內部威脅的範圍可能與一般認知不同，不一定如組織所想像的直接。除了當前的員工和管理人員外，還可能是可以存取特定系統的前員工，第三方顧問或業務合作夥伴都可能是內部威脅。

業界相關研究表明，將近20％的員工可以存取組織內的所有敏感資訊，這意味著，任何知道組織的網路資源和IT生態系如何運作的人，都可能成為內部威脅。阻止內部人員竊取重要資訊是一項非常艱鉅的挑戰，但仍有一些方法可以減輕惡意內部人員相關的風險，並檢測可能洩漏組織關鍵業務和敏感資料的異常行為。

大多數網路安全專業人員可能接觸過，在應對網路攻擊時使用入侵威脅指標（Indicator of Compromise，IoC）的相關訓練。但這種方法的性質屬於事後檢視，偵測使用者行為方面結果並非十分有效。再把場景切換到在家工作模式，則更是令安全專業人員感到挫折，因為它消滅了傳統習慣的明確保護邊境。以往資訊安全防護系統，如 Endpoint Security、SIEM、EDR、IDP、UTM、Firewall等，都是針對外部入侵及攻擊行為所設計，它們也的確很成功。但應用到發掘內部人員威脅活動，可能就存在許多限制：

為了釐清觀念，一般在分析攻擊手法時也會用到行為指標，分析攻擊階段的各種技術手法，來判斷遭到入侵的跡象；但這些系統所觀察的是設備的活動現象，並不是我們討論的使用者行為。

內部人員相較於外部攻擊組織，本質屬性有很大的不同

• 合法的使用者
• 熟悉內部資訊系統與網路環境
• 擁有合法的存取權
• 在工作上常態接觸重要資訊
• 使用的設備可能不在既有的保護範圍內

基於這些特性，觀察設備活動指標就沒辦法區分內部威脅活動；有些產品具備行為基準線分析，不可否認的，對固定角色的伺服器很有效，很容易分析出異常，但是人的活動就沒那麼單純。

再者，組織內部的業務活動所產生的流量，有65%是在區域網路內(Local traffic)，這代表很多行為根本不會經過邊境設備的過濾。

事件和行為的差別

對於資安系統來說，每一個事件都是單獨觸發的，詳實記錄系統所發生的事情。然而這樣的記錄本身並不能描述有意義的行為，具備前後上下文(Context)組合才有意義。對於行為指標而言，加入附件、螢幕截圖、貼上截圖、外部收件者這種關連事件組合，才是一個可以理解的觀察行為。

以下是幾個行為描述的例子

• 使用者從企業內部網路，更改為連接手機分享熱點，然後再次返回。
• 使用者將程式碼上傳到 Git Hub或未知的雲端儲存。
• 使用者將內部網站資訊下載到外接儲存裝置。

利用行為指標描述來制定相關偵測規則，將大幅減少需要追查的事件和誤報。依據端點使用者的操作行為和使用者的活動歷史、上下文資訊，動態規則可允許該行為繼續執行。例如在一個會議上，會議召集人想要一份簡報，我們可以存到USB儲存裝置交付。若依照傳統規則，只會單純的禁止存檔至USB ，沒辦法適應業務狀況。

大多數安全解決方案訴求重點在設備事件，而不是以人的行為活動為中心。然而，無論企業資安建置得多麼完善，人員仍然是最不可預期、最獨立的變數。員工必須有效、安全的完成工作，因資訊安全行為，而影響生產力將很難被企業接受。

要防範勒索軟體，需要注意三大重點：

1. 事前阻斷：儘量讓資安問題不要發生。
2. 平時備份：確保備資料的可用性。
3. 防止擴散：萬一不幸發生勒索時，要馬上進行止災，防止問題的擴散。

一般來說, 我們就是在前兩項之間不停的循環操作；當問題發生時，進行止災防擴，最後，再將備份的資料，進行有效的還原。

事前阻斷

要如何進行事前阻斷呢？推薦使用應用程式控管，阻止未經授權的程序執行，經由精品資安部驗証常見的勒索軟體，都可以有效被阻擋。其中也驗證了勒索軟體大名鼎鼎的勒索軟體，例如：去年 12 月的 DoppelPaymer，對某公司的墨西哥廠勒索 10 億，而另一個 REvil 家族在上個月，竊取蘋果電腦的設計圖，讓某廠因為洩密被勒索 14 億。

