對抗駭客新威脅不斷，5項資安基本對策可先做

近幾年，網路勒索軟體十分盛行，平均每個月就有20到30個不同的勒索軟體，光是去年，又出現150個新的勒索軟體，去年最常見的勒索軟體包括CryptoLocker、TeslaCrypt、Locky。根據卡巴斯基的調查結果顯示，每10秒鐘就有一位用戶被勒索軟體攻擊，而每40秒就會有一家企業被攻擊，駭客慣用的手法就是把用戶的檔案或是文件鎖起來，如要解鎖則需付比特幣當作贖金。

從去年開始，駭客轉移勒索的目標，不再是攻擊個人的電腦，開始鎖定伺服器，用相同的手法勒索企業，Palo Alto Networks亞太地區首席技術架構師蕭健英舉例，去年美國一家醫院的網路被駭客滲透，伺服器上的資料遭到勒索軟體上鎖，甚至導致當天醫院的手術也無法進行，伺服器的勒索金額也從個人電腦的1千美元，提高到2萬美元。以往企業處理個人電腦被勒索攻擊的方式，就是把硬碟格式化再重新備份還原，但是攻擊來到伺服器上時，備份還原的就變得很麻煩。

蕭健英表示，這些事件都反映出駭客攻擊手法不斷翻新，企業該如何應對？對此，他提供了5項對抗新威脅的基本資安對策：

1. 要防止透過網路釣魚的方式來滲透企業的惡意軟體
2. 用強制阻斷的機制，防止用戶憑證遭竊取
3. 內部網路若要存取重要資訊，可採用多因素的認證方式，提供額外的保護機制
4. 使用最低權限存取的零信任原則，防止內部和外部的惡意軟體攻擊
5. 在用戶個人電腦和重要的伺服器上，要防止漏洞和惡意軟體安裝

預防釣魚郵件，是因應新資安威脅的第一步，蕭健英解釋，根據Verizon的2016年數據揭露報告指出，一個企業中會有30%的用戶打開釣魚電子郵件，12%的用戶會點擊惡意附件或是連結，「不要隨意打開可疑的電子郵件或是點擊連結和附件。」這是企業CIO或CTO得念茲在茲的一句話，甚至，釣魚郵件可能都會偽裝成Gmail格式，但會要求收信人驗證身份才能打開，騙取收件人點擊偽造的驗證連結，或是要求輸入帳號密碼，但其實是直接把資料交給了駭客，偽造的Gmail釣魚頁面與實際介面幾乎一模一樣，蕭健英提醒，駭客也會很類似的網址來混淆用戶，還得從仔細檢查網址來確認來源才行。

而提出第二項資安對策是因為，「光用密碼做憑證是不夠的。」蕭健英說，多因素認證可能是解決方案，但目前由於網路上有上百個應用，實行上有一定的困難，他倒是建議，另一個方式是從阻斷惡意連結著手。他說，可以分兩個階段來阻斷，第一階段，當用戶要前往標記為惡意的網站，透過應用程式防火牆立即阻斷連線，若遇到無法分辨的網站，則可用沙盒（Sand Box）來模擬用戶行為，分析之後再進行網站分類，並更新到網址資料庫來控管日後的連線。第二階段，在沙箱完成分析前，若用戶在等待期間點開了網頁，則可搭配防火牆進行憑證比對，防止憑證外洩。另外資料中心防火牆可針對重要的伺服器進行多重認證，若憑證已被竊取，這些額外的認證機制也可防止內部的入侵活動。