異地工作的資安挑戰

當疫情大流行而迫使組織，從完全在公司內辦公，或混合辦公室/遠端辦公，快速轉向配置遠端工作環境。這一轉型最緊迫的挑戰之一是：公司要在極短時間內給居家人員準備設備，另一方面全面性調整資安架構與政策。重要的是考慮遠端工作的員工所使用裝置，除了工作之外，可能同時用於購物、支付帳單和一般 Web 瀏覽活動，這會增加洩漏露組織資料的風險。

• 基礎建設配合
  不光是上班，不少家長也經歷了在家上課。突然一夜之間，需要線上教學的量大增，學校校務系統不堪負。除了學校之外，住家本身的網路應該也備受考驗。正常的情況下，大部分的人並沒有考慮到家裡的設施。就像企業需要員工在家上班，應該都不會徵詢員工家裡的基礎建設狀況。

• 職場監視的範圍
  雖然，有些國家允許對員工的工作活動進行監督，但是在司法上存在許多實務限制。例如，要求僱主在監控雇員之前，必須徵得使用者的同意。而在家上班，到底算不算工作場所? 為了辦公使用自己的設備，應該受到監控? 職場監視在這樣的情境下適用嗎?

• 傳統的固定規則
  我們都知道存取控制規則，應授予使用者最少最小可完成工作的必要存取權；限制使用者在複製或儲存資料方面活動行為。例如，網路存取控制技術，有助於限制對使用者、設備和應用程式的存取控制，使被授權員工才能與指定的資料進行存取，等等。當我們可以分辨信任區域，信任使用者，信任裝置的前提下；固定規則判斷什麼可以，甚麼不行，規則清楚分明。
  但企業在疫情下面臨應變趨勢：機動工作、遠距工作的員工突然增加，和雲端服務的廣泛採用，使得傳統的外圍界線已不容易區分和防守。同樣，網路活動的”好”與”壞”就變得模糊不清；靜態規則就無法正確的適用在這種變化的環境。

• Endpoint防護扮演的角色
  對員工在家的工作環境，基礎建設或設施，組織能夠提供協助有限，強制力也無法落實。遠距工作的地點也可能有變化，存在著不同的運作差異。原本在組織內部署的資安防護，可能大部分都不適用。歸結下來，最有效的控制就在端點本身，不論身處任何地方，

— 部署在端點上控制機制永遠有效。

參考NIST 的指南：Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security (NIST 800-46r2) 其中的部份建議，遠端工作時

• 不需要工作時，請關閉網絡功能（例如藍牙）。
• 打開個人防火牆（如果有）。
• 在存取企業網絡之前，要求多因子驗證。
• 限制設備上允許的其他應用程序。

很明顯的都需要在端點設備上部署防護方案，對應上述建議而運用防護功能如下 

• 控管裝置連線：VPN 連線到公司時，禁止其他連線，禁止連接裝置
• 禁止未經授權的程序(使用者、系統)或應用程式發起連線
• 多因子驗證，及存取控制
• 應用程式控管及白名單機制，防止未經授權或不明的程式執行

自動切換資安政策，IT反應更迅速

這是資安管理上的一個哲學(不是技術)挑戰，何時該允許檔案被分享或傳送？什麼時候應該禁止？靜態政策通常以固定True / False 判斷允許或拒絕，但我們的工作不會這麼單純。很多組織採取分流措施，Ａ/Ｂ組輪流到辦公室上班，其餘在家工作。除了以人的角色為主的安全政策外，也因應上班位置、時間自動切換政策。為了解決靜態規則無法適當應對變動的環境，主動適應政策根據不同環境條件，建立不同對應行動計畫，可簡化團隊管理複雜度，並減低對使用者工作的干擾。

主動適應切換條件考量

• 遠距工作 
  遠距工作者所使用的裝置，可能是公司的受控設備，也可能自攜帶裝置。工作的場所也可能是咖啡廳、自宅，所面臨的風險不一。依照工作形式切換必要的管理政策，防止不當連線或資源存取。
  • 以公司裝置利用VPN 存取公司的服務
  • 以自用裝置RDP 連入公司裝置
  • 以公司裝置RDP 到另一台公司裝置 
• 所在地理區
  不同國家、地區因基礎建設完善度不一，可能安全性不足等顧慮。
• 跨廠區工作
  配合當地的安全管理政策。 
• 應用程式執行或連線至重要網站時
  當指定應用程式被執行，或連結公司內部敏感站台時，安全層級對應調整。 
• 使用者自決(User Override)
  部分事件可由使用者自行決定放寬，變更後系統依據條件學習並自動處置。
• 管理者(主管)核准
  除使用者自決外，部分事件變更須經過管理人員核准。
• 威脅等級變化
  威脅等級升高，關閉部分功能，甚至凍結防止事態擴大。