我們常說：預防勝於治療，你可以把應用程式控管，想像成隨身戴的口罩，因為口罩是一種非常簡單又有效的預防機制，可以阻斷病毒入侵的管道。

應用程式控管使用全新的白名單技術，用來阻斷惡意程式的運行，也是一種非常早期的預防機制。白名單技術和以往大家熟知的黑名單技術不同，理論上，我們可以使用黑名單，來限制惡意程式的執行；但問題是全世界的程式實在太多了，而且必須事先知道那些程式是惡意的，所以實際上黑名單的設計，本身就是一個後知後覺的機制，無法有效應變惡意程式快速增長的問題。

應用程式控管威力強大，就像是一個雙面刃，不只傷人，也可能妨害自己。如果使用不當，會造成正常的工作軟體無法使用的窘境。所以一定要撘配應用程式白名單的彈性管理，才能有效管理應用程式，不會對自己業務執行人造成妨礙。

應用程式白名單的彈性管理包含下面多種的功能：

1. 清查：由使用者或管理者發動取得電腦中的應用程式作為白名單
2. 觀察模式：蒐集使用者執行的程式並列管
3. 使用者自決：自行新增白名單或停止應用程式控管
4. 繼承：動態信任應用程式所帶起的子程式
5. 父行程：防止使用合法的應用程式做為攻擊工具
6. 自適性：比對應用程式簽章的簽署人，部份字串相同即放行；如：使用 *Microsoft*
7. 記錄：完整的應用程式執行記錄，可加入為白名單

應用程式控管，可以透過管理良好的白名單，控管任何程式或文件衍伸的執行動作，讓惡意程式在啟動過程中，關鍵的執行點被應用程式控管阻擋，進而達到事前預防的目標。

平時備份

面對勒索軟體，備份仍是必要的減災方案，我們推薦使用X-FORT的安全備份功能。

我們瞭解，使用者常常會忘了備份，安全備份定期將資料備份到本機，或是遠端的File Server，在備份的過程中，使用者幾乎沒有感覺，仍可處理日常工作。

FAC(資料夾防護)協助使用者建立安全的工作目錄，限定特定程式，才可以存取此安全的工作目錄，如果惡意程式要存取此安全工作目錄，會被阻擋。

 再把FAC的功能套用在備份的資料夾，形成防護網，確保備份資料的安全性。即使是整個硬碟被勒索軟體破壞，經由 FAC保護的資料仍可保持完好。

防止擴散

我們推薦使用EDR ( Endpoint Detection and Response ) 方案，讓問題發生時，可以由端點主動反應防堵，避免災害擴大。

部份的 IT 人員，面臨資安事件，常受限於人力，僅在大問題發生時，才能進行處理。而 EDR 方案，不同於傳統的被動式處理，減輕了 IT 人員的工作負擔，允許在特定的資安事件下，依照自己公司的特色，自動進行一連串的反應。

例如：A公司可以設定，當使用者連到特定國家的 IP 時，自動通知 IT、通知當事人主管，而B公司的控管更嚴格，在相同情形下，還會將此使用者的本機斷網、控管USB、甚至進一步啟動檔案操作記錄，收集使用者的操作歷程。

傳統的資安工具，其規則制定操作，限制了 IT 人員的管理彈性，而EDR 的優點之一，在於可讓 IT 人員因地制宜，在公司的授權範圍下，組合新的資安政策。EDR 的優點之二，在這些政策設定後，即可在特定事件發生時，會自動反應調整政策。不但節省大量人力，以及降低人為操作的疏失。

結論

應用程式控管、FAC、EDR 等功能，遠不止對應勒索軟體，也可以用來對應惡意程式、病毒程式，或是防止使用者執行未經授權程式等。X-FORT也提供其他的控管，如SVS安全碟(檔案加密)、控管外接儲存裝置、停用Office巨集、記錄cmd/PowerShell等功能，搭配使用更能全面性防禦勒索軟體 

應用程式白名單是防止未知軟體在電腦上執行的有效方法。NIST 為應用程式白名單提供了良好的遵循建議： “應用程式白名單是根據定義明確的基準上，授權在主機上允許執行應用程式及其元件和(程式庫等等）清單”。應用程式白名單機制在現實運作中是直接有效的理由是，對比於黑名單，你必須事先知道一切可能的壞人特徵點；顯然時效性與有效性都大打折扣。此外，黑名單方式無法有效面對未知威脅。

