企业五道安全防线防御病毒

　　这几类攻击行为模式大的相同点是隐藏自己的样貌与足迹，因此靠已知攻击手法作为防御基础的工具，时常无法有效阻挡攻击。

　　正常工具的不当使用及各种回避手法，让端点威胁防御更具挑战性，例如恶意程式会先将自己压缩或加密，借以躲避传统特征码检查工具的扫描;或者是攻击者透过醒目的视窗掩护隐藏的视窗，或是合法标准的通道(HTTP、 HTTPs、SMTP、DNS等)夹带恶意的指令以取得控制权，在所有攻击活动中，利用PowerShell等系统内建工具进行攻击的比重越来越高，超过一半是Non-Malware。

　　这就是为什么对于新型态的攻击，不能再用法家思想「诛其行不诛其心」的旧方法，而要能洞悉这些一连串的动作背后可能是恶意程式要发动的先兆，掌握关键时刻预先将其封锁或是直接删除，但要具有判断恶意攻击预兆的能力，其背后运作需要很多科技的辅助，例如大数据分析能力、AI演算法以及丰富的资安情资等缺一不可。

　　该如何辨识一个真正能防范未知威胁的工具?建议可以从可视性、行为分析能力以及情资大数据三个面向来评估。首先要详实收集完整的活动纪录能力，第二是要进行串流分析行为，后辅以有威胁情资与云端大数据作为即时参照。活动纪录相对容易，但要注意采无偏见的端点活动收集，不要预判某些行为很正常无需纪律。串流行为分析就比较复杂，通常由行为模式分析取代传统的特征方式下手，不只看单一行为必须连动组合行为做为判定其意图的依据。

　　另外，针对攻击行为模式与攻击文本下手，而不是单靠档案本身是否具有恶意特征或是单一时点的行为判断，这种方式仰赖威胁猎捕(Threat Hunting)技术对行为进行挖掘，分析引擎可专注于新型攻击之行为模式的建立，后再与威胁情资进行关联以辨识威胁本质。

　　归纳以上的观点，建议可建立五道安全防线来防御病毒与骇客的攻击：

　　Layer 0：海量的端点活动纪录并寻求信誉良好的威胁情资辅助

　　Layer 1：具备和传统防毒相同的恶意程式侦测及阻挡能力

　　Layer 2：在端点上的即时流水线式分析

　　Layer 3：进阶的勒索病毒防御

　　Layer 4：运用沙箱强化未知档案之辨识能力