全:https://www.sophos.com/zh-tw.aspx