曾一手創立Akamai客戶安全事件應變小組的Akamai日本暨亞太區安全部門技術長Michael Smith表示,面對日新月異的網路惡意攻擊,企業在事件應變處理作法上,也開始有了和以往不同作法,從以前強調迅速應對攻擊本身,將損害降至最低,到現在開始著重建立企業IT系統的快速復原能力(Resilience ),以快速恢復企業原本正常服務運作。

圖片來源: 

Akamai,

最近幾天以來,名為WannaCry(想哭)的勒索軟體在全球各地肆虐,爆發大規模Windows裝置感染潮,上百個國家受駭,臺灣更成為重災區。而企業平時面對網路惡意攻擊的事件應對能力,也成了能不能安然度過此波攻擊的關鍵。曾一手創立Akamai客戶安全事件應變小組的Akamai日本暨亞太區安全部門技術長Michael Smith也提出,面對日新月異的網路惡意攻擊,企業應該優先採用哪些因應對策。

WannaCry勒索軟體攻擊上周五在全臺傳出多起災情,儘管全球許多國家都是受災區,但有資安業者發現,臺灣是駭客鎖定的少數幾個主要攻擊目標國家之一,甚至去年爆發Mirai殭屍網路病毒感染潮時,臺灣也成為了不少殭屍網路裝置的重要輸出國。過去幾年來,臺灣同時更是APT攻擊發生最頻繁的國家之一,為何臺灣常常成為全球駭客攻擊鎖定的目標?

Michael Smith表示,這次WannaCry勒索軟體攻擊事件,之所以能短時間在全球釀出重大災情,在於WannaCry和去年Mirai兩者都是改採用主動散播病毒方式,只要能夠感染企業內網其中一臺電腦設備或裝置,就能利用自動掃描內網的方式,來迅速感染其他設備,使得感染規模在短短幾天內就迅速擴大,所以影響才會如此嚴重。

對於臺灣常常淪為駭客攻擊的首要目標,Michael Smith也解釋,部份原因在於臺灣向來以資訊硬體製造為主,目前市面上許多企業採用的IT系統或設備,生產製造地都在臺灣,這些在本地生產製造的設備,也大量提供給臺灣企業自己使用,因為這些裝置使用的都是相同控制器和軟體,如閉路電視(CCTV)攝影機等,只要感染一臺,就很容易能擴大感染其他相類似的裝置,因此駭客很容易就能以臺灣為據點,來建立自己的殭屍網路大軍,伺機對全球發動網路攻擊。

「臺灣企業容易遭駭客覬覦的另一原因,在於一般使用者遲遲沒有建立良好資安的使用習慣。」Michael Smith表示,以WannaCry勒索事件為例,這次也發現不少臺灣企業內部人員,至今還在使用已無提供更新支援的Windows XP作業系統,造成企業資安門戶敞開,或是即使有安裝較新Windows版本的作業系統,卻沒有定期更新軟體來修補漏洞,因此即使微軟早在距今2個月前,就針對這次爆發的WannaCry漏洞發布修補更新,還是有企業因為未更新而被勒索。「這些受駭企業的大多數,都是因為沒有建立良好的資安使用習慣惹得禍。」他說。

也正因為臺灣容易成為駭客下手的目標,臺灣企業面對外來惡意攻擊威脅的風險,也較其他國家還來得更高,企業平時的事件緊急應變能力也成了能不能安然度過此波攻擊的關鍵。曾一手創立Akamai客戶安全事件應變小組的Michael Smith表示,雖然面對事件爆發的當下,如這次WannaCry勒索軟體攻擊,企業應該優先採用的措施,就是先斷開網路避免損害持續擴大,但他也坦言,現在許多企業的內外部重要服務都需要隨時保持連網,一旦無法使用網路,以提供穩定服務,甚至可能造成比支付贖金更嚴重的後果。

所以Michael Smith也指出,近來,企業在面對攻擊發生時的事件應變(Incident Response )處理作法上,也開始有了和以往不同作法,從以前強調迅速應對攻擊本身,將損害降至最低,到現在開始著重建立企業IT系統的快速復原能力(Resilience )或是提供無網環境的替代方案等,如改用人工方式作業等,以快速恢復企業原本正常服務運作。

就如同這次發生的WannaCry勒索軟體攻擊事件,Michael Smith認為,這類攻擊事件未來只會越來越多,而不會減少,即使資安防護能力再好的大型企業,也難保也不會有受駭的一天,所以他也觀察到,比起應付勒索軟體多變攻勢,近來有企業試圖採用以新機汰換舊機的方式,不再使用受染的設備,而是將重要儲存資料,定期備份到另一處與網路完全實體隔離的儲存環境,確保一旦往後設備受感染後,只須將原先備份的資料,同步轉移到新設備上,盡可能短時間內恢復繼續提供服務。

Michael Smith也提出警告,勒索軟體攻擊未來在臺灣只會更加頻繁出現,而不會減少,再加上駭客攻擊手法日新月異,駭客可能每天就更換一種的攻擊手法,企業必須要具有判讀及預測駭客攻擊行動的能力,例如從駭客現有攻擊手法中,試著分析來預測他們接下來的攻擊行動,以便於能快速應對。

面對來勢洶洶的網路攻擊威脅,Michael Smith也建議,臺灣企業已經不能只單靠一家公司的資安人員或是資安小組單打獨鬥,而是到了非得靠建立區域性的資安聯防不可,透過在不同企業或產業之間建立情資共享的平臺,才能夠快速應對外在威脅。

Michael Smith也提到全球各地都有成立類似的攻擊情資分享中心,可以在當遇到如像WannaCry或Mirai攻擊事件發生時,早先一步透過彼此的情資網路,在最快時間內,從蒐集到的攻擊樣本進行分析研究,以了解對手的攻擊手法,以找出因應方法。他也表示,香港、新加坡都已成立攻擊情資分享中心,臺灣接下來也打算成立自己的資安聯防中心,這些都有助於臺灣企業更快掌握攻擊情資,加快應對。


Advertisement

更多 iThome相關內容