[SOPHOS媒体专访] 全面掌控端点漏洞　降低勒索软体感染风险

Sophos资深技术经理詹鸿基接受网管人杂志专访，全文内容如下：

勒索软体以无差别式的攻击，直接损毁遭受感染的档案，近年来已让中小企业深刻感受到信息安全威胁的危险性，开始正视防范措施。Sophos资深技术经理詹鸿基认为，深入了解防范措施后可发现其实并非无法可解，只要基于现有的防毒引擎，增添端点安全防护机制，落实漏洞管理措施与加密防护，进而联合闸道端建立共同防御，不须额外增添昂贵先进的信息安全技术，即足以降低大部分风险。

新变种的恶意程式通常会利用文件档案巨集程式与浏览器漏洞发动攻击，只要是已知的漏洞，则可透过防护技术侦测与拦阻，因此建立漏洞防护的机制相当重要。但是台湾中小企业普遍欠缺这方面的观念，詹鸿基观察主要原因，在于多数企业认为防毒软体即可防范勒索软体、病毒、木马、恶意程式等不同威胁，但实际上，各种攻击程式的行为模式不同，不可能以单一机制防范所有手法。 

端点与闸道联防确保端点安全无虞 

勒索软体的危害，詹鸿基认为，在有利可图的现况下，将会持续不断变种与翻新手法，造成的破坏力远胜于过去大规模病毒感染事件，因此不得不有所防备。以WannaCry事件来看，遭受感染的第一台电脑未必是员工办公桌机，可能也包含非IT人员管辖的资产，进而在内网中扩散。 

如何确保信息环境的安全性，可说是IT人员必须思考的问题。若IT人员得以掌握整体信息环境，即可拟定防护措施，但若有根本不知其存在的信息装置，如何能确保整体安全性？对中小型企业来说，或许可透过NAC平台控管，但建置价格通常不低，最合适的做法，应该是善用现有的端点与闸道端方案因应当前攻击威胁。 

 

▲Sophos Endpoint Protection搭配Intercept X，强化勒索加密与漏洞防护，并且在Central云端控管平台中增加根本原因分析，勾勒出整起信息安全事件轨迹。（资料来源：Sophos）

「以前的端点与闸道端各司其职，运作逻辑完全不同，Sophos在三年前透过收购方式取得闸道端技术后，发展出Heartbeat机制，若有未安装防护的电脑接取网路，闸道端接收不到Heartbeat讯号，则阻止该主机的对外连线行为。如此一来，内部员工私人装置未通过申请程序，或是未安装最新系统修补程式与病毒码，即无法连线到网际网路。」詹鸿基说。 

针对最常被利用来发动渗透入侵的网页与邮件管道，亦可透过Sophos防火墙订阅云端沙箱机制，藉此提升未知档案的判别精准度。 

漏洞防护、阻止异常加密 严防勒索袭击 
 

▲ Sophos资深技术经理詹鸿基认为，外部威胁攻击手法相当多，传统的防毒软体仍具高防护效率，但必须补强端点的漏洞防御，进而运用已日渐成熟的人工智慧与机器学习技术，来提高侦测率。

至于侦测机制，虽然今日勒索软体动辄利用二十多种已知的漏洞组合撰写攻击程式，但二十多年来，病毒码侦测始终为防御恶意程式最有效率的方式，只要有能力掌握，并建立防护措施，詹鸿基评估，至少有九成以上的机率可破坏攻击。万一是使用者警觉心不足，点选执行触发恶意的加密行为，端点防护措施须具备可协助侦测并阻止执行的机制，例如多数使用者不会大量且快速地加密档案，一旦被侦测发现便可直接拦阻，并且保留原始档案，才不致造成损失。 

尽管防护机制可制止恶意加密行为，但既已成为信息安全事件，仍有必要厘清感染攻击链，从而改善控管政策与措施，提高端点的免疫力。以往常见的作法是建置商业版或免费版的日志管理伺服器，进行关联分析来追查事件的来龙去脉，近年来IT人员遇到的困境是攻击者为了避免被发现，通常会自动销毁记录档，使得整起事件无法被真实还原，难以建立有效防御措施。 

对此，Sophos的新一代端点安全产品Intercept X，提供的根本原因分析（Root Cause Analysis）机制，让IT管理者可透过Sophos Central云端管理平台快速地查看，藉由自动产生入侵轨迹拓朴图，一目了然恶意行为信息，包含开启档案的暂存档、修改的信息、连线到外部等细节。 

深度学习演算模型提高预测精准度 

除了根本原因分析，Intercept X方案亦包含勒索加密防护（CryptoGuard）与漏洞防护（Exploit Prevention）机制，用于防堵防毒引擎无法侦测得知的新型态攻击手法。 

詹鸿基说明，Sophos既有的Endpoint Protection是以防毒引擎为核心，Intercept X则设计以无特徵码技术防范漏洞攻击，统一使用Sophos Central云端管理平台，让用户在不改变现有配置下达到进阶防护效果。 

「Intercept X采以轻量化的程式提高端点安全性，亦可相容于其他防毒引擎。运作模式是在档案通过防毒引擎扫描后，程式开始运行当下，被Intercept X发现是漏洞攻击行为，才会触发执行防护与记录，既不会占用系统资源，也不需要经常更新，只要在新型态漏洞攻击手法出现时予以更新即可。」詹鸿基强调。 

Sophos增添Intercept X方案的用意，除了可用于辅助病毒码侦测无法发现的攻击手法，同时也可基于Heartbeat机制触发防火墙执行拦阻以达到联防效果。在2018年初发布的新版本中，更增添应用程式同步管控机制，在端点的应用程式连线上网时，自动通报防火墙平台，如此一来，防火墙针对上网行为的辨识能力才得以跟上现代应用程式变换的速度。 

此外，Intercept X新版本中加入凭证偷窃防护，阻断攻击者渗透入侵端点后进行潜伏、扩散，再窃取最高管理者的帐密，进而登入企业营运系统取得机敏资料的流程。 

较特别的是，Sophos于2017年收购Invincea取得的深度学习神经网路演算法技术，也纳入Intercept X方案，运用Sophos长期累积的庞大资料量，训练出更加精准的演算模型，让预测恶意软体的执行行为得以提高侦测率、降低误判率。 

网管人全文网址:http://www.netadmin.com.tw/article_content.aspx?sn=1801040003