《企業端點完美防禦》19-建立安全堡壘的第一步：卡巴斯基端點防護進階版

前面幾篇講了許多防範惡意程式的理論，接下來進入實際建置步驟。為了抵抗惡意程式，多數公司都會安裝防毒軟體，無論是用個人免費版(雖然個人免費版用在企業不合法，但你懂的…)、微軟內建防毒、還是ClamAV，個人版和企業版的差別在於：企業板可以使用中央管理主控台，監控企業內部電腦的安全狀況。

早期台灣大多使用賽門鐵克、趨勢科技、Trellix(舊稱McAfee)這三家端點防護。近年來因為賽門鐵克被博通收購，麥克菲先被賣給Intel、後來又賣給私募基金TPG、最後和Fireeye合併變成Trellix，只有張明正創辦的趨勢科技始終維持在自己手上。(2024/8/9：趨勢科技傳出出售消息，這家老牌防毒軟體也要落到別人手上了。)

近年隨著人工智慧、與EDR、MDR、XDR、紅隊演練議題興起，許多廠商開始搶食資安大餅，參加台灣資安大會總會看見形形色色的廠商推出相似的服務。在這些方案中，我們該如何挑選適合公司的方案？

現在的防毒軟體不只是比誰抓到病毒快，在進階持續滲透、零日漏洞增加的環境下，就必須仰賴強大的情報收集、分析能力，更要有將情報轉化成產品的能力。就算內心有再多政治傾向，我們必須承認美國、俄羅斯、以色列、中國這幾個國家在處理情報能力是站在世界的頂點；我們更該覺得驕傲，台灣在這一塊也是有專家存在。而駭客不管任何人的政治傾向，他們眼中只有利益，因此挑選產品時盡量瞄準以威脅情資為中心的廠商、如果和政府、國際刑警緊密合作那會更好，才能在第一時間處理威脅。

美國：CrowdStrike、Cybereason、Microsoft、Mandiant、Trellix、Cisco
俄羅斯：Kaspersky、Dr.Web
以色列：Check Point
中國：奇安信、360企業版
台灣：Devcore(紅隊演練專家)、TeamT5 杜浦數位安全(藍隊與威脅情資專家)

在經過產品搜尋、技術研究後，選擇以卡巴斯基來當作範例，這是因為公司曾經感染美國國安局間諜武器EquationDrug。那是一個平常的下午，當時公司使用的是Trellix，我在電腦安裝卡巴斯基個人版玩的時候，網路防護模組一直阻擋從產線發來的網路攻擊。進到產線找到這台安裝Trellix的電腦，報告落落長列出一大串間諜軟體，通通無法移除，回到管理主控台一看：

當時公司並沒有做好軟體漏洞修補管理，沒有WSUS、也沒有方法隨時更新將其他軟體，所以EquationDrug在公司蔓延，當時公司只有我一個剛接手前輩留下來的爛攤，花了好長時間安裝好永恆之藍修補程式、使用卡巴斯基惡意軟體移除工具清理乾淨。

我們的電子看板主機，廠商維修回來後使用ESET掃描到bootkit，也只能偵測、無法移除，也是靠該工具將惡意程式移除；畢竟只有敵人最了解敵人，而敵人的敵人就是朋友！
延伸閱讀：Equation: The Death Star of Malware Galaxy、Equation Group: The Crown Creator of Cyber-Espionage。

2004年我在老爸辦公室去軟體王載防毒軟體玩，當時他們用御三家其中一家，我又剛好載到卡巴斯基個人版，就無聊掃了掃老爸電腦，然後抓出一大票惡意程式，那時就已經被這款俄羅斯來的防毒軟體給震撼到了，可卻從來沒機會使用企業版。2021年中我終於受不了Trellix這個廢到笑的端點防護，在卡巴斯基官網留下資料後，某天突然接到台灣卡巴斯基業務的電話前來拜訪，才有了從Trellix換成卡巴斯基的機會。

卡巴斯基在台灣有分公司，配合的白金經銷商為禾滔科技、冠翰科技、資迎科技，可根據自己的所在地尋找這幾家經銷商，他們有能力處理第一線客戶問題，也與原廠關係緊密，可以得到第一手消息。