結論

目前疫情尚未明朗，依賴遠端工作的環境可能會成為常態。通過識別遠距工作及威脅環境變更，主動適應性政策，自動應對威脅等級，並採取必要的行動。組織將處於更有利、更具主動積極防禦的位置，從而維持業務連續保持競爭力。

近日新冠病毒疫情趨嚴，人人戴口罩、勤洗手、保持社交距離、減少不必要外出。同樣面對網路世界盛行的勒索病毒，企業如何有效保護電腦中的重要檔案，除備份外，還有其他方法? 有的！透過端點防護機制，利用應用程式白名單限制保護資料夾存取行為，就有如口罩的保護篩選作用，做到事前阻斷惡意程式，讓電腦中重要的文件多一層保護。

 於台北南港展覽2館落幕的年度台灣資安盛會CYBERSEC 2021，是近年受政府及業界重視的資安交流充電平台，有著高知識含量的專業演講，分享最新資安研究、攻擊手法與防禦策略，幫助資訊人士了解及訂立規劃企業資安藍圖。精品科技亦分享多場精彩的主題論壇，本次盛會向隅能參加的客戶，可洽精品科技窗口諮詢相關精彩內容：

1. 阻斷勒索！端點控管讓 EDR 反應更直覺快速

2. 自適應政策讓安全政策隨行動辦公室的時空主動變換

3. 解構 Target Ransom & Malware Steal 的技術手法分群

4. 透過 X-FORT 解構非常規操作行為

5. 記錄可視性，X-FORT 追根究柢

6. 文件加密保護的應用，安全分享第三方

FAC資料夾防護(Folder Access Control)

在精品科技的攤位，也舉辦了 ”填問卷>>體驗>>送好禮”活動，搭配現場六台電腦展示介紹，針對勒索病毒的對策，講師們以二個資料夾內的文件保護作為對比，受到應用程式白名單保護的資料夾，在遇到勒索病毒發動攻擊時，能有效過濾阻斷非白名單的程式存取，檔案完好如初，相對開放性的一般資料夾就看著惡意程式如入無人之境一般的迅速將導案加密破壞，重現一般企業組織內電腦遇到勒索病毒發作時束手無策的窘境。

X-FORT端點防護系統推出的FAC資料夾防護，能針對特定資料夾提供應用程式白名單的保護機制，還能加入排程備份，管理者透過政策設定，可自動將各部門電腦中的重要檔案，排程(間隔最少可設為每一小時) 備份至安全的本機資料夾內，也可指定備份至空間更大的檔案伺服器上，同時做到備份 + 防護，即使遇到惡意程式攻擊，重要檔案擁有固若金湯的防護，讓損失大幅度降低。如同口罩帶來的防護一樣，除了疫苗外，口罩是最重要的防線，保護生命健康的安全，也請為您企業的重要檔案戴上口罩，避免成為勒索病毒的目標。

這幾年Ransomware的新聞頻傳，雖然各個企業也因此提出相當多的對策與防範機制，但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料，進而勒索贖金；到竊取受害者的資料，再對受害者勒索贖金否則就公開資料進而威脅受害者；到現在Ransomware不只是加資料加密還另外將資料竊取走，再對受害者進行贖金的勒索。不管中那一種勒索病毒，都會讓受害者損失慘重。

Targeted Ransomware這兩年開始出現，更是讓企業氣得牙癢癢的Ransomware攻擊模式，Targeted Ransomware是高度客製化的Ransomware，專門針對被鎖定的企業，對該企業製造客製化的Ransomware，進行嗅探偵測找出脆弱點，潛伏在企業的系統中伺機透過漏洞進行攻擊，進而勒索該企業，若不付贖金就會公布機密資訊的方式，讓各個大企業乖乖就範。

大企業都對勒索病毒做了防護?

