18. 某業者近期頻繁遭受勒索軟體攻擊，其攻擊路徑多數是透過員工端點電腦感染後擴散。在強化端點安全防護時，除了傳統防毒軟體外，可評估導入下列何種技術以有效偵測並阻擋未知勒索軟體行為？
(A) 加強網路層防火牆規則設定
(B) 於核心網路部署入侵偵測系統(Intrusion Detection System, IDS)
(C) 導入端點偵測與回應(Endpoint Detection & Response, EDR)解決方案
(D) 導入增強寫入過濾器(Enhanced Write Filter, EWF)等 系統保護機制

這題的正確答案是 (C) 導入端點偵測與回應(Endpoint Detection & Response, EDR)解決方案。

以下是詳細解析，說明為何 EDR 是針對「未知勒索軟體」最有效的端點防護技術：

正確選項解析

• Option (C) 導入端點偵測與回應 (EDR) ✅

  • 核心技術： 行為分析 (Behavior Analysis) 與異常偵測。

  • 為何有效：

    1. 超越特徵碼： 傳統防毒軟體依賴「病毒碼（Signatures）」，只能抓到「已知」的惡意程式。變種或全新的勒索軟體（Zero-day）很容易繞過防毒。

    2. 監控行為： EDR 不看檔案長得像不像病毒，而是監控程式**「在做什麼」**。例如：某個程式突然在短時間內大量開啟並加密文件、刪除陰影複製 (Shadow Copies)、修改註冊表啟動項。

    3. 主動阻擋： 一旦偵測到這些「勒索行為」，EDR 可以立即凍結該程序、隔離受害電腦，防止災害擴大。這正是對抗未知威脅的關鍵。

錯誤選項解析

• Option (A) 加強網路層防火牆規則設定

  • 限制： 防火牆運作於網路層，只能阻擋不合規定的連線（例如阻擋連線到惡意中繼站 C2 Server）。但勒索軟體一旦進入電腦開始加密檔案，這些「本機磁碟寫入行為」是防火牆完全看不到也擋不住的。

• Option (B) 於核心網路部署入侵偵測系統 (IDS)

  • 限制： IDS 主要是監聽網路封包中的攻擊特徵。與防火牆類似，它無法深入端點電腦內部去偵測檔案被加密的異常行為，且對於加密流量的檢測能力有限。

• Option (D) 導入增強寫入過濾器 (EWF) 等系統保護機制

  • 限制： EWF (Enhanced Write Filter) 是一種將磁碟寫入重新導向到記憶體的技術，重開機後資料會還原，常見於 Kiosk、ATM 或公用電腦。

  • 不適用性： 對於一般需要儲存文件、修改資料的「員工辦公電腦」來說，使用 EWF 會導致工作資料無法儲存，嚴重影響作業，因此不是通用的企業端點防禦手段。

總結

要對抗未知且行為模式明顯（如大量加密）的勒索軟體，必須從「行為面」下手，而 EDR 正是專門為此設計的端點防護利器。