防範勝於治療

勒索軟體大致上可以分為三個感染階段：進入、傳播、和加密。勒索軟體發展至今，加密方法與複雜度不斷的演進，當企業資料一旦遭受勒索軟體加密，破解金鑰成為一種不切實際的手段，剩下能解救遭受加密資料的方法只剩下透過備份回復或是支付高額贖金。解決問題的根本之道，唯有在感染初期，也就是「進入」與「傳播」階段就將勒索軟體抓出並清除，才能有效避免遭受勒索導致損失；駭客在散播勒索軟體之前，首先需要進入企業內網，駭客通常會掃描每一個 IP 進行攻擊，直到找到有安全漏洞的設備，藉此突破內網後，取得該終端設備的控制權，將其當作跳板機，再逐步取得更高權限帳號，入侵企業 AD，盡可能攻入 Domain controller (DC、網域控制器)，取得用戶列表和派發權限，如此一來才能開始移植勒索軟體並橫向擴散，感染整個內網的設備。因此若想將勒索軟體阻擋在內網之外，可以透過以下幾種方式讓駭客無機可趁：

1. 關閉遠端桌面功能

遠端桌面協定( RDP )是微軟開發的私有協定，允許使用者透過網路使用其他設備連接電腦，以執行遠端管理。駭客可以利用相同管道，透過使用洩漏的 RDP 憑證或者暴力破解，從而進入該電腦。當駭客進入電腦後就可以進行任何操作，包括更改密碼、安裝惡意程式、埋下後門程式等。大多數公司對密碼沒有完善的政策，使得密碼強度不夠，駭客容易進入內部網路中進行破壞，也因此 RDP 成為駭客進行攻擊的主要管道之一，關閉 RDP 雖然會帶來一定程度的不便，但是可以非常有效的減少駭客入侵的機會。

2. 完善的資產管理功能

軟體和 Windows OS 的安全漏洞也是駭客入侵內網、取得設備控制權的主要途徑，2017 年赫赫有名、肆虐全球的勒索軟體—WannaCry，在150個國家造成超過40億美元損失，其滲透管道就是一個微軟早在2個月前發布更新的 OS 漏洞，因此確保企業內的所有設備都有在第一時間確實更新 OS 版本，沒有使用盜版軟體且所有軟體都有更新到最新版本，才能全面的阻止駭客透過相關漏洞進入內網。

3. 帳號權限最小化

為避免駭客安裝惡意軟體對內網造成危害，應將本機帳號的權限最小化與納管AD帳號，避免給予帳號不必要的權限。

4. 防毒軟體的使用與病毒碼的更新 

勒索軟體雖然很難透過防毒軟體進行偵測，但是像後門程式等惡意程式卻可以使用防毒軟體攔截與清除，因此防毒軟體應維持在最新版本而其所提供的病毒碼也應確保為最新的內容，才能完全防範駭客透過惡意程式獲得進入內網的管道。

5. 建立良好的資安意識

駭客經常透過偽冒的網站與網路釣魚電子郵件誘使員工下載惡意程式攻擊內網，員工的行為是最難控制的一項因素，不良的使用習慣與安全意識容易造成內網遭到侵害。因此建立完善的資安教育制度，培養員工良好的資安意識也是需要重視的一環。

UPAS 如何防範勒索軟體

UPAS NOC 針對勒索環節部署防禦機制，透過多樣的功能來防止內網遭受勒索軟體的侵害，建立全面的內網聯合防禦網，避免企業因為資料被綁架而蒙受巨額的損失。UPAS 以零信任架構將安全性漏洞所產生的影響降至最低，並可在駭客展開目標式滲透時，於以下多個環節即時發現異常：

1. 98% 業界最高的設備納管率

資產盤點與管理為一切資訊安全的源頭，只有將全部連網設備都納入管理才能達到最安全的內網環境。UPAS 可以做到業界最高的98% 設備納管率，管理內網上的所有設備，並以此為基石加上獨特的設備白名單與合規檢查方式查找弱點設備，達到持續性的防禦與管理，讓勒索軟體無機可趁。

2. 設備合規檢查

設備數量與狀態的不清楚，導致無法有效率地確認設備是否更新到了最新的版本，UPAS 透過 98% 的設備納管率解決了這項問題。 

（1）UPAS 介接 WSUS 伺服器，查找是否有更新內容並強制設備更新。

（2）產出資產清單與設備狀態圖表，詳盡的顯示內網設備所使用的系統與版本。

（3）掌握防毒軟體與資產管理軟體安裝與更新，確保病毒碼維持在最新的版本。

3. 資產盤點

全面的資產盤點讓 UPAS 可以做到詳細的設備合規檢查，禁止不符合規定的設備連上內網，並且可以產出完整的軟硬體總表，協助企業了解內網中所有設備的資訊，查找弱點設備。

4. 開關機報表

UPAS 可以產出電腦設備的開關機資訊報表，讓管理者可以透過報表內容了解設備的大致狀況。

（1）設備久未重新開機就有可能導致 OS Patch 未更新進而造成設備漏洞。

（2）員工下班了設備卻沒有關機，則有可能成為駭客的攻擊對象。

（3）設備久未開機使用，防毒軟體、病毒碼就沒有辦法維持在最新的版本。

（4）設備的異常開關機告警則可以找出異常活動，如安裝惡意程式等。

UPAS 除了設備開關機報表，還有提供其餘 55 種報表與 198 項分析項目，協助管理者更加了解內網設備狀態。

5. 補丁管理

透過於終端設備部署 Agent，UPAS 可以進一步的掌握各項設備的軟體使用情形與 USB 設備的控管。透過對軟體與 USB 裝置的管控，減少駭客與勒索軟體可以入侵的管道，以此達到對內網的全面防護。

（1）檢查應裝軟體是否正確安裝。

（2）檢查版權軟體的安裝數量，確保安裝數量不會超過授權數量。

（3）可禁止特定軟體安裝，強迫已安裝設備解除安裝，以維護設備與網路安全。

（4）使用 USB 白名單，管控所有 USB 設備如儲存裝置、光碟機、網路卡、行動硬碟等，只允許白名單內的裝置可以進行存取。

6. 數據流量監控

受到駭客控制的設備通常都會有異常的流量，UPAS能對網路使用狀況進行監測，控管終端設備網路使用行為。提供網路流量資訊，產生相關流量報告。並且提供網路攻擊分析，透過歷史紀錄分析可疑的網路攻擊。

7. AD 管理

本機帳號的控管是一項對防禦勒索軟體很重要的事情，最小權限的帳號管理可以避免駭客透過本機帳號的權限進行破壞；UPAS 的 AD管理可以限制使用者只能以 AD 帳號進行登入使用，無法使用本機帳號登入，防止駭客安裝惡意軟體對內網造成危害。同時提供AD登入/登出時間紀錄，以管理內網中閒置設備或者使用 RDP 連線的設備，降低被駭客攻擊的機會。

8. 組態行為檢查

當駭客已經取得權限且要派送勒索軟體至各設備時，UPAS 可以及時告警組態的異常行為，如新增非法軟體、GPO 政策的更動、開啟最高權限之資料夾分享等，讓企業可以及時阻止軟體的安裝與運作，降低損失的金額。