應用程式白名單技術恰好相反，僅允許預先核准的程序、可執行程式、程式庫和服務在系統上執行，同時阻止執行其他所有程式執行。當應用程式嘗試執行時，它會根據清單自動檢查，如果符合規則，就允許執行。 應用程式白名單技術正好遵循預設拒絕及最少授權的安全規範，這種模式比純粹防病毒技術或 IDS 應用的黑名單方法要嚴格得多、限制性更強，被SANS，NIST認為是最佳安全建議之一。例如他們將關鍵基礎建設安全控制設施（現在由 CIS 維護）納入應用程式白名單機制，作為最基本的安全措施 。

白名單的好處

降低被攻擊面

基於除了白名單中的程式之外，防止未經授權任何程式執行，這樣大大降低了惡意程式或使用者的攻擊面。在網際網路上有一大堆不知名程式，有人可能需要或不小心下載，其中一些可能有意料之外的副作用或者就是惡意程式；在白名單機制之下，預設是被禁止執行的。

降低保護時間差

安全的維護不再過於依賴無時無刻永、無止境的安全性更新維護。不論作業性統、防毒軟體、文書軟體，一直需要持續更新修補漏洞，才免於被惡意程式利用。當然更新修補很重要，然而，從漏洞被發現到修補機制完成，存在一定的時間差。

預防未經授權存取

如果不在白名單上的應用程序嘗試執行，則會被阻止。這點可以防止惡意程式存取檔案資源、網路資源，以及安裝沒有授權的軟體。例如，軟體本身不安全、浪費計算資源(P2P)、或者有授權疑慮等。

阻止未知的惡意程式

與傳統的防病毒軟體相反，並不依賴於已知的簽章特徵或其他啟發式檢測方法。這就是為什麼”未知”惡意檔可以被阻止。

消減基本攻擊和下載執行的攻擊方式

應用程式白名單減輕了一大堆的基本攻擊，SANS，Gartner等研究都確認大多數攻擊（80-90%），可以透過簡單的應用程式白名單機制阻止。

攻擊者被迫使用更刁鑽方式或更換目標

攻擊者必須尋找其他工具和方法，使其程式看起來正常，以通過該白名單機制的防守。這將加深攻擊的難度，駭客被迫投入時間和精力成本在準備攻擊程序方法，這可能導致他們尋找更弱的目標受害者。

收集用來事故應變的證據資訊

應用程式白名單追蹤哪些可執行檔被阻止，哪些應用程式正在組織內系統上被執行，也可以監測任意不必要的命令及工具的執行情況， 而且偵測未經授權的更改。 攻擊活動所產生的活動軌跡記錄就會出現。 由於初始攻擊準備活動被阻止或被記錄，更容易被發現可能的攻擊活動。

因此應用程式白名單提高了程式執行的可見性和對應訊號跡象，從而為事故應變應團隊提供了有價值的資訊。

白名單的缺點與限制

白名單機制最大挑戰莫過於，適當而及時的維護。面對多變現實的環境，每天都有作業系統的修補更新，應用程式更新，驅動程式更新。在一般的使用者環境，更容易造成業務運作不便。

1. 信任程式的認可管理
   
   這是在管理應用程式白名單解決方案時面臨的主要挑戰。處理這一挑戰的兩種選擇。第一種選擇是賦予管理者或使用者責任，自行負責識別和驗證白名單的應用程式。另一種選擇是依靠已驗證的由第三方威脅情報服務，提供信任應用程式的資料庫。
   
   
2. 白名單內容更新管理
   
   將應用白名單與修補程式收集管理是另一個重要的挑戰。在白名單中的當應用程式，其識別屬性參數（Hash或Signature）被保留以供規則比對。當已安裝更新或修補程式之後，應用程式的標識屬性參數將被變更，從而與白名單的內容不一致而被拒絕執行。此問題可能需要透過信任機制來解決，信任的更新程式，如windows updater，或信任的使用者，所更新的修補或程式，有條件的自動加入白名單中 。
   
