老牌NAS大廠威聯通(QNAP)針對目標式勒索軟體,開發出全新安全解決方案ADRA NDR,該產品是一個具有快篩與主動防禦(Active Defense),並帶有多網路埠的網路資安產品,企業可將ADRA NDR部署在內網中作為交換器使用,並在不影響任何網路效能的情況下,揪出遭到勒索軟體感染的電腦加以封鎖隔離,藉由阻斷感染鏈,保護企業的裝置與儲存不受勒索軟體攻擊。

目標式勒索軟體與一般的勒索病毒不同,更具針對性,攻擊者使用APT複雜攻擊手法,針對目標企業量身訂做,威聯通資深產品經理謝孟霖提到,現在的目標式勒索攻擊已經進化,市場存在攻擊供應鏈,攻擊者可以像是訂閱雲端服務一樣,訂閱勒索雲端服務。而提供勒索攻擊服務的供應商,會依據攻擊標的所使用的電子郵件或是網頁等系統,打造最適合的快速攻擊工具,因此企業防不慎防。

在COVID-19的疫情期間,企業受勒索攻擊的災情更是嚴重,謝孟霖提到,當內網有一臺電腦受到感染,勒索軟體便會探尋擴散的可能,並且橫向移動感染更多的裝置,甚至攻陷企業重要的NAS或者重要伺服器。而且因為COVID-19疫情的關係,不少企業員工開始遠端工作,在某種程度上使得公司的內網擴大,也就增加內網安全風險。

傳統資安解決方案看不見的問題

企業有許多連網裝置,無法安裝端點防護軟體,謝孟霖強調,任何暴露在外網的裝置,都可能成為勒索軟體進入企業內網的登陸點,比如對外的舊服務網站或對外連線的設備;當連網裝置未妥善保護,就可能成為攻擊目標,他們曾經遇過企業受到勒索攻擊的案例,攻擊者先攻擊分公司的印表機伺服器,進而進入企業內網,開始感染其他裝置。

勒索軟體進到內網後,便會開始探尋網路環境,盡可能感染更多的電腦,並收集包括網路架構,所使用的軟體以及未修補的系統漏洞等資訊,而與此同時攻擊程式也會開始連接C&C伺服器,下載需要的攻擊套件。「阻斷勒索軟體橫向移動是防禦關鍵」謝孟霖指出,無論是在勒索軟體探尋階段,抑或是橫向移動階段,這都屬於目標式勒索攻擊的初期行為,只要能阻斷這些行為,就能夠避免企業受到勒索軟體的嚴重攻擊。

而NAS起家的威聯通,為了要保護其用戶不受猖獗的勒索軟體侵擾,開發出能夠阻斷勒索軟體橫向移動的資安產品ADRA NDR,主打快篩式偵測,ADRA NDR在作為交換器的同時,能以完全不影響網路效能的情況下掃描流量,即時找出受到勒索軟體感染的電腦,執行早期隔離,並且通知IT人員採取進一步的處理。

ADRA NDR模擬技術引誘勒索軟體現身

ADRA NDR採用多種偵測技術,而威脅誘捕是其主要特色之一,能夠透過模擬SSH、SAMBA和威聯通其他多種常用服務,設置誘餌系統,吸引勒索軟體攻擊,謝孟霖解釋,勒索軟體的主要目標常是企業重要的系統,而NAS或檔案備份儲存伺服器當然是企業重要資料存放的地方,ADRA NDR可以模擬出一個假的NAS系統,吸引勒索軟體攻擊,由於一般企業員工的NAS連線都是由IT設定,因此會直接連往真正的NSA系統,只有勒索軟體不知道真正的NAS系統,才會連接到假的NAS系統。這也MITRE組織提倡的主動防禦框架,可以化敵為明,引蛇出洞。

在感染勒索軟體的裝置被誘捕到後,ADRA NDR便會執行進一步的威脅檢測,包括針對網路封包流量,使用數萬個偵測規則來進行深度威脅分析,一旦受感染電腦被確診感染勒索軟體後,ADRA NDR便會自動隔離,將感染源封鎖在最少數量,最小範圍的裝置中。

IT可以依照風險的等級,配置處理的方式,像是針對線上營運用的電腦,在評估風險後暫時放行,待情況許可時進行清理,並且回復到受保護的狀態。之所以ADRA NDR能夠在掃描勒索軟體的同時,還能做到完全不影響網路效能,謝孟霖解釋,ADRA NDR內部架構為複雜的多系統設計,網路交換器系統專門進行資料交換,而快篩則交給其他系統執行,不需要像防火牆這些設備需要在線(inline)介入掃描所有連線的資料,因此能以即時非同步的方式運作,也無須改變企業原有網路架構,只要偵測高風險便可即時隔離受感染電腦的網路。

而針對之前威聯通NAS,遭受到的AgeLocker和Qlocker勒索軟體攻擊的事件,只要將ADRA NDR部署在NAS之前,也能夠有效地防止NAS受到這些勒索軟體威脅,不過謝孟霖提醒,他們針對NAS攻擊進行研究,其實隨時都會有來自各個國家的攻擊封包,從密碼噴濺到Web漏洞,甚至嘗試攻擊知名品牌的出口路由器漏洞,基於安全性考量,用戶千萬不要將NAS直接暴露在網際網路上,或是打開管理等重要埠口的轉發(Port forwarding),如此才能對NAS安全性有基本的保障。


熱門新聞

Advertisement