品牌新訊-Micro Focus






預防“勒索病毒 (勒贖軟體Ransomware)”於未來, 真的很簡單--做好文檔存取稽核即可


 

世界上所有的病毒的識別碼 Signature都是在判讀過去曾經發生過的病毒, 防毒程式所以才能偵測出病毒的識別碼, 再加以防治;因此, 一流的防毒公司會一再強調病毒發現後, 可在最短時間內, 即可開發出解病毒程式。因此, 新的/變種病毒在感染發生時, 防毒程式不可能有相對應的識別碼, 所以無法防護未來隨時可能爆發的“勒索病毒 (勒贖軟體Ransomware)”。

 

  當我們從“檔案存取稽核”角度來看“勒索病毒 (勒贖軟體Ransomware)”的行為, 在新病毒的識別碼未被發現前, 即可透過病毒感染與攻擊的行為特徵, 透過主機/工作站產生的檔案存取稽核軌跡, 來偵測出全世界以前發生&未來可能爆發的“勒索病毒 (勒贖軟體Ransomware)”。

 

  以下是“勒索病毒 (勒贖軟體Ransomware)”一定會進行的行為事件:

1. 勒索病毒先搜尋整個硬碟內的檔案;檔案存取稽核軌跡記錄顯示有特定帳號在短時間大量執行“讀檔”"行為事件

2. 勒索病毒將嘗試新增一個使用者, 並加入 Administrator管理權限;帳號異動稽核軌跡記錄顯示有特定帳號在新增一個使用者帳號, 並授於這個帳號繼承 Administrator管理權限的行為事件。

3. 勒索病毒開始執行加密檔案行為;檔案存取稽核軌跡記錄顯示有特定帳號在短時間大量執行“寫檔”行為事件

4. 勒索病毒僅會以現有取得的帳號, 無論存取權限大小為何, 將不會進行辨識, 即會執行全面的“讀取/寫入”活動;檔案存取稽核軌跡記錄有可能發生“讀取/寫入失敗”的行為事件

5. 勒索病毒會有刪除檔案行為;檔案存取稽核軌跡記錄顯示有特定帳號在執行“刪檔”"行為事件

6. 勒索病毒會有嘗試改寫作業系統機碼行為;系統稽核軌跡記錄顯示有執行對系統檔進行“寫檔/刪檔”"行為事件

 

  因此 MicroFocus 將可針對以上6點個“勒索病毒 (勒贖軟體Ransomware)” 行為事件進行稽核軌跡記錄下來, 並匯整出報告, 即可進行人工判斷。當然 MicroFocus 也可以提供系統自動判定後, 並發出最即時/確實/可靠的 4G簡訊告警或 E-mail , 在第一個時間通知資安負責人進行處置。


  所以, 預防“勒索病毒 (勒贖軟體Ransomware)”於未來, 真的很簡單—採用MicroFocus 檔案/系統事件稽核軌跡記錄產品即可。可持續性的將不正常檔案存取的行為軌跡記錄/分析/告警, 不需要定期更新病毒碼且永久有效, 在剛開始感染病毒時, 即可被偵測出來的解決方案。檔案/系統事件稽核軌跡記錄報告如下圖:

 

  零壹另有提供網路阻斷產品, 當資安負責人接到檔案異常存取稽核軌跡的簡訊告警通知時, 即可下達網路阻斷指令, 可完全阻隔“勒索病毒 (勒贖軟體Ransomware)”被傳遞給其他電腦或主機, 即可避免在內網被擴散開。

  

  零壹還提供文檔保護與管理產品, 確實做好先前的文檔保護與管理, 即可將“勒索病毒 (勒贖軟體Ransomware)”所引發出來的災難, 降至最低。

   

洽詢電話:(02)2656-5656 分機825 陳小姐,  IT方案事業處



    馬上按讚,加入零壹科技粉絲頁