講完一連串神奇的事情，讓我們回歸正題來看卡巴斯基端點防護要怎麼建立。雖然現在有雲端主控台，不需要自己架伺服器，但是雲端主控台與地端的同步是15分鐘一次，當誤判、誤擋發生時，這樣的等待時間很煎熬，且在產品展示時，任何一家雲端主控台都有不穩定的情況(包括CrowdStrike展示時出現無法登入主控台)，因此個人還是偏好地端架構。

雲端主控台架構。來源：https://support.kaspersky.com/KESB/12/en-US/198657.htm

地端主控台架構。來源：https://support.kaspersky.com/help/KSC/14.2/en-US/4531.htm

因為人工智慧的發展，許多資安廠商、包含那些號稱是資安的廠商都吹噓自己用AI對抗未知威脅
比起以前的傳統防毒還猛云云
「偵測未知威脅」這句話有個邏輯上的錯誤
既然是未知威脅、怎麼可能被偵測？
既然被偵測、怎麼可能是未知？
沒有單一方案可以抵擋現今複雜的威脅
因此「多層次防護」才是企業該做的事情

多層次防護才是保護企業的方法。來源：https://www.kaspersky.com/enterprise-security/wiki-section/products/multi-layered-approach-to-security

卡巴斯基端點防護有許多功能
如果好好調整，管理員可以完全不用介入
讓軟體自動偵測、自動移除病毒
這邊講講調整卡巴斯基端點防護的小技巧
這些設定不是越高越好
而是要根據企業運作狀況調整
唯一要注意的是鎖頭要鎖
避免同仁電腦的設定被竄改

KSN的偵測會以UDS開頭，建議開啟增加偵測率。若不想要將資料回傳到KSN，到防火牆設定LAN to WAN規則

以惡意程式行為進行判斷阻止檔案活動，共用資料夾加密防護有助於避免勒索病毒透過SMB擴散

主機入侵防禦的報法是PDM，以上面這樣的方式調整會增加誤報率，但有鑑於具數位簽章的惡意程式越來越多、無法辨識的應用程式也丟到高限制群組，若誤判再加入白名單，確保安全最大化

大多廠商的回溯行為是根據磁碟區陰影複製(Shadow Copy)，卡巴斯基是用記憶體去回溯。無論哪種方法，回溯機率大約只有50%，不要太相信這個方法

掃描壓縮檔大小很難兩全其美，一般來說15MB就夠了，遇到壓縮炸彈可以逃過容量限制，但不限制又會影響平常同仁作業，多提醒同仁不要亂點比較有用

篩選功能關閉，重新命名有時誤判，會導致同仁寄出的檔案在outlook寄件資料夾無法開啟；刪除附件則是太過激進，誤判的話對方無法收到附件

正確的防火牆設定，應該是確認哪些電腦需要使用哪些服務，其他的關閉。卡巴斯基防火牆是以群組的方式分類，將相關應用程式放到適當的群組，完成連線的控管。要調整細部設定，要到群組裡調整。

當年就是靠著個人版的網路威脅防護模組抓到EquationDrug，只有俄羅斯能打趴美帝

開啟AMSI防護後，可支援微軟惡意軟體防護掃描介面。參考：https://support.kaspersky.com/help/KESWin/12.5/zh-Hant/173854.htm

端點偵測器已經被Network Agent取代，因此不必勾選。如果安裝KES與Agent組合包(供應商預設也會幫忙建立這個組合包)，則可以把端點防護當作偵測器

MDR是卡巴斯基針對缺乏專業資安團隊公司的代管服務，留到下一篇講解。請參考：https://www.kaspersky.com/enterprise-security/managed-detection-and-response

KATA是卡巴斯基針對公司內部所有網路、端點活動的分析平台，留到下一章講解。請參考：https://www.kaspersky.com/enterprise-security/anti-targeted-attack-platform

只要符合記錄審查的規則，就會通知管理員。請參考：https://support.kaspersky.com/help/KESWin/12.5/zh-Hant/235314.htm

應用程式控制有兩種模式：允許清單、拒絕清單。允許清單指的是「在允許清單內的程式才能執行，其他禁止」，拒絕清單指的是「在拒絕清單內的程式才禁止，其他程式可以執行」。為了防止限制嚴格的公司使用允許清單後無法啟動作業系統，允許清單有一個內建的白名單叫「黃金映像」，這是系統起動必須使用到的檔案。詳細說明可參考：應用程式控制