Skip to content

阻斷勒索!端點控管讓 EDR 反應更直覺快速

要防範勒索軟體,需要注意三大重點:

  1. 事前阻斷:儘量讓資安問題不要發生。
  2. 平時備份:確保備資料的可用性。
  3. 防止擴散:萬一不幸發生勒索時,要馬上進行止災,防止問題的擴散。

一般來說, 我們就是在前兩項之間不停的循環操作;當問題發生時,進行止災防擴,最後,再將備份的資料,進行有效的還原。

 

事前阻斷

要如何進行事前阻斷呢?推薦使用應用程式控管,阻止未經授權的程序執行,經由精品資安部驗証常見的勒索軟體,都可以有效被阻擋。其中也驗證了勒索軟體大名鼎鼎的勒索軟體,例如:去年 12 月的 DoppelPaymer,對某公司的墨西哥廠勒索 10 億,而另一個 REvil 家族在上個月,竊取蘋果電腦的設計圖,讓某廠因為洩密被勒索 14 億。

我們常說:預防勝於治療,你可以把應用程式控管,想像成隨身戴的口罩,因為口罩是一種非常簡單又有效的預防機制,可以阻斷病毒入侵的管道。

應用程式控管使用全新的白名單技術,用來阻斷惡意程式的運行,也是一種非常早期的預防機制。白名單技術和以往大家熟知的黑名單技術不同,理論上,我們可以使用黑名單,來限制惡意程式的執行;但問題是全世界的程式實在太多了,而且必須事先知道那些程式是惡意的,所以實際上黑名單的設計,本身就是一個後知後覺的機制,無法有效應變惡意程式快速增長的問題。

應用程式控管威力強大,就像是一個雙面刃,不只傷人,也可能妨害自己。如果使用不當,會造成正常的工作軟體無法使用的窘境。所以一定要撘配應用程式白名單的彈性管理,才能有效管理應用程式,不會對自己業務執行人造成妨礙。

應用程式白名單的彈性管理包含下面多種的功能:

  1. 清查:由使用者或管理者發動取得電腦中的應用程式作為白名單
  2. 觀察模式:蒐集使用者執行的程式並列管
  3. 使用者自決:自行新增白名單或停止應用程式控管
  4. 繼承:動態信任應用程式所帶起的子程式
  5. 父行程:防止使用合法的應用程式做為攻擊工具
  6. 自適性:比對應用程式簽章的簽署人,部份字串相同即放行;如:使用 *Microsoft*
  7. 記錄:完整的應用程式執行記錄,可加入為白名單

應用程式控管,可以透過管理良好的白名單,控管任何程式或文件衍伸的執行動作,讓惡意程式在啟動過程中,關鍵的執行點被應用程式控管阻擋,進而達到事前預防的目標。

 

平時備份

面對勒索軟體,備份仍是必要的減災方案,我們推薦使用X-FORT的安全備份功能。

我們瞭解,使用者常常會忘了備份,安全備份定期將資料備份到本機,或是遠端的File Server,在備份的過程中,使用者幾乎沒有感覺,仍可處理日常工作。

FAC(資料夾防護)協助使用者建立安全的工作目錄,限定特定程式,才可以存取此安全的工作目錄,如果惡意程式要存取此安全工作目錄,會被阻擋。

 再把FAC的功能套用在備份的資料夾,形成防護網,確保備份資料的安全性。即使是整個硬碟被勒索軟體破壞,經由 FAC保護的資料仍可保持完好。

 

防止擴散

我們推薦使用EDR ( Endpoint Detection and Response ) 方案,讓問題發生時,可以由端點主動反應防堵,避免災害擴大。

部份的 IT 人員,面臨資安事件,常受限於人力,僅在大問題發生時,才能進行處理。而 EDR 方案,不同於傳統的被動式處理,減輕了 IT 人員的工作負擔,允許在特定的資安事件下,依照自己公司的特色,自動進行一連串的反應。

例如:A公司可以設定,當使用者連到特定國家的 IP 時,自動通知 IT、通知當事人主管,而B公司的控管更嚴格,在相同情形下,還會將此使用者的本機斷網、控管USB、甚至進一步啟動檔案操作記錄,收集使用者的操作歷程。

傳統的資安工具,其規則制定操作,限制了 IT 人員的管理彈性,而EDR 的優點之一,在於可讓 IT 人員因地制宜,在公司的授權範圍下,組合新的資安政策。EDR 的優點之二,在這些政策設定後,即可在特定事件發生時,會自動反應調整政策。不但節省大量人力,以及降低人為操作的疏失。

 

結論

應用程式控管、FAC、EDR 等功能,遠不止對應勒索軟體,也可以用來對應惡意程式、病毒程式,或是防止使用者執行未經授權程式等。X-FORT也提供其他的控管,如SVS安全碟(檔案加密)、控管外接儲存裝置、停用Office巨集、記錄cmd/PowerShell等功能,搭配使用更能全面性防禦勒索軟體 

關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

×

Hello!

Click one of our representatives below to chat on WhatsApp or send us an email to wordpress@version-2.com.hk

×