產品與服務

有效抵禦勒索軟體攻擊，唯有「全面防堵」

10.1.2021Product Management

早期勒索軟體通常是透過木馬病毒，無方向性、任意擴散、亂槍打鳥，隨著網路下載檔案時入侵或經由系統漏洞進入被害者電腦。過去多數的被害者身分是一般民眾，他們一般處理的方式是默默支付約莫一千美元贖金，贖回電腦的解鎖。隨著網路威脅攻擊態勢的改變，威脅攻擊對象從個人移轉到企業為目標，攻擊手法也從隨機入侵變化為有目標性的入侵，這也就是所謂針對式的勒索軟體攻擊。

勒索軟體攻擊於 2019 年爆發式增長，至今沒有放緩跡象

近年來，攻擊態勢明顯改變，出現了針對型的勒索（targeted ransomware），攻擊發起時就鎖定目標，對象多是大型企業，駭客入侵後通常不會立即加密一台電腦，而是想辦法取得系統存取的最高權限，然後一次安裝勒索軟體在企業內所有電腦，時間到就全部進行加密、癱瘓企業，一次勒索金額甚至可高達五千萬美元（相當於新台幣十四億元）。

隨著加密貨幣流行的興起，駭客集團也隨之運用加密貨幣中心來掩護不法現金流追查，同時此行為也愈來愈猖獗，甚至引發美國政府主動採取對抗勒索軟體的決心，其中加強加密貨幣監管視為其中之一對抗的目標，還有就是這幾年網路所流傳的非主流服務，勒索軟體即服務（Ransomware as a Service，簡稱 RaaS）商業模式的出現，此現象也誘使更多犯罪團體發起勒索攻擊的行為。

今年五月區塊鏈研究機構 Chainalysis 發布《2021 勒索軟體年中的重大事件報告》，提及 2019 年是勒索贖金急遽增長的關鍵指標，從 2019 年第一季平均六千美元的贖金金額，延續至 2021 年第一季，平均贖金已高達五萬四千美元，此金額倍數般的驚人成長，尤其被駭客集團所盯上的高科技產業，例如 2021 年 REvil 陸續成功駭入宏碁與廣達，則被駭客獅子大開口要求支付五千萬美元贖金，不論最終企業是否支付，鉅額贖金儼然已成為常態。

表一、各季平均已知勒索支付金額。資料參考自 Chainalysis Insights。

防駭如防疫，唯有「全面防堵」

一般企業軟硬體網路環境多數建置是以辦公事務性為用途，而不是為了抵禦外部網路攻擊而部署，但駭客族群工具就是以攻擊目的為出發點，通常企業一旦被駭客針對鎖定了，它就會持續不斷的攻擊直到成功入侵為止，然後對企業進行勒索，這是非常難以防止。如何讓企業內外系統有密實的防護牆，是企業需考量的防禦重點。TeamT5 杜浦數位安全建議，企業必需有「全面防堵」的觀念，在企業內部設立層層的防護關卡，在每一個環節做到有效的預防、偵測和阻擋。因此，TeamT5 鼓勵企業朝向「全面防堵」的觀念進行安全部署，即使某些防禦層被入侵，系統其他防護機制一樣可以迅速接手防禦，並且企業依舊保有持續營運，因此「全面防堵」的觀念如同防疫，需同時包含隔離觀察、症狀監控、阻止傳播、快速應變隔離確診者等，缺一不可。

獨家人工智慧引擎，監控新進程式

TeamT5 全新一代的 ThreatSonar Anti-Ransomware 威脅鑑識分析與回應平台解決方案，除了具備 APT（Advanced Persistent Threat，進階持續性攻擊）惡意威脅鑑識與防護功能外，更新增面對勒索軟體攻擊的全面防堵解決方案，這個方案是透過我們的獨家人工智慧引擎，能判斷可疑或新進的外來程式，透過隔離與權限控管方式，由零信任（zero trust）開始，逐步提高對新進程式的信任值，這就如同 COVID-19 防疫針對入境者，均須透過 14 天隔離期相同的觀念，做為第一道防線，為企業進行把關。

teamt5-proactive-ransomware-containment-technology-effectively-defends-against-ransomware-attacks_CH_pic2_update.jpg

圖一、ThreatSonar Anti-Ransomware 人工智慧引擎

雙重防護，即時自動阻斷

面對勒索軟體的加密攻擊階段，ThreatSonar Anti-Ransomware 亦提供雙重防護，分別為應用程式控制與勒索陷阱，ThreatSonar Anti-Ransomware 的獨家人工智慧引擎可以偵測出哪些應用程式應該開啟什麼類型檔案，例如文件檔案通常是由文書編輯程式所開啟，若有異常程式嘗試存取文件檔案，系統便會自動偵測並予以即時阻斷。另外 ThreatSonar Anti-Ransomware 也會佈下了許多偽裝的文件檔案，當作誘捕陷阱，當惡意程式試著開啟此類檔案，同樣的也會被偵測並強制中斷惡意程式繼續運行。