EDR 無效嗎﹖企業資安失手的癥結為何﹖
Qilin ransomware group(麒麟)是近年活躍的勒索組織之一,採用「勒索即服務(RaaS)」模式運作,使攻擊具備高度規模化與商業化特性。
文.劉虹君
當企業遭受 Qilin(麒麟)勒索攻擊時,最常出現的反應是困惑:「我們有EDR、有 XDR、有 MDR,為什麼還是失守?」甚至在某些案例中,企業同時部署了 Kaspersky 防毒軟體,卻仍在短時間內出現全面性災難:端點被入侵、AD 權限遭竊、NAS 與核心伺服器遭加密封鎖。 問題真的出在工具嗎?如果只停在「EDR 無效」,恐怕會錯判整個攻擊本質。這類事件真正揭露的,是企業資安思維仍停留在上一個世代。
EDR 能看見攻擊 但不等於能阻止攻擊
EDR(Endpoint Detection & Response)的核心在於偵測與回應,而非絕對預防。現代勒索攻擊多半不依賴傳統惡意程式,而是透過釣魚信件取得帳號,並使用 PowerShell、SMB、RDP 等合法工具,在內網進行橫向移動。
這種「Living off the Land」攻擊,使行為看起來與正常操作無異。當攻擊建立在合法憑證之上,EDR 所看到的,往往只是「正常使用者」。因此問題不在工具無效,而在於企業將偵測工具誤當成防禦體系。
攻擊入口在端點 而不是主機
多數企業將防禦集中在伺服器,但攻擊幾乎總是從「人」開始。典型路徑是:員工點擊釣魚信件 → 憑證被竊 → 進入內網 → 橫向移動 → 取得高權限 → 全網加密。
如果端點缺乏完整防護、沒有 MFA、沒有權限限制,那麼主機再安全,也只是最後一道失守點。企業真正暴露的,不只是系統漏洞,而是「人與權限」。
橫向移動才是災難的真正開始,許多企業認為主機不對外就安全,但一旦攻擊者進入內網,關鍵就在橫向移動能力。如果缺乏網段分割(Segmentation)、零信任(Zero Trust)、最小權限(Least Privilege),那麼一個端點失守,就可能導致整體系統崩潰。這不是單一產品問題,而是整體架構問題。
在多數事件中,都可以追溯到異常登入紀錄、可疑指令行為與橫向連線,告警早已出現,只是沒有行動,但這些訊號常被忽略,原因包括告警過多、人力不足、缺乏判讀能力,因此問題不只是技術,而是治理能力。
企業從未設計「失守後的世界」
當勒索真正發生時,企業才發現備份未隔離、NAS 可被刪除、AD 一旦失守即全網失守、缺乏不可變儲存與重建演練。這時才意識到:防禦只是開始,存活才是關鍵。
自主韌性是資安的第三層能力,企業必須建立第三層能力:Survive & Reconstruct。
自主韌性不是備份,而是資料與權限分離、不依賴單點信任、防止污染、可重建的架構。其核心不是「防得住」,而是「打不死」。
供應鏈的風險外溢
一家企業的失守,可能引發製造停擺、金融信任崩潰、醫療中斷與國防風險,形成連鎖效應。企業資安已是國安問題。沒有企業韌性,就沒有數位主權。企業管理層真正該問的問題是:是否能快速恢復、是否能重建資料、是否具備不可破壞架構。
在勒索攻擊高度產業化的今天,企業若仍將資安視為工具問題,本身就是風險。Qilin 的成功,不在技術,而在企業從未設計失守。備份可以回到過去,但自主韌性才能走向未來。
資安專家/卓越媒體專欄作家
