勒索軟體防不勝防，掌握威脅情資才能聚焦防禦行動

勒索軟體是企業不得不重視的資安風險，TeamT5杜浦數位安全執行長蔡松廷（網路暱稱TT）在今年資安大會中表示，勒索軟體是最難對抗的攻擊種類，偏偏勒索軟體攻擊事故越來越多，資安長不得不重視此類風險。

更多駭客投入勒索軟體攻擊，形成成熟犯罪生態圈
蔡松廷觀察，勒索軟體攻擊上升原因是，「這種模式對駭客而言太好賺了。」因此，駭客只要有足夠能力，多會往勒索軟體模式發展，形成一個網路犯罪生態圈。

這是一個勒索軟體服務化RaaS（Ransomware as a Service）的網路犯罪生態圈，其中，手握企業漏洞、憑證，甚至是內部存取權的駭客，會將這些內容賣給開發勒索軟體的駭客。漏洞及勒索軟體，會再被轉手到專門負責攻擊、談判及收款的駭客，用來攻擊受害企業。

整個過程，駭客利用加密貨幣、Tor等匿名瀏覽器，以及點對點加密的即時通訊軟體，來隱藏金流和談判紀錄等行蹤。蔡松廷坦言，這些方法相當有效，目前資安界沒有有效的反制手段。因此，企業想辦法降低駭客入侵風險，比事後追蹤更實際。

做好防禦基本功，可從NIST資安框架下手

要降低駭客入侵風險，蔡松廷表示，企業最好的做法是從基本功做起。他認為，光是將美國國家標準與技術研究所NIST發布的網路安全框架（CSF）內容扎扎實實做好，便是好的防禦。

NIST CSF分為五個階段，分別是識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。

蔡松廷分別解釋，識別階段，企業應以資料會被入侵、加密或公開為前提，來盤點風險，整理特殊權限、財產跟軟體清單。而在保護階段，則要防堵入侵管道。企業應以最低權限原則來管理各式各樣的權限，並設置各式防護措施，包括導入防禦工具。

用於偵測階段的作法，要監控可疑行為。企業應加強所有IT相關環節的可視性，完整蒐集並保存各式紀錄檔、部署可疑流量跟行為的監控機制、辨認出重要警報，並從警報中了解攻擊趨勢。

而針對回應階段的作法，則要為已經遭受攻擊的情況做準備。企業應確認損害範圍、整理並備份好完整紀錄檔，聯繫法務部門、公關部門、保險公司、主管機關等單位，並設立好事件應變（IR）團隊編制、權責及工作流程。蔡松廷建議，企業應假設已經被入侵一段時間、備份已損毀、資料或密碼已經外洩，且有可能被公開的情況。

至於復原階段的作法上，企業應設立好資料備份、系統復原及服務復原機制與工作流程。要做到這點，除了事先設立好災難復原計畫（DRP）及營運持續計畫（BCP），還需要不斷演習，來確保相關人員在真正遇到災害時，能盡早讓服務重新上線。不僅如此，企業也應了解，倘若走到與駭客交涉的地步，應如何談判，如何準備贖金並付款。

要防禦勒索軟體攻擊，蔡松廷說，沒有絕招，只有基本功。但是，資安防護選項太多，資安長常無從判斷從何開始做起。因此，企業應從掌握威脅情資開始，知己知彼，再決定優先設立的資安防線。

掌握3大類威脅情資，將資安資源花在刀口上

蔡松廷說明，攻擊者情資可以分為3種面向，分別是入侵威脅指標（IOC）、攻擊手法及攻擊者背景。

IOC包括惡意中繼站IP或網域，或惡意程式的Hash雜湊值等。攻擊手法則包括入侵技巧、惡意程式行為、內網滲透技術、攻擊者最新或最常用漏洞。掌握這些資訊，企業便能優先修補相關漏洞，尋找攻擊足跡時也能更聚焦。還有一個容易被忽略的項目是，攻擊者過去談判情況。蔡松廷舉例，這包括對方談判套路、可殺價幅度等，知道了這些，才能爭取談判最大利益。

企業也要想辦法蒐集攻擊背景情報，包括駭客攻擊意圖或標的、近期與未來攻擊範圍或產業、攻擊者可能身分、及攻擊者擁有的資料。蔡松廷一一說明，掌握攻擊意圖或標的，企業便能推測哪些資產風險最高，應優先保護；了解駭客攻擊範圍或產業，就能在駭客針對自身產業時，特別加強警戒；掌握攻擊者可能身分，例如知名駭客組織，便能長期追蹤他們動態。

另外還要預先推測攻擊者可能擁有的資料，除了內部資料如企業有哪些憑證或密碼有可能洩漏，還有外部資料，例如大型網站個資外洩等，可能造成員工個資或企業資料流入駭客手中。了解這些情資後，企業便能密切監控可能受影響的密碼，並警告員工近期提防社交工程。文⊙郭又華

 相關報導