既然各大企業都對勒索病毒做了防護，那勒索病毒到底是如何進入企業的環境呢?到底是如何突破企業的防護，難道是防毒與防Spam的機制出了問題嗎?我們統計近幾年上百隻的Ransomware，做了分群歸類，研究勒索病毒的攻擊方式與行為，大致分為

• Targeted Ransomware DLL Injector
• 無檔案式攻擊(Fileless)
• APT攻擊方式
• 宰殺防毒與備份檔案
• 利用系統白名單進行惡意行為

這些攻擊模式往往無法只靠單純的防毒與Anti-Spam是無法防範的。且除了上述的攻擊方式外，人員往往是在資訊安全最重要的一環，駭客也最常使用社交工程的方式，透過Mail夾帶惡意連結或是檔案，讓防毒與Anti-Spam偵測不出來進行攻擊，再配合上述的攻擊方式，輕易的製造企業內的後門漏洞，進而讓勒索病毒可以大肆的入侵。

Mail社交工程來看，駭客往往會寄發釣魚信件

我們就從Mail社交工程來看，駭客往往會寄發釣魚信件來到各大企業的信箱，而這些Mail往往都會夾帶附件或是在內文中嵌入惡意連結，而這些附件已經不是壓縮檔或是執行檔了，因為這些檔案都會被Spam輕易的擋下來，而Mail附件就會以Office的檔案為主，而這些Office檔案看似無害，但只要企業點擊打開，那就會讓駭客可以直接植入後門、病毒…等。而這些駭客到底如何植入這些惡意連結呢?其實很簡單，是利用了Office Macro的功能，Office Macro可以寫入VBA的程式，VBA程式可以呼叫PowerShell或CMD來進行許多的攻擊。最常見的手法是VBA程式中，呼叫PowerShell或CMD，在PowerShell或CMD的指令中進行指令混淆，混淆的Code就是從網路上下載具有惡意攻擊的PS1腳本，而這些腳本內容當然也進行了多層的混淆，這些腳本透過PowerShell的指令直接進入電腦中的記憶體執行，過程中不殘留任何的檔案，這種攻擊方式就是「無檔案式攻擊」。

而腳本的攻擊內容大致分為3大類，第一直接宰殺該電腦的防護機制(防毒)，第二刪除該電腦中所有的備份，第三下載Ransomware病毒直接進行加密與竊取。這些腳本是利用Windows的程式(一般稱為白名單)，例如:vssadmin.exe、wmic.exe、bcdedit.exe、taskkill.exe等等，用這些Windows程式做攻擊方式，甚至更高深的Ransomware會使用到DLL Injector技術，直接注入到這些程式中，最知名的例子就是Netwalker Ransomware，這支病毒是直接DLL Injector到Explorer.exe中，透過Explorer進行竊取加密，由於Explorer.exe是一般企業不能也不會阻擋的應用程式，剛好駭客就利用這點直接DLL Injector到Explorer.exe。

在面對多樣化的勒索病毒威脅要如何防護呢?

現今從勒索病毒的攻擊方式著手，勒索病毒進入公司內部系統後所產生的行為，如同上述的Targeted Ransomware DLL Injector、無檔案式攻擊(Fileless)、APT攻擊方式、宰殺防毒與備份檔案、利用系統白名單進行惡意行為…等。要阻擋這些惡意的攻擊方式，可以使用X-FORT的應用程式控管機制，只有了解Ransomware攻擊與發作的模式，從中進行阻斷，才有辦法阻擋惡意程式，就算Ransomware進入到電腦中，也會因為X-FORT的應用程式控管機制，讓Ransomware無法發作攻擊，以大幅達到預防的效果，甚至搭配FAC(資料夾防護)與安全備份的功能，資料能完全保護住，讓企業達到預防、止災的效果。

2019年年底開始爆發的COVID-19疫情持續漫延，因為疫情的關係帶動了遠距工作及遠距學習的新型工作及生活方式。俗話說東北有三寶，行動工作也要有三寶 — 筆電、手機、充電寶（行動電源）。新世代行動工作者只要有筆電、手機、再加上行動上網，隨時隨地都可以工作、學習。

但其實遠距或行動工作處處潛藏著危機，日本IPA調查2021年資訊安全10大威脅，其中第三名是今年新入榜，針對遠距工作等新常態工作方式的攻擊。過去一年多以來日本疫情一直控制不下來，東京都、大阪府等已經實施了好幾次緊急事態對策。不只賞櫻活動降溫，今年連五一黃金週也泡湯了，東京奧運延後了一年還不一定能辦成。精品科技在東京的子公司從去年3月東京開始爆發大規模疫情後，一直到目前都採取居家辦公，我們和NTT DATA等合作伙伴的活動也全都改成線上會議。這些新工作常態正面臨著前所未有的挑戰與威脅，這也讓有心人士有可趁之機。

