今(2020)年初爆發的COVID-19疫情,迫使企業必須在最短時間啟動企業持續營運計畫(Business Continuity Planning,BCP),讓員工可以藉由異地辦公、在家辦公等方式維持公司正常營運。但此舉也讓原本資安防護機制產生漏洞,以往受到防火牆、IPS保護的端點設備,現今被迫暴露在駭客攻擊的威脅之中,更凸顯出提升端點防護力的重要性。
疫情讓裝置暴露險境傳統特徵碼比對難防護
近年來在駭客攻擊手法多元化且具針對性的趨勢下,透過零時差攻擊入侵並將勒索軟體進行加密及滅證的手法,或者又將惡意腳本隱藏在正常檔案中,再透過釣魚郵件誘騙員工開啟或是用PowerShell執行,以閃躲組織內既有的防護案例層出不窮。不少駭客組織也會將惡意程式植入在知名網站中,當用戶不小心點選檔案下載或廣告連結,用戶端就可能遭到感染,資安設備也難以阻擋。
然而傳統端點防護機制,幾乎清一色都是採取特徵碼比對模式,只能防止已知的病毒、惡意程式等,根本無力阻擋未知威脅。尤其目前已有惡意程式製作工具問世,即便是沒有經驗的駭客也能運用此類軟體,快速製造出變種惡意程式,輕鬆突破傳統端點防護機制。相較之下,新世代端點偵測與回應系統(Endpoint Detection and Response,EDR)融入端點行為軌跡記錄與分析,監測任何可疑行為的能力,大大提高對抗未知威脅的防護機制。
新世代EDR識別未知威脅可阻擋零時差攻擊
以前述提到的零時差攻擊為例,在原廠還沒有提供修補軟體之前,新世代端點偵測與回覆系統即可透過機器學習及虛擬補丁方式等技術,預先阻斷該攻擊帶來的威脅。新世代端點偵測與回應系統的另一優點,就是具備自動化事後阻擋與復原的功能。如在發現未知威脅當下,能與防火牆等資安設備連動,即時在閘道端阻斷惡意連線。其次,則是系統偵測到加密行為或惡意修改檔案等行為,也會主動阻斷該程式的運作,並自動執行系統回復機制、移除惡意程序、檔案或隔離端點等,達到保護用戶端或伺服器端系統安全的目的。
除了新世代端點偵測與回應系統之外,運用代理伺服器(Proxy Server)強化端點防護並整合網頁隔離(Web Isolation)機制,也是近來常見提升端點防護能力的作法。早期代理伺服器主要是用於頻寬節省,然而隨著網路專線費用下跌,加上網頁攻擊事件的頻傳,需要針對SSL流量進行可視化監控,並防止潛藏於當中的攻擊,反而成為強化資安的另一好選擇。
新世代網頁代理伺服器,通常具備URL過濾、威脅偵測與防禦,以及惡意軟體防護等功能,因此具備達到防禦網頁攻擊的目的。這類產品適合對安全管理較嚴格的企業使用,搭配新世代端點偵測與回應系統之後,對提升整體資安防護將帶來極大幫助。
<本文作者:張天相現為Fortinet台灣區業務協理>