勒索軟體是企業不得不重視的資安風險,TeamT5杜浦數位安全執行長蔡松廷(網路暱稱TT)在今年資安大會中表示,勒索軟體是最難對抗的攻擊種類,偏偏勒索軟體攻擊事故越來越多,資安長不得不重視此類風險。
更多駭客投入勒索軟體攻擊,形成成熟犯罪生態圈
蔡松廷觀察,勒索軟體攻擊上升原因是,「這種模式對駭客而言太好賺了。」因此,駭客只要有足夠能力,多會往勒索軟體模式發展,形成一個網路犯罪生態圈。
這是一個勒索軟體服務化RaaS(Ransomware as a Service)的網路犯罪生態圈,其中,手握企業漏洞、憑證,甚至是內部存取權的駭客,會將這些內容賣給開發勒索軟體的駭客。漏洞及勒索軟體,會再被轉手到專門負責攻擊、談判及收款的駭客,用來攻擊受害企業。
整個過程,駭客利用加密貨幣、Tor等匿名瀏覽器,以及點對點加密的即時通訊軟體,來隱藏金流和談判紀錄等行蹤。蔡松廷坦言,這些方法相當有效,目前資安界沒有有效的反制手段。因此,企業想辦法降低駭客入侵風險,比事後追蹤更實際。
做好防禦基本功,可從NIST資安框架下手
要降低駭客入侵風險,蔡松廷表示,企業最好的做法是從基本功做起。他認為,光是將美國國家標準與技術研究所NIST發布的網路安全框架(CSF)內容扎扎實實做好,便是好的防禦。
NIST CSF分為五個階段,分別是識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)。
蔡松廷分別解釋,識別階段,企業應以資料會被入侵、加密或公開為前提,來盤點風險,整理特殊權限、財產跟軟體清單。而在保護階段,則要防堵入侵管道。企業應以最低權限原則來管理各式各樣的權限,並設置各式防護措施,包括導入防禦工具。
用於偵測階段的作法,要監控可疑行為。企業應加強所有IT相關環節的可視性,完整蒐集並保存各式紀錄檔、部署可疑流量跟行為的監控機制、辨認出重要警報,並從警報中了解攻擊趨勢。
而針對回應階段的作法,則要為已經遭受攻擊的情況做準備。企業應確認損害範圍、整理並備份好完整紀錄檔,聯繫法務部門、公關部門、保險公司、主管機關等單位,並設立好事件應變(IR)團隊編制、權責及工作流程。蔡松廷建議,企業應假設已經被入侵一段時間、備份已損毀、資料或密碼已經外洩,且有可能被公開的情況。
至於復原階段的作法上,企業應設立好資料備份、系統復原及服務復原機制與工作流程。要做到這點,除了事先設立好災難復原計畫(DRP)及營運持續計畫(BCP),還需要不斷演習,來確保相關人員在真正遇到災害時,能盡早讓服務重新上線。不僅如此,企業也應了解,倘若走到與駭客交涉的地步,應如何談判,如何準備贖金並付款。
要防禦勒索軟體攻擊,蔡松廷說,沒有絕招,只有基本功。但是,資安防護選項太多,資安長常無從判斷從何開始做起。因此,企業應從掌握威脅情資開始,知己知彼,再決定優先設立的資安防線。
掌握3大類威脅情資,將資安資源花在刀口上
蔡松廷說明,攻擊者情資可以分為3種面向,分別是入侵威脅指標(IOC)、攻擊手法及攻擊者背景。
IOC包括惡意中繼站IP或網域,或惡意程式的Hash雜湊值等。攻擊手法則包括入侵技巧、惡意程式行為、內網滲透技術、攻擊者最新或最常用漏洞。掌握這些資訊,企業便能優先修補相關漏洞,尋找攻擊足跡時也能更聚焦。還有一個容易被忽略的項目是,攻擊者過去談判情況。蔡松廷舉例,這包括對方談判套路、可殺價幅度等,知道了這些,才能爭取談判最大利益。
企業也要想辦法蒐集攻擊背景情報,包括駭客攻擊意圖或標的、近期與未來攻擊範圍或產業、攻擊者可能身分、及攻擊者擁有的資料。蔡松廷一一說明,掌握攻擊意圖或標的,企業便能推測哪些資產風險最高,應優先保護;了解駭客攻擊範圍或產業,就能在駭客針對自身產業時,特別加強警戒;掌握攻擊者可能身分,例如知名駭客組織,便能長期追蹤他們動態。
另外還要預先推測攻擊者可能擁有的資料,除了內部資料如企業有哪些憑證或密碼有可能洩漏,還有外部資料,例如大型網站個資外洩等,可能造成員工個資或企業資料流入駭客手中。了解這些情資後,企業便能密切監控可能受影響的密碼,並警告員工近期提防社交工程。文⊙郭又華
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-02