端點防護是勒索軟體最終抵禦的戰場

基本上，勒索軟體發動攻擊的地方，主要還是在端點電腦上，因此針對端點提供保護的措施，乃是兵家必爭之地。由於近年來，針對企業的持續性進階威脅（APT）攻擊相當常見，不少廠商推出新興的次世代防毒軟體（NGAV），就強調能夠抵擋這類未知攻擊，而不像傳統防毒軟體的做法，有待仰賴特徵碼更新後，才能識別並加以攔截。

不過，即使是發展已久的企業版端點防護產品，面臨來勢洶洶的勒索軟體攻擊，也開始加入像是機器學習分析，藉此識別疑似異常的處理程序行為，因應日新月異的攻擊手法。而且，許多廠商也推出專屬的端點偵測與回應（EDR）方案，能搭配現有的端點防毒產品，企業能藉此得知受到感染的電腦數量，以及更全面的防護態勢。

針對內部異常事件的調查，還有像是內部存取行為監控系統（UEBA），從訴求使用者與接觸的實體（Entity）之間關聯出發，主打從大量的事件記錄中，找出潛在的威脅。UEBA與EDR最大的不同，是後者在偵察之餘，強調能在端點電腦上，執行較多的反制措施。我們在這次徵詢廠商的時候，就有同時兼具UEBA與EDR屬性的解決方案。此外，普遍來說，EDR必須安裝端點的代理程式，因此作業系統平臺

而無論是企業版端點防護產品，還是次世代防毒軟體，除了在攻擊事件發生前期，偵測及阻擋勒索軟體的威脅，也有不少產品具備其他能力，像是作業系統與常見應用程式漏洞修補，或是能與前端的網路防護產品，包含防火牆、網頁安全閘道等，共享威脅情資，進而在接觸端點之前，就封鎖相關攻擊。

在趨勢科技的OfficeScan XG的管理主控臺中，在威脅事件數量與端點電腦列管的情況之餘，儀表板的摘要資訊優先列出勒索軟體在企業內部分布的狀態，藉此讓管理者快速檢視這種類型的資訊。

防毒軟體提供多重防護機制，並可延伸結合攻擊事件調查與回應

從我們這次收集到的端點防護產品中，大多都包含了檔案特徵碼以外的偵測機制。以趨勢科技在企業端點防護的產品而言，OfficeScan XG則是著重勒索軟體常見的手法，提供相關防護措施，像是針對疑似惡意軟體大量加密檔案的行為，進行監控，以及對於惡意網址，進行阻擋，以免使用者不小心點選。

在攻擊事件的調查與提供進階保護的部分，則是可與我們之前介紹過的Trend Micro Endpoint Sensor結合，進一步分析在多個端點發生的事件，並且可將疑似是勒索軟體病毒的檔案，傳送到沙箱設備Deep Security Analyzer，進行再次分析。

而在國內市占率也相當高的Symantec Endpoint Protection（SEP），原本已經提供了像是IPS、SONAR應用程式行為辨識等阻檔機制，而在最近推出的14.1版裡，則是納入了進階機器學習，以及應用程式的權限強化控制（Application Hardening）的能力。

而對於攻擊事件的調查，以及威脅情資的彙整，則是能與同廠牌的Advanced Threat Protection: Endpoint搭配，管理者可藉此了解事件的脈絡。

今年4月從Intel獨立出來的McAfee，他們旗下的企業版端點防護產品McAfee Endpoint Security（ENS）10.5，則是提供名為即時防護（Real Protect）的機制，藉由機器學習，同時採用靜態與動態分析模式，比對檔案與威脅模型的相似度，以及檢查應用程式執行的行為。

對於威脅情報的交換，ENS則是可透過McAfee Threat Intelligence Exchange，與其他已安裝ENS的端點，以及McAfee產品之間，快速流通惡意威脅資訊，而對應的端點的偵測與回應措施，則是McAfee Active Response（MAR），管理者可指定在發生特定情況時，由MAR先行處置，例如，ENS發現一定數量的檔案，遭到加密時，由MAR自動限制端點電腦的網路連線能力。

就連提供作業系統的微軟，也強化產品內建的端點防護軟體——Windows Defender。例如，在今年下半新推出的Windows 10秋季創意者更新版中，針對加密勒索軟體會大量加密電腦資料的情形，新增了受控管資料夾，只允許指定的應用程式存取檔案；而在企業環境中，管理者則是可透過Windows Defender Application Control，大量套用應用程式白名單設定。

而針對事件的調查，微軟則是提供了另一套產品——Windows Defender Advanced Threat Protection，能收集端點電腦上的事件，並加以反制。而這套系統，也可彙整同廠牌的內部存取行為監控系統Advanced Threat Analytics，以及雲端電子郵件防護Office 365 Advanced Threat Protection的事件記錄，藉此得到更為精確的分析結果。不過，相較於其他防護產品，若要同時採用Windows Defender，以及對應的端點偵防系統，作業系統不但只能使用Windows，還有諸多版本上的限制。

提供攻擊事件的關連圖表

針對受到勒索軟體攻擊的事件，端點偵防系統可提供受害的範圍關連圖，以圖中Carbon Black的Cb Response來說，管理者可得知勒索軟體進入到端點電腦後，執行與解壓縮的過程。

加入機器學習、應用程式漏洞防護、檔案加密回復等強化機制

相較於上述廠牌的企業級端點防護產品，除了提供能互相搭配的事件調查與回應解決方案外，還可以與其他不同類型的防護系統串連，並共享即時情資。不過，有些品牌仍是以防毒軟體為主，像是Kaspersky、ESET、F-Secure等。

