事先紀錄以還原檔案執行　讓加密勒索軟體失效

根據卡巴斯基實驗室於2016年統計報告中指出，「肉雞」（受駭客操縱的殭屍電腦）的價格愈來愈便宜，每台大約6美元即可取得，可說是相當便宜的犯罪「服務」；若用於發動DDoS攻擊，下單之前還可以試用；加密勒索軟體也有簡單易上手的工具，僅需滑鼠點選即可自行產生變種。

如此情況下，謝長軒觀察，不斷發布最新特徵碼的傳統防禦模式，即使IT資源充裕的大型企業，防禦體系都未必能趕上變種的速度。因此卡巴斯基除了發展資安解決方案，也積極加入由歐洲刑警組織與專業機構共同組成的非營利組織防範勒索軟體聯盟（No More Ransom），以掌握惡意程式製作者為主要目標，才能藉此降低惡意程式產生的數量。

APT沙箱搭配威脅感知平台建立內部聯防

就端點保護平台解決方案的發展來看，卡巴斯基所架構的多層次防護，包含入侵管道（檔案、網頁、郵件）威脅防護、雲端情報服務、反勒索病毒防護、主機型入侵防禦（HIPS）及網路威脅防護、自動漏洞入侵防護（Automatic Exploit Prevention，AEP）、機器學習與行為模式分析偵測技術。

所謂多層次，謝長軒解釋，意思是對不同威脅特徵以不同機制阻擋。從使用者下載檔案的瞬間開始，先偵測檔案來源的URL；存放到端點時經過防毒引擎掃描；被點選開啟後，載入記憶體時，立即檢查執行緒；執行當下則監看運作程序行為，過程中若發現問題隨即阻擋。

▲ 卡巴斯基以威脅感知平台（Cyber Hunting Platform），發展防護、偵測、回應、預測相關技術，協助企業建構資安循環體系。

「由於惡意軟體變種數量過多，端點保護平台業者為了提升資料判別速度，紛紛開始強調機器學習技術，其實卡巴斯基原本就已採用機器學習來協助判斷。但是大家沒有提到的是，這只能用於判斷非營運相關、風險低的檔案，在偵測發現時立即執行刪除；但是對營運相關、風險較高的檔案，即便發現惡意狀態，也不得輕易處置，以免造成營運中斷。這也是資安市場上出現APT解決方案原因之一。」謝長軒說。

由於APT解決方案屬於網路層的進階解析，在偵測發現攻擊活動時，主要是產出報告再由資安人員分析調查後判斷與執行。問題是，台灣有能力配置資安人力的企業或組織根本寥寥無幾，因此APT解決方案開始協同第三方防禦機制，讓沙箱分析所產出的入侵威脅指標（IOC），可透過防火牆、端點保護平台等機制執行阻斷。

謝長軒指出，卡巴斯基於2016年推出的KATA（Kaspersky Anti Targeted Attack）解決方案，即是提供企業內部自建的沙箱分析機制，搭配威脅感知平台（Cyber Hunting Platform）統合外部威脅情資，「用別人發生過的經驗為基礎，檢視自家內部安全性，」達到預測與內部聯防。

資安人員或IT管理者可經由入口網頁，輸入可疑檔案的Hash值、IP位址、URL，來查詢內部哪些物件曾經透過URL下載，或者是曾經有過連線存取，讓事件調查時得以縮小範圍，降低人工篩選資料的負擔。

從執行程序監看 即時阻斷惡意行為

▲ 卡巴斯基實驗室台灣技術總監謝長軒建議，企業欲確保資安無虞，即需要預防的方法、偵測機制、事後調查與回應、從已經發生的資安事件中預測，才能免於遭受攻擊造成的傷害。

謝長軒說明，檔案在下載、啟動、執行時，不同階段會採用不同檢查機制。對於已知威脅，由於已掌握檔案屬性，經由Hash值即可快速比對；新的惡意軟體變種，屬於未知威脅，則主要是在執行時進行檢查。首先，下載時會透過卡巴斯基安全網路（KSN）的龐大資料庫分析比對；啟動時開始載入記憶體準備執行，或者是呼叫其他物件，此時則亦可透過內建的行為模式分析、自動漏洞入侵防護及系統監控來執行防護。

「卡巴斯基的自動漏洞入侵防護的作法，概念上如同虛擬補丁，但並非由網路傳輸層來執行阻擋，而是針對執行程序運行時，若出現漏洞存取行為，則直接阻斷運行。」謝長軒強調。

至於系統監控機制，則內建了記錄執行程序，假設發現未知檔案開始執行，系統監控會主動記錄系統環境當下的狀態，並透過行為模式分析與機器學習於背景偵測，一旦發現異常執行行為，例如開始加密大批檔案，不僅只是阻擋惡意行為，同時亦可回復到執行前的狀態。如此一來，即便是沒有特徵碼的未知型檔案，或是在離線狀況下，皆可阻擋加密勒索軟體的執行。

「今年的解決方案發展藍圖，主要是著重於APT與端點的整合。」謝長軒說。欲提高偵測能力，現階段有網路沙箱、網路行為分析來協助。至於在端點方面，額外增添EDR機制，主要即為強化事件回應能力，可整合於端點保護平台一併提供。如此一來，網路層的沙箱技術模擬分析過後，產生出IOC檔案，透過端點偵測與回應（EDR）機制即可辨識，再由端點防護措施執行阻斷，兩者搭配建立完整的端點保護方案。