不可諱言,如果由全體企業選出近年來最難纏、最具破壞力的資安威脅,勒索病毒必然榜上有名、甚至名列前茅,顯見其危害之大。曾有專家提出建議,其實企業不論遭遇勒索病毒,抑或其他病毒、蠕蟲或木馬程式,只要在第一時間察覺網路流量異常,都可藉由拔掉網路線,遏止災害蔓延。
不少 IT 人員也大致認同上述做法,因為一旦發現幾十臺、甚至幾百臺電腦受到感染,形同緊急的救命時刻,也只能趕緊斷網、關電腦,否則根本來不及阻止災厄,也別無其他的計策可施。
但問題來了,斷網、關電腦如同封閉式管理手段,儘管暫時阻止病毒、蠕蟲或其他威脅的持續擴散,但也僅止於此,若未能進一步清除感染源,類似的災情仍可能反覆上演。針對此一棘手難題,Intel® 與旭辰資訊聯手提出最有效的應變方式,意即透過 Intel® vPro™ 平台與旭辰 SmartIT 資產管理系統的相互搭配整合,可讓 Intel vPro平台所具備 的「網路截斷」(Circuit Breaker)功力倍增,集中針對大量可疑電腦進行網路連線關閉,而關閉後 IT 人員還能藉由 Intel vPro 平台所具備的Intel主動管理技術(Intel® Active Management Technology,以下簡稱Intel AMT) KVM功能操控電腦,好整以暇地將遠端電腦內的惡意程式清除殆盡。
遠端關閉電腦連線,控制病毒威脅之擴散
旭辰資訊總經理林明毅指出,以往企業欲進行網路截斷,通常會以 L3/4 Switch Hub 為基礎,再搭配 Sniffer 監控軟體,幫助 IT 人員即時分析哪些 Port 呈現超乎異常的忙碌現象,據此推斷有大量資料正在進行傳遞,疑似為駭客入侵或惡意程式感染,為避免災情擴大,當下唯一的做法,便是把這些 Port 關閉。
事實上,這般做法與當前封城、隔離等抗疫措施頗為類似,意在切斷受感染對象的對外聯繫路徑,避免繼續經由人傳人、物傳物,釀成更大的病毒傳播風暴。殊不知斷網之後,IT管理者便無法及時繼續對這群隔離對象實施管理及控制,這也意謂著,感染源依舊存在於這些個別電腦之內,仍是企業組織的潛在禍患。
因此 IT 人員在斷網之後,仍需藉由到場處理、或請求使用者將個別電腦搬回,才能針對電腦繼續進行診斷與修復。只不過假使這些疑似受感染或遭入侵的電腦散佈在不同據點,恐礙於人員與物資的遠程傳送,加上查找感染根源的曠日費時,勢必拖慢後續處理速度,進而衝擊企業與員工的生產力。
相對於單純從網路層執行封鎖,Intel vPro 平台的主動管理技術(Intel AMT) 可望展現不同於以往的曙光。 Intel vPro平台能夠提供以硬體為基礎的防禦機制,使 IT 管理者得以運用網路截斷功能,將網路流量異常或不正當存取網路資源的遠端電腦關閉網路連線,不僅如此,還可繼續利用 Intel AMT KVM 功能直接操控這些電腦,進入 BIOS 加速診斷問題、即時執行修復,既有助於在病毒、蠕蟲擴散前搶先根除感染源頭,更能大幅降低對日常營運的影響,也可省卻人員差旅或物資傳輸等成本支出。
由於Intel AMT是在硬體層面提供防禦機制,針對單臺 Intel vPro 平台電腦實施網路截斷,但若可疑的電腦臺數過多,仍會為 IT 管理者帶來較為沈重的時間壓力,因此 IT 管理者仍需要搭配其他具備集中控管與流量監控的軟體工具,才能在管理大量電腦時即時掌握流量異常、或不正當存取網路資源等現象。
Intel vPro平台結合 SmartIT,有效對抗勒索病毒
林明毅表示,旭辰的 SmartIT 系統,具中央資料庫與後端管理機制,倘若與 Intel AMT 深度整合,不但可以幫助企業快速辨識出場域內內建的Intel vPro平台的電腦、並集中執行 Intel AMT 功能的啟用事宜,也順勢激活一連串的加值效益,令廣大的 Intel vPro平台電腦用戶受益。考量及此,旭辰與 Intel 合作,促使「Intel vPro平台 + 旭辰SmartIT」整合方案成形。
「Intel vPro平台+旭辰SmartIT」的組合具備優勢互補、一加一大於二的概念,一方面讓 SmartIT 管理觸角從「After OS」往前延伸到「Before OS」, 協助強化Intel AMT的防禦機制。
旭辰的未來規劃加入風險控管,其中以網路流量異常、病毒感染的事件處理為例,IT 管理者可利用 SmartIT 自訂閥值,並負責監控網路流量;假使某天出現網路流量急速飆升到預設的閥值之上,系統便會立即通知管理者,接著由管理者開啟 SmartIT 管理介面,快速探索此一異常現象是由哪幾臺電腦所造成,再搭配 Intel vPro平台的Circuit Breaker 技術將它們的網路連線截斷、形同被隔離。
緊接著,IT 管理者可於斷網後啟動 Intel AMT KVM 功能,從遠端接管這些隔離電腦的底層,深入追查究竟是哪些服務在作亂,適時斬斷相關的攻擊行為,再經由複製、刪除等程序,將系統檔案還原到事發前的正常狀態,意即把所有遭到的感染、或遭到綁架的檔案拉回來。
Intel vPro 平台內建 Intel Core vPro 處理器,是Intel 為企業用戶開發的商務級處理器,能夠提供同級產品最佳的一流效能,內建的安全科技能有助於保護商業資訊,遠端可管理性能有助於降低營運成本,而更好的穩定性則可以幫助減少運算中斷的問題。英特爾(Intel)台灣分公司業務暨行銷事業群商用業務總監鄭智成指出,借助 Intel vPro 平台Intel AMT 的 Out-of-Band 管理技術,才能讓管控觸角直接下探到一般管理軟體所不及的韌體層次,不被受控電腦的電源狀態或作業系統條件所影響,且在電腦斷網後仍可繼續查找並清除感染源;而平台內建的Intel Hardware Shield,在軟體執行時鎖定 BIOS 記憶體,將惡意代碼注入的風險降至最低,防止被植入的惡意軟體破壞作業系統。
足見「Intel vPro 平台 + 旭辰SmartIT」能夠聯手塑造業界快速有效的作業方式,對付諸如勒索病毒等頑強的威脅,堪稱企業 IT 管理者的重大福音。
Intel vPro 平台 https://www.intel.com.tw/content/www/tw/zh/business/enterprise-computers/overview.html
-
Smart IT 產品官網: http://www.smartit.com.tw/
熱門新聞
2024-10-27
2024-10-30
2024-10-30
2024-10-29
2024-10-23
2024-10-29