例如，Kaspersky推出的企業版防毒Kaspersky Endpoint Security（KES）10.3，則是主打在事件發生過程中，能從攻擊初期到最後防治的階段，提供豐富的保護機制。例如，對於不幸受到攻擊之後，電腦遭到加密的情況，KES則是具備自動恢復（原廠稱為回滾）的能力，在防毒軟體監控的過程中，若是發現執行應用程式時，對於系統進行破壞時，便能自動還原應用程式至尚未執行前的狀態，降低系統受到損害的程度。

主打產品較不占電腦系統資源的ESET，他們旗下的解決方案，都具備進階記憶體掃描模組，能防範惡意軟體多重包裝，導致防毒引擎無法依據特徵碼識別的情況。而該廠牌的防毒軟體，也有專門因應勒索軟體的反制功能Ransomware Shield，攔截相關的攻擊。

針對未知的威脅，F-Secure Business Suite Premium採用了名為DeepGuard機制，結合了檔案信譽、應用程式行為分析和利用漏洞多種檢測因素，藉此能快速判別已知的威脅，以及零時差攻擊。這款解決方案也針對目前新興的惡意軟體，採用多防護引擎，避免因單一防毒引擎造成的漏報和誤報情況。

透過高風險事件挖掘潛在威脅

想要找出埋藏在企業內部的勒索軟體威脅，企業可經由內部存取行為監控平臺，從其中找出。以圖中的LogRhythm儀表板而言，管理者就能從圖中97分和94分的事件記錄，開始著手調查。

不只事前阻絕威脅，並能採取反制措施的次世代端點防護

近年來，許多新興的端點防護廠商與產品出爐，像是Carbon Black、CrowdStrike、Malwarebytes，它們都強調不採用傳統防毒軟體的檔案特徵碼機制，甚至，部分產品能夠完全取代這種保護的措施。

就整體產品線的配置來說，Carbon Black總共有3款產品，分別是主力端點偵防產品Cb Defense、適用於伺服器端的Cb Protection，以及偏重事件調查與鑑識應用的Cb Response。

而CrowdStrike的端點防護產品Falcon Endpoint Protection Platform，則是強調結合事件應變服務，並可選購由原廠所屬的資安分析師與攻擊入侵專家，針對異常事件，提供相關的分析。

相較於上述2個系列的解決方案，強調能完全取代防毒軟體，Malwarebytes的企業級產品Malwarebytes Endpoint Security（MBES），則是主打可與現有的防毒軟體共同使用，同時內建系統清洗機制，能夠還原機碼、系統檔案，以及修復受到感染的檔案。

值得一提的是，雖然因應無檔案型式的攻擊手法，前述的端點防護產品之中，不少也提供了監控或是掃描記憶體內狀態的能力。不過，我們在這次收集與勒索軟體防護相關產品時，代理商數位資安提供了一套名為Morphisec的產品，有別於防毒軟體採用偵測惡意軟體與行為，並進行攔截的手法，這款解決方案反其道而行，讓攻擊者找不到計畫要下手的目標，藉此提供保護。這款軟體也採用了欺敵戰術，在重新排列應用程式在記憶體的內容外，同時也保留了應用程式原始載入的部分，作為吸引攻擊者上鈎的誘餌。一旦發現有心人士試圖針對應用程式的漏洞下手，Morphisec就會阻擋並發出警示。

不過，代理商也指出，Morphisec著重於防範勒索軟體這種未知攻擊，因此，他們也建議還是要搭配防毒軟體使用，由此類資安產品抵擋已知威脅。

提供端點發現的惡意情資，可聯繫防火牆，在此先行阻絕

針對進階威脅，Sophos則是在既有的企業端點防護之外，推出Intercept X解決方案，除了能與同廠牌的防毒軟體在一起執行外，對於不想立即換掉現有防毒軟體的公司，也可以藉著加入這款軟體，強化端點的保護能力。

其中，Intercept X具有3個主要功能，分別是防止有心人士利用漏洞進行攻擊的Exploit Prevention，對於加密檔案行為偵測、檔案的復原機制Crypto Guard，以及事件根源分析Root Cause Analysis等。至於聯合防禦的部分，Intercept X則能與同廠牌的XG次世代防火牆搭配，透過名為Security Heartbeat的同步安全（Synchronized Security）技術，防火牆能依據端點電腦的安全狀態，調整內部對於電腦對外連線的限制。只是相較於其他的產品，Intercept X適用於Windows 7以上的工作站電腦，並不支援伺服器與其他平臺。

將次世代防火牆與端點聯合，藉此達到縱深防禦的效果，還有Palo Alto與Check Point兩個防火牆廠牌，旗下也有端點偵測與反制的解決方案──Traps與SandBlast Agent。

藉由使用者的行為分析，快速找出疑似異常的事件

在上述具有高度與端點結合的端點偵防系統之外，其實企業也可藉由內部存取行為的監控（UEBA），從大量事件記錄中，彙整可能隱而未現的攻擊，像是IBM QRadar、Splunk Enterprise、Micro Focus ArcSight、LogRhythm，以及微軟Operations Management Suite等，都算是這種類型的產品。

其中，上述監控系統，Splunk推出了針對勒索軟體的附加模組，包含：Insights for Ransomware，以及Security Essentials for Ransomware。而Micro Focus則ArcSight的功能，區分各種應用模組，像是ArcSight RepSM Plus威脅情資，與ArcSight Marketplace事件關連性分析，以及ArcSight UBA使用者行為大數據分析等。

但也有像LogRhythm從UEBA跨足EDR的解決方案，企業可選購System Monitor模組，部署在端點電腦運用。

至於微軟的Operations Management Suite，是我們這次徵詢的產品中，唯一以雲端服務提供的事件分析產品。