   
3. 偽造供應商憑證
   
   當前的技術可以驗證和檢查應用程式數位簽章名的有效性，但在對應用程式白名單解決方案的挑戰是偽造供應商的簽章憑證。有許多使用被盜憑證證書的惡意軟體案例 ，如果安全策略允許憑證軟體，則惡意軟體將會被誤認為是來自特定的供應商的應用程式。
   
   
4. DLL 白名單影響效能
   
   當應用程式白名單延伸到包括DLL（動態連結庫） 白名單，載入應用程式時對效能有相當大的影響。 雖然DLL白名單提供了更好的安全附加優勢，但考慮到性能衰退問題成了一個艱難的取捨。

結論

應用白名單正在逐漸演變為解決零日威脅的有效的方案， 此方法僅允許列入白名單的執行應用程式，而所有其他應用程式被阻止；就不用擔心修補空窗，甚至是未被揭露的漏洞被利用。基於這些特點，可能在關鍵基礎設施控制設備，角色固定的伺服器，獨立運作的設備上，比一般終端使用者更適合。

零信任(Zero Trust)是由John Kindervag10年之前所提出的安全概念模型，零信任有別於傳統的IT網路安全架構守護邊界作為主要訴求，零信任的概念是可以更完善的保護，在企業中不應該完全信任內部或外部的任何連線、裝置，需要用適當的方法認可每一條連線與裝置。

在零信任的安全架構中，需要做不同層面的思考，零信任主要目標可是透過各種方式限制使用者擁有過多的權限，對於每個網路連線都能夠檢查，強化整體企業的網路安全，確保企業不管是從外部或內部都能夠大大的降低威脅，因此對於使用的應用程式、裝置、資料存取、機密程度都做全方位的控管；並搭配更精細的權限分配，這樣才能夠展現出零信任的價值。

中小企業中往往會受限於預算、人力等等因素，對於零信任的安全架構據而遠之，認為只要先做好傳統的IT網路安全架構就行了，存著僥倖自己的企業應該不會這麼倒楣遭受到駭客的攻擊吧。但這樣的思維往往是駭客最容易下手的目標之一，因為傳統的IT網路安全架構對於內部的連線或是裝置往往是採取開放與信任的模式，這也是現今駭客攻擊中最常攻擊的方向。且現在因COVID-19的疫情肆虐，許許多多的企業都採取居家辦公(WFH, Work From Home)的形式，就已經突破了傳企業網路安全的邊界，到達員工家中的電腦或是雲邊緣，對於企業的資安風險大大的提升。

中小企業中，不一定可以購買昂貴的資安軟體或是設備，但可以一步一步的往零信任的方向規劃。先全方面的盤點目前企業的網路安全架構，充分的了解到目前的安全防護可以做到何種程度，是否可以有效的防範外部的攻擊，例如：防火牆、SPAM Server、WAF…等；以及往往在企業中最容易疏忽的，也是最難防守的就是內部的橫向移動攻擊，這也是駭客最擅長使用的攻擊手法之一。從企業最多的脆弱點攻擊，利用釣魚方式、水坑攻擊…等從員工下手。另外，要充分的了解目前企業中所使用的資訊資產(資料、設備等)機敏性的高低，這些都要在做零信任的網路規劃上要考慮進去的。

不需一步達成零信任網路安全規劃，應先訂立明確的策略方向，務實的短中長程規劃，兩者充分的結合一起，一步一步達成零信任網路安全的目標。在零信任中，許多企業中最先採取行動的是權限存取控制與使用者權限控管，這也是零信任最重要的一環，就算有再昂貴的資安設備，在權限控管上有疏失，那麼所做的零信任網路安全架構就會有很大的破口。尤其在企業中往往會有一特權使用者或是特權帳號，起初可能是為了管理方便或是讓主管可以容易使用系統，但這些在未來的駭客攻擊中將會成為很大的攻擊目標。所以要做零信任的第一步，就是要重新審視這些特權使用者或是特權帳號是否有必要擁有這麼多的權限，開始制定所有的使用者權限，更明確的限制誰可以存取那些系統的權限，對於機敏性高的資料，存取權要管的嚴格，這些都是在做零信任網路安全中重要的一步。

零信任網路安全是要長時間不懈怠的一直做下去，不用想說一步就可以達成，現今的網路攻擊也是不斷的在變化，所以我們更要不斷的進化，不能用一成不變的思維去思考零信任，一步一步的將零信任網路安全架構建立的更完善。