台灣是高科技製造業之島以及地緣政治第一線,面臨的網路攻擊與日俱增。根據杜浦數位2025年報告回顧,中國舉國在培養網路攻擊能力,這樣的環境造就了許多進階持續威脅組織(Advanced Persistent Threat, APT),甚至看上去是正規資安公司,實際上是承包政府網軍的公司。這樣以外包公司形式承接政府案子當打手在共產國家很常見,如俄羅斯的Impulse Group,反觀西方國家級駭客都是政府正規軍當打手,例如美國國家安全局的方程式組織。
如果我們想深入研究、抵禦只針對台灣的APT,杜浦數位的ThreatSonar Anti-Ransomware是一個不錯的平台,在今年資安大會被業務拉去留資料後,本次POC由力麗科技負責,力麗科技同時也是Fortinet台灣代理商。
ThreatSonar Anti-Ransomware是純EDR代理程式(Agent, Sensor),不包含防毒軟體功能,如果企業本身有防毒軟體需要將安裝路徑、程式執行檔的SHA256加入白名單。POC則是以離線方式進行,運作原理是執行ThreatSonar,他會收集主機相關LOG檔,並與IoC檔案進行比對,共有6個等級,只有第6等是真正的威脅,雖然POC時第4級以上就會被視為具有潛在風險,但如果是以健檢的角度,所有等級進行分析才能確保環境真正安全。
接下來就是POC時的截圖,逐一說明之。















結果:
如果掃描後發現第6等級的威脅不用驚慌,可以將結果寄給現有廠商進行事件調查,沒有任何一個方案可以防禦全世界的威脅,往好處想,藉由POC在真正損害還沒發生前就發現隱藏威脅,也是一個巨大的好處。
對於此類純EDR + MDR的廠商我沒有琢磨太多,這類廠商缺乏一條龍服務,不像一線廠商擁有防毒軟體、EDR、MDR、惡意程式逆向拆解完整部門(以代理商的說法是看企業想要防禦的角度,推薦對應的產品,但如果公司客戶遍布全球,就應該購買頂尖情資方案,盡量抵禦全世界的威脅,而非針對亞太地區),且安裝時需要留意是否與原本方案衝突,也是這類廠商的劣勢。或許未來以情資的方式匯入防火牆,如Kaspersky Network Security Threat Data Feeds對已經購買他牌資安方案的客戶較為友善。






