自從2013年在歐美地區出現CryptoLocker加密勒贖軟體,建立了一套有效的獲利模式之後,近年來也開始蔓延到台灣。因為屬於隨機攻擊,平時防禦能力與備份機制較弱的中小企業可說首當其衝,再加上資安意識不足,自然容易遭到感染而受害。
Sophos技術經理詹鴻基觀察,近年來的犯罪組織通常會鎖定國際知名企業組織發動攻擊,藉此竊取資料或高額勒索金,通常不會以中小型企業為目標,也因此使得多數中小型企業的資安危機意識日漸輕忽。自從勒索病毒出現後,其牟利模式根本不管攻擊標的是否有足夠資金,開始以無差別方式攻擊,如此情況下,自然是缺乏防禦能力的中小企業影響最大,才迫使企業主開始正視資安議題。
卡巴斯基(Kaspersky)代理商湛揚科技技術服務中心技術工程師金宇瀚亦指出,在近年來中小企業面對的資安威脅項目中,現今的加密勒索軟體有一系列的家族,像是CryptoWall已經進化到4.0版本,當企業遭受感染時,大多採取重新安裝作業系統解決,但勒贖軟體運用的是非對稱式加密技術,即便重新安裝也難以救回,除非事前有進行備份。
當然,面對加密勒贖軟體,主要考驗的是使用者的資安意識,而非僅仰賴工具技術就能徹底解決,但至少必須做到資安等級的提升,尤其是在終端的安全防護,才得以降低可能的風險。
湛揚科技基於防毒與備份工具 協助防治加密勒贖
現代的防毒軟體都強調多重防護,金宇瀚指出,以卡巴斯基為例,除了防護惡意檔案與郵件,較獨特之處是提供系統監控,也是得以預防勒索軟體的重要機制。主要是由於勒索軟體滲透成功後的第一步會變更系統參數值,例如註冊機碼,此動作出現隨即觸發系統監控運行,一旦被確認為惡意軟體,藉此機制才得以進行還原。
「我們內部曾做過實驗,故意點選CryptoLocker檔案,發現執行加密速度相當快,當然卡巴斯基會在第一階段會予以刪除,該惡意軟體所執行的行為則會透過系統監控機制被還原。這可說是卡巴斯基重要的技術之一。」金宇瀚強調。
為了讓中小型企業便於掌握內部電腦運行狀態,在KSOS(Kaspersky Small Office Security)新版4.0中,主控台已改由雲端平台來提供,無須再額外架設專屬主機運行集中控管軟體,IT管理者只要連線至center.kaspersky.com登入,不論何時、何地,皆可查看內部電腦運行狀態,以及針對特定電腦遠端執行病毒碼更新或掃描工作。
 |
| ▲Sophos在端點與防火牆中間增添Heartbeat機制,當端點被滲透入侵成功,惡意程式在背景執行對外連線經過防火牆,隨即進行阻斷、禁止端點存取內部資源,同時由Sophos Cloud控管平台通知管理者。(資料來源:Sophos) |
但面對勒索軟體的肆虐,金宇瀚認為,僅仰賴防毒軟體仍有風險性,必須結合備份軟體才能有效防治,可運用Acronis執行全系統備份/?還原,甚至是版本控制。他進一步說明,之所以提到檔案版本控制的原因是在執行備份工作時,萬一也包含已被惡意加密的檔案,若有檔案版本控制,即可還原到更早之前的時間點。唯有事前進行備份,才有機會被救回。
後續的技術支援與服務向來是湛揚科技的核心價值,近來亦針對KSOS的用戶,提供大型企業的服務規格,以及每一季開辦的教育訓練課程,湛揚科技技術服務中心副理蘇恆毅指出,目前正在評估讓中小企業用戶免費參加的可能性。
「由於湛揚科技本身有建置話務系統,針對大型企業用戶提供VIP服務,後續支援的客服專線與郵件往來,皆有記錄可查詢,包括定期產出報表、問題回應
時間記錄、已結案的問題處理
方式等,以確保服務品質。此套系統也開始為50人以下中小型企業用戶提供同等級服務。」蘇恆毅說。
Sophos整合終端、閘道端、雲端 全面控管資安事件
勒索軟體的運行模式是駭客設計一個包含硬碟加密指令的病毒檔案,其中會夾帶一段程式碼,先行導向指定網站位址下載金鑰,完成後才會進行下一步加密的動作。問題在於下載金鑰的大多是透過http連線執行,為合法執行程序,不論防火牆或防毒軟體根本無法察覺異常,待金鑰下載完成後,隨即觸發加密指令執行。詹鴻基認為,預防被惡意加密固然可透過防毒軟體及時偵測並清除,但製作特徵碼的速度往往難以超越勒贖軟體變種的腳步,因此防火牆能否阻擋犯罪組織的連線行為亦是重要關鍵。
「過去的防毒軟體較單純,主要以防毒引擎為核心,再增加HIPS等機制,Sophos獨特之處在於惡意流量偵測(Malicious Traffic Detection),也就是在防毒軟體中納入Port 80連線行為的偵測機制,對外連線的IP位址會透過Sophos Lab確認是否具有危險性,以便及時攔阻。」詹鴻基說。
近來Sophos更進一步以防毒軟體為基礎,整合2014年經由收購取得Cyberoam的技術新推出Sophos XG Firewall,搭配Sophos Cloud雲端,運用Synchronized Security技術讓以往壁壘分明的閘道端與終端得以彼此溝通。
「畢竟防火牆雖能限制端點的流量連線至惡意網站下載金鑰,但被滲透入侵的端點可能是筆記型電腦,若未及時刪除惡意程式,一旦離開公司內網恐將被加密成功。因此閘道端、終端、雲端,三者結合的防禦體系才能有效發揮作用。」
詹鴻基舉例,若偵測到端點正準備連線至惡意網站,只要掌握來源IP位址、使用者帳號、惡意軟體的名稱,即可限制該端點的存取。而該惡意軟體在尚未建立特徵碼無法被移除的狀況下,即可藉由Sophos Cloud,參考端點所產生的資安事件記錄,將惡意程式刪除。
在閘道端的防火牆可配置三種等級的控管政策回應不同資安事件,包含無安全問題(No Security Issues)、不必要的應用程式(Unwanted Application)、已入侵感染(Compromised Infected)。萬一端點的警示是發現廣告程式造成,不會自動執行清除,但該端點會顯示為警示狀態。正常狀態的端點可自由連線內部資源或外部網路,但是當端點變成警示狀態,則允許對外連線,但禁止存取內部資源。至於不必要的應用程式,指的是有許多攻擊軟體無法被辨識,但有潛在性風險,若要嚴謹的控管網路安全,即可建立於此回應等級。
「唯有仰賴不同領域的技術整合,才足以讓企業端擁有較全面性地控管資安問題。」詹鴻基強調。