阻斷勒索！端點控管讓 EDR 反應更直覺快速

要防範勒索軟體，需要注意三大重點：

1. 事前阻斷：儘量讓資安問題不要發生。
2. 平時備份：確保備資料的可用性。
3. 防止擴散：萬一不幸發生勒索時，要馬上進行止災，防止問題的擴散。

一般來說, 我們就是在前兩項之間不停的循環操作；當問題發生時，進行止災防擴，最後，再將備份的資料，進行有效的還原。

事前阻斷

要如何進行事前阻斷呢？推薦使用應用程式控管，阻止未經授權的程序執行，經由精品資安部驗証常見的勒索軟體，都可以有效被阻擋。其中也驗證了勒索軟體大名鼎鼎的勒索軟體，例如：去年 12 月的 DoppelPaymer，對某公司的墨西哥廠勒索 10 億，而另一個 REvil 家族在上個月，竊取蘋果電腦的設計圖，讓某廠因為洩密被勒索 14 億。

我們常說：預防勝於治療，你可以把應用程式控管，想像成隨身戴的口罩，因為口罩是一種非常簡單又有效的預防機制，可以阻斷病毒入侵的管道。

應用程式控管使用全新的白名單技術，用來阻斷惡意程式的運行，也是一種非常早期的預防機制。白名單技術和以往大家熟知的黑名單技術不同，理論上，我們可以使用黑名單，來限制惡意程式的執行；但問題是全世界的程式實在太多了，而且必須事先知道那些程式是惡意的，所以實際上黑名單的設計，本身就是一個後知後覺的機制，無法有效應變惡意程式快速增長的問題。

應用程式控管威力強大，就像是一個雙面刃，不只傷人，也可能妨害自己。如果使用不當，會造成正常的工作軟體無法使用的窘境。所以一定要撘配應用程式白名單的彈性管理，才能有效管理應用程式，不會對自己業務執行人造成妨礙。

應用程式白名單的彈性管理包含下面多種的功能：

1. 清查：由使用者或管理者發動取得電腦中的應用程式作為白名單
2. 觀察模式：蒐集使用者執行的程式並列管
3. 使用者自決：自行新增白名單或停止應用程式控管
4. 繼承：動態信任應用程式所帶起的子程式
5. 父行程：防止使用合法的應用程式做為攻擊工具
6. 自適性：比對應用程式簽章的簽署人，部份字串相同即放行；如：使用 *Microsoft*
7. 記錄：完整的應用程式執行記錄，可加入為白名單

應用程式控管，可以透過管理良好的白名單，控管任何程式或文件衍伸的執行動作，讓惡意程式在啟動過程中，關鍵的執行點被應用程式控管阻擋，進而達到事前預防的目標。

平時備份

面對勒索軟體，備份仍是必要的減災方案，我們推薦使用X-FORT的安全備份功能。

我們瞭解，使用者常常會忘了備份，安全備份定期將資料備份到本機，或是遠端的File Server，在備份的過程中，使用者幾乎沒有感覺，仍可處理日常工作。

FAC(資料夾防護)協助使用者建立安全的工作目錄，限定特定程式，才可以存取此安全的工作目錄，如果惡意程式要存取此安全工作目錄，會被阻擋。

 再把FAC的功能套用在備份的資料夾，形成防護網，確保備份資料的安全性。即使是整個硬碟被勒索軟體破壞，經由 FAC保護的資料仍可保持完好。

防止擴散

我們推薦使用EDR ( Endpoint Detection and Response ) 方案，讓問題發生時，可以由端點主動反應防堵，避免災害擴大。

部份的 IT 人員，面臨資安事件，常受限於人力，僅在大問題發生時，才能進行處理。而 EDR 方案，不同於傳統的被動式處理，減輕了 IT 人員的工作負擔，允許在特定的資安事件下，依照自己公司的特色，自動進行一連串的反應。

例如：A公司可以設定，當使用者連到特定國家的 IP 時，自動通知 IT、通知當事人主管，而B公司的控管更嚴格，在相同情形下，還會將此使用者的本機斷網、控管USB、甚至進一步啟動檔案操作記錄，收集使用者的操作歷程。

傳統的資安工具，其規則制定操作，限制了 IT 人員的管理彈性，而EDR 的優點之一，在於可讓 IT 人員因地制宜，在公司的授權範圍下，組合新的資安政策。EDR 的優點之二，在這些政策設定後，即可在特定事件發生時，會自動反應調整政策。不但節省大量人力，以及降低人為操作的疏失。

結論

應用程式控管、FAC、EDR 等功能，遠不止對應勒索軟體，也可以用來對應惡意程式、病毒程式，或是防止使用者執行未經授權程式等。X-FORT也提供其他的控管，如SVS安全碟(檔案加密)、控管外接儲存裝置、停用Office巨集、記錄cmd/PowerShell等功能，搭配使用更能全面性防禦勒索軟體