亞洲和歐洲方面。根據Space Three Two在2020年11月調查，疫情讓倫敦辦公室使用率自大流行前的44%降至28%；另外一旦所有防疫限制解除，員工希望每週平均花2.7天待在公司，這個數字在疫情爆發之前是4.5天！遠見雜誌在2020年3月爆發第一波疫情時的調查顯示，未來工作型態的三大趨勢分別是，工時彈性、工作多元、雲端遠距與行動辦公。而2021年1月思科的未來工作力研究報告指出，即使辦公室如常開放，絕大多數員工仍希望享有更多自主權，自由選擇在家或在辦公室工作及管理工作時間，並且希望未來能以視訊軟體或其他通訊工具，取代傳統電話會議及實體會議。因此企業應慎重規劃提供遠距辦公者與辦公室同等級的數位工具，並且強化員工對科技與數位方面的技能訓練及資訊安全意識。

分析歸納新世代行動工作者的工作及生活，大致會有以下這些情境以及活動，這些情境或活動也都面臨不同的資安風險：

• 帶著公司筆電趴趴走
• 隨時隨地上網公器私用
• 遠距會議
• VPN連回公司存取內部資源
• 存取公司租用的雲端服務
• 遠端桌面操作公司內部電腦

首先，針對行動工作必備的三寶，因為帶著筆電到處趴趴走，筆電遺失的風險也跟著提高。在Ponemon的調查報告指出，失竊的筆電中，有6成以上沒有採用加密保護，沒有習慣備份的也有6成多。當筆電失竊時，其中的機密資料是防護的重點，X-FORT提供以下對策：

• 硬碟防謢：拆下硬碟看不到內容
• SVS加密：機密檔案偷不走
• FAC資料夾保護及自動備份：受保護的資料不會被加密勒索

其次，行動工作者隨時隨地上網、工作，也面臨有形或無形的攻擊，像是利用免費WiFi引誘不知情者連線，或是使用一些駭客工具或硬體裝置做實體的入侵竊取。當然一直無所不在的惡意網站、釣魚信件等資安事件也是耳熟能詳。針對這些有形無形的攻擊，X-FORT也提供了連線安全、裝置安全、郵件安全、軟體安全等安全對策。尤其是應用程式控管，我們已經驗證了確實可以有效的阻止目前知名的勒索軟體攻擊事件。

第三，針對遠距工作新常態，遠距會議是最常用的工具之一，但是這些遠距會議或即時通訊軟體都是安全的嗎？員工的使用方式安全嗎？我們建議應該在適當的時機提醒資安風險，限制可以使用的即時通訊軟體以及遠距會議軟體，控管上傳檔案等措施。

第四，遠距工作通常需要存取公司內部資源，一般是讓員工使用公司配發的筆電，或是員工家中的電腦，VPN連回公司工作。企業需要具有敵我識別的能力，區分這些連入公司VPN的設備，是員工使用公司配發的電腦連入公司，還是利用私人電腦或網咖等公司外部電腦連入公司，也要防止VPN帳號/密碼被竊或外洩後被不當登入利用。因此企業通常會在內部設置VDI，或是開放公司內部員工原本使用的電腦遠端桌面登入使用，運用跳板的方式避免直接把內部資源對VPN連入的設備開放。因此內部個人電腦開放遠端桌面，依不同情形需採取不同的安全政策，(1)在公司直接使用 (2)由外部遠端桌面連入使用。簡單原則是近端（公司內部）電腦需要安全把關，遠端（公司外部）電腦／使用者需要敵我識別。

前三種情境可設定為公司行動工作端點的標準控管政策（使用者政策、離線政策、暫時政策）。但考慮更具有彈性、減少管理負擔的方式，則應該預先分析行動工作者各種操作及情境，區分低、中、高風險等級，制定不同的安全政策，以滿足各種工作情境所需資源並適度做好風險控管。之後可分別套用X-FORT EDR事件反應，或是依工作情境自動切換安全政策。讓端點保護系統能偵測使用者的工作型態或情境，依組織預先制定的安全政策，切換不同的控管規則，除了滿足遠距工作或行動工作應有的資源，也能依情況自動採取較彈性或是較嚴格的規則，適當的保護遠距辦公及行動辦公的資料安全。