專訪：以魔法打敗魔法？Thales 用加密技術揪出勒索軟體

「從今年開始，Thales 除了持續專注加密技術的研發之外，我們也將以研發加密技術的多年經驗為基礎，推出名為 CipherTrust Ransomware Protection 的勒索軟體防護解決方案，徹底解決特徵式防護方案無法根治的勒索惡意軟體！」

來自新加坡的 Thales 亞太地區暨日本銷售工程師總監陳尚岩，在今年的 《2023 資料安全－亞太巡迴系列論壇－台北站》接受本刊專訪時，丟出令人相當驚訝的消息。

企業資料安全的附骨之蛆

勒索軟體自 2005 年開始猖獗以來，18 年來始終站穩企業資訊安全首患的位置，至今仍是全球多數企業仍持續受害及關注的問題。

為何勒索軟體如此難以根治？從駭客的角度來看，勒索軟體已經形成完整的供應鏈，每個入侵階段都有現成的工具，入門極為容易；從犯罪的角度來看，勒索軟體的利益驅動力極大，散佈勒索軟體加密檔案並進行贖金要脅的動作，不但本小利大，透過加密貨幣收取贖金的方式更以難以查緝罪犯。

同時，勒索軟體也不斷發展出雙重，甚至三重的勒索手法，導致受害企業很可能一隻牛被剝三層皮，自然成為網路罪犯的最愛。

然而，全球企業每年投入龐大金額在資訊安全上，為何依然飽受勒索軟體威脅？

「是的，企業每年投資許多金額在資訊安全產品上，多半是防毒軟體、防火牆或 IPS 等資安產品，但勒索軟體的攻擊面向並不單一，往往是針對式攻擊混合社交工程，很可能逃過傳統特徵式辨識的安全工具的掃描。」陳尚岩指出傳統資安工具面對駭客精心打造的攻擊武器常遭遇有心無力的窘境。

以全新角度偵測勒索軟體

「因此，Thales 以全新角度重新思考該如何有效防禦勒索軟體，」陳尚岩表示 Thales 與其他資安廠商相比，有著相當獨特的優勢，「不論勒索軟體從哪一些管道入侵、感染系統，最終都要進行加密檔案的動作，才能完成最關鍵的一步。而 Thales 長期研發加密技術，非常瞭解加密讀寫的 I/O 動作特徵，因此能夠有效辨識出不正常的加密讀寫，進而阻止勒索惡意軟體完成最後一步。」

陳尚岩解釋道，Thales 在今年推出的 CipherTrust Ransomware Protection（以下簡稱 CTE-RWP），是一套安裝在 Server 端的軟體產品，能夠在系統層面監視所有程序 (Process) 的磁碟讀寫 (Disk I/O) 動作，一旦察覺有不正常的加密覆寫檔案的動作，CTE-RWP 便會立刻阻擋並發出警告。

「許多勒索軟體使用自己的加密演算法，若不是像 Thales 在加密技術方面擁有豐富的經驗，一般的端點防護軟體難以分辨某個程序究竟是一般的讀寫或是加密讀寫。」陳尚岩點出 Thales CTE-RWP 的特點，在於不需要建立軟體特徵庫來阻擋入侵，而是無差別阻擋不正常的加密讀寫動作，便能夠有效保護企業資料免遭駭客毒手。

搭配資料安全方案 搶先勒索軟體加密自己

不過，任何偵測方案，都會有誤判與疏漏的可能性，光是偵測磁碟讀寫動作就足夠嗎？

「在保護資料方面，更是 Thales 的長項，」陳尚岩表示：「勒索軟體或其他惡意軟體往往需要取得更高的系統權限方能成功入侵，而 Thales CipherTrust Data Security Platform (CDSP) 可針對企業的關鍵資料設定細緻的讀寫控制，確保合法使用者進行合法的操作，避免高權限帳號在企業內部如入無人之境。」

透過 CTE-DSP，企業能夠在背景端加密存放於資料中心或雲端平台上的資料，即便駭客成功入侵系統盜取資料，也因為無法取得解密金鑰，導致竊取到的資料毫無價值。

只有魔法才能打敗魔法

Thales 過往以先進完善的加密安全方案，保護企業資料安全。現在，Thales 從加密技術出發，來揪出濫用加密技術的勒索軟體，可說是「以魔法擊敗魔法」的精彩反擊。未來，Thales 是否將繼續以加密技術帶來更多的驚喜呢？