勒索軟體肆虐世界已經超過10年了,從早期的個人電腦中毒被勒索,到現在有組織的對企業進行勒索,儘管企業也加大力度強化資安的防護,但勒索軟體總是有辦法滲透進企業進行勒索,新聞也經常報導大型企業被駭客勒索,其實絕大部分的企業被勒索都是因為『人』不經意的行為導致,比如,在沒有資安意識的情況下開啟郵件裡的不明連結、下載並執行有資安風險的程式等等,除了加強員工的資安意識與知識外,如果能夠管制員工無法隨意執行有風險的軟體是可以大大降低電腦被感染機率。
有風險的軟體進入電腦的管道非常多種,郵件不明連結、雲端硬碟、LINE、隨身碟、Word巨集…等都是,但大部份共同特點就是一定要執行勒索軟體才會被感染,以勒索軟體NetWalker為例,當使用者開啟一份外來陌生的Word文件,此文件內含巨集,若使用者沒有警覺即使Word出現是否執行此巨集還是按下『是』,那麼巨集指令就會呼叫PowerShell從網路下載真正的勒索軟體本體到記憶體並執行,並對檔案總管進行跨行程的遠端注入,此時電腦就真正的被勒索病毒感染了,目前勒索軟體大部分還是以電腦裡有價值的檔案進行加密並進行勒索。
X-FORT對勒索軟體的應對策略有三層,
第一層:應用程式零信任
第一層『應用程式零信任』(AZT,Application Zero Trust),把X-FORT用戶端電腦裡的exe檔清查一遍,被清查的這些exe檔就是『軟體白名單』意思就是只有白名單裡面的執行檔才可以執行,白名單以外的執行檔無法執行達到應用程式零信任。對於NetWalker這種夾在Word巨集裡的勒索軟體,X-FORT可設定只允許檔案總管呼叫PowerShell,那麼當使用者誤開Word巨集也無法呼叫PowerShell來感染電腦。
應用程式零信任控管的功效
防止惡意程式蔓延:惡意程式為了達到目的通常會躲在正常程式裡,應用程式零信任可以防止執行白名單以外的程式,自然就達到防止惡意程式蔓延的目的。
- 避免任意安裝軟體:只允許執行白名單裡面的軟體,避免員工任意安裝其他版權軟體或破解版軟體,防止侵權糾紛。
- 避免執行綠色軟體:很多惡意程式會偽裝成綠色軟體,使用者以為綠色軟體不用安裝應該不會中毒,往往都是這種小工具在感染電腦。
- 避免執行不明的軟體:很多時候不明軟體都是無意間被執行起來的,例如:郵件夾檔的不明軟體,郵件連結裡的不明軟體,LINE群裡的不明軟體,偽裝成TikTok…等
第二層:檔案備份
「檔案備份」,有些企業檔案集中式管理,有些企業檔案是散佈在各使用者電腦硬碟裡,X-FORT的檔案備份支援以下三種
- 本機檔案備份至本機特定資料夾。
- 本機檔案備份至網路分享資料夾。
- File Server檔案備份至網路分享資料夾。
備份的主要用意是萬一有電腦被勒索軟體感染,檔案被加密後若沒有備份將會造成公司巨大損失。
X-FORT的備份機制如下:
- 採用定時備份。
- 由管理員指定副檔名進行備份。
- 第一次備份是完整備份,第二次之後只備份有異動的檔案。
- 可指定備份至本機或者網路分享資料夾,可兩者同時備份。
- X-FORT會依照原本的資料夾結構進行備份,讓未來有需要還原備份檔時,整個資料夾結構與之前一樣。
第三層:資料夾保護
『資料夾保護』(FAC,Folder Access Control),對第二層『檔案備份』的資料夾設定只允許特定執行檔,才能存取此資料夾。以目前大部分的勒索軟體都是檔案加密的勒索方式,萬一電腦不幸真的被勒索軟體攻擊,勒索軟體將無法進入被FAC機制所保護的資料夾,自然無法對備份的檔案進行加密,我們會建議最好設定所有軟體都無法存取此資料夾(防毒軟體與X-FORT除外),把資料夾的安全性拉到最高。