×
ข้ามไปยังเนื้อหาหลัก

Anti-Ransomware Protection บน Athena EPP

ปรับปรุงเมื่อ

Overview ของ Anti-Ransomware Protection

Sangfor Athena EPP มีระบบป้องกัน Ransomware แบบหลายชั้น (multi-layered) ที่ครอบคลุมตั้งแต่การป้องกันเชิงรุก (proactive prevention) ไปจนถึงการตรวจจับ (detection) และการกู้คืน (recovery) ฟีเจอร์ Anti-Ransomware ตั้งค่าได้ที่ Policies > Anti-Ransomware tab ในหน้า policy configuration

 

Ransomware Protection (Honeypot)

เมื่อเปิดใช้ Ransomware Protection ระบบจะวาง decoy files (honeypot) ไว้ใน crucial system directories บน endpoint เมื่อ ransomware พยายามเข้ารหัส decoy files เหล่านี้ Athena EPP agent จะตรวจจับและ block encryption behavior ทันที ป้องกันไม่ให้ business files ถูกเข้ารหัส นอกจากนี้ เมื่อตรวจพบ suspicious encryption process ระบบจะ backup file modifications และ deletion operations แบบ real-time

ตัวเลือก Enable ransomware honeypot จะทำงานได้เมื่อเปิด Realtime File Protection เท่านั้น สำหรับ Action แนะนำให้เลือก Alert - Fix Manually เมื่อตรวจพบ ransomware จะแสดง alert ที่มุมล่างขวาของหน้าจอ พร้อมข้อมูล Virus Name, Virus Type, File Path, Publisher และ Time Infected ให้ user เลือก Ignore, Remediate หรือ Trust

 

Ransomware Backup

ฟีเจอร์ Enable ransomware backup จะพร้อมใช้งานเมื่อเปิด ransomware honeypot แล้ว โดยจะ backup ไฟล์ที่ถูกเข้ารหัสหรือ system backups ที่ถูก ransomware ทำลาย สามารถเลือก Remove and quarantine the encrypted files เป็น action เมื่อตรวจพบ ransomware

Ransomware Backup

สำหรับ File Restoration สามารถเปิด Enable password authentication for "encrypted file restoration" เพื่อความปลอดภัย การตั้งค่า Backup Repository ประกอบด้วย:

  • Single File Size Limit - กำหนดขนาดไฟล์สูงสุด ค่า default คือ 50 MB (range 1-100 MB)
  • Total Backup Size Limit - กำหนดพื้นที่ backup ทั้งหมด ค่า default คือ 2,000 MB (range 1,000-10,000 MB)

Endpoint users สามารถ restore encrypted files ได้ผ่าน Athena EPP agent โดยเลือก Restore Encrypted Files และเลือก restore ไปยัง Original Location หรือ Specified location

 

Snapshot-Based Ransomware Recovery

ฟีเจอร์ Enable snapshot-based ransomware recovery ใช้ Windows VSS (Volume Shadow Copy Service) เพื่อสร้าง snapshot ของระบบ เมื่อ ransomware bypass virus detection policies ได้สำเร็จ ระบบจะ restore endpoint จาก snapshot ได้ทันเวลา ลดผลกระทบต่อ business operations กำหนด Max Ratio of Total Backup Size to Disk Space ได้ (default 10%) ฟีเจอร์นี้รองรับ Windows Server version หลัง 2003 เท่านั้น

 

RDP Secondary Authentication

การโจมตีผ่าน RDP/SSH brute-force เป็นหนึ่งใน attack vectors ที่พบบ่อย จึงแนะนำให้เปิดฟีเจอร์นี้ ใช้งานได้กับ Windows Server และ Linux endpoints

สำหรับ Windows endpoints สามารถเลือก:

  • Required for Remote Access - ต้อง authenticate ก่อนเข้าถึง server ผ่าน RDP
  • Required for Trusting Files - ต้อง authenticate ก่อน trust files บน server

กำหนด Secondary Authentication Password ได้ทั้ง Default Password (6 หลักสุดท้ายของเบอร์มือถือ admin) หรือ Custom Password ตั้ง Schedule เพื่อกำหนดช่วงเวลาที่ใช้ secondary authentication และ Whitelist สำหรับ IP ที่ไม่ต้อง authenticate

สำหรับ Linux endpoints จะใช้ SSH Secondary Authentication โดยต้องเปิดใช้ keyboard-interactive authentication เมื่อ hacker เข้าถึง server ได้ Athena EPP จะ lock screen เพื่อป้องกัน

 

Secondary Authentication for Trusting Files

ป้องกัน hacker จากการเพิ่ม malicious files เข้า trust list ของ Athena EPP เมื่อ hacker login เข้า server ที่ protected โดย Athena EPP และพยายามวาง ransomware ไฟล์จะถูก block เพราะไม่ trusted หาก hacker พยายามเพิ่มเข้า trust list จะต้องผ่าน secondary authentication (6-digit password) ก่อน ฟีเจอร์นี้ใช้ได้กับ Windows และ Linux endpoints

 

Trusted Processes

ฟีเจอร์ Trusted Processes ปกป้อง server system หรือ specific directories บน server โดยอนุญาตให้เฉพาะ trusted processes เท่านั้นที่สามารถ run, read และ write ได้ สามารถเปิด RDP access protection ร่วมด้วย

ขั้นตอนการตั้งค่า Protect the System:

  1. Perform virus scan - Scan endpoint ให้แน่ใจว่า clean
  2. Enable process learning - เปิด trusted process whitelist เลือก OS เป็น Protected Objects กำหนดระยะเวลา learning 1-30 วัน
  3. Confirm trusted processes - ตรวจสอบ learned processes ลบ untrusted processes และเพิ่ม trusted processes ที่ไม่ได้ learn สามารถเพิ่มผ่าน Import template (Web Server: Apache, Nginx, Tomcat, WebSphere / Database: mySQL, SQL Server, Oracle), Upload process file หรือ Add manually
  4. Apply protection - เปิดใช้งาน protection โดย untrusted processes จะถูก block หรือ get notification

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น