iThome

雖然加密勒索軟體非常可怕,使用者的重要文件可能就此付之一炬,不過,與實際的人質勒贖相當不同的是,由於標的物是檔案,可輕易複製與備份,只要有留存備份檔案,若駭客並沒有將檔案取走,無需考量資料外洩的前提之下,便可忽略檔案加密的威脅。

使用者上網的行為,若能夠提高警覺,不點選來路不明的連結,以及避免開啟電子郵件中可疑的附件,其實也能大幅減少受到加密勒索軟體攻擊的機會。不過,如何建立與維持使用者的資安觀念,需要管理者的持續投入,而非教條式宣導,造成久而久之,使用者感到麻木。

但是,只有仰賴用戶的判斷,也不盡然合適,尤其有些背景執行的惡意程式,不需經過使用者的操作,就能執行,因此針對這類攻擊,需要透過工具監控,才能發現與阻擋攻擊。以往,較小規模的企業,可能採用無控管功能的防護工具,現在不少針對中小企業的防毒軟體產品,則具備一定程度的上網管制功能,並且對於加密勒索軟體這種新興攻擊手法,也加入對應的行為偵測機制,甚至能達到一定程度的攔阻效果。

再者,定期接收並安裝修補程式,使Windows作業系統、瀏覽器、Flash Player等軟體,維持最新的狀態,並且配合合適的防護工具,都是避免駭客有機可趁,透過漏洞大開後門,將這類軟體植入系統的具體作為。

最後,當面臨這類資安事件發生時,使用者要如何通報、各單位與管理者的應變措施,合作廠商可以什麼時候出面協助,也都是管理者需要考量,甚至設立標準作業程序,將災情減至最低。

但重點是,這些工作如何宣導與落實?

  心法1   針對資料與文件管理,活用雲端儲存,與外接裝置多種方案搭配備份

根據趨勢科技資深技術顧問簡勝財的建議,檔案最好應該要狡兔三窟,並遵守3-2-1原則:至少3份備份、2種儲存媒體,與1個不同的安全存放地點,也就是所謂的異地備份。

所謂的3份備份,並不包含在電腦內部,以同一臺磁碟機、不同磁碟分區存放多份檔案,而是必須在電腦以外其他的裝置,例如外接式硬碟、隨身碟、光碟片等。

而2種儲存媒體,則是應該採用不同類型的媒介,若是分別將檔案備份至2個外接式硬碟上,就不符合這個原則。

異地備份則是要放置於不同的地點,這個意義是即使資料所在地的發生狀況,例如發生火災或是闖空門等情事,仍有備份資料可用。例如雲端備份的解決方案,就充分符合異地備份的要件。

上述的備份黃金法則,小型企業想要全部做到,似乎不是那麼容易,因此規畫如何備份,就顯得相當重要。若採行雲端備份,以個人端的部分來說,例如Dropbox、Google Drive或是OneDrive等都是常見的方案,透過這些服務提供的代理程式,將檔案與雲端資料同步,是較為即時且便利的做法。尤其像Dropbox還有版本控管,假如不小心誤刪檔案,或是被勒索軟體加密文件,也還有機會透過還原舊版,減少損失。因此,若是企業想採用這種方式備份個人電腦的資料,最好要找具備版本還原機制的服務。

同樣具有版本控管的備份機制,還有WindowsXP SP2開始內建由系統還原延伸出的陰影複製(Shadow Copy)功能,不過,這個機制提供的是本機資料歷史備份,不應該直接當作其中一種備份方式,特別是某些加密勒索軟體運作時,會一併清空所有的這種備份檔案。

但是,這個內建功能仍然建議開啟,如果在遇到檔案遭到加密的時候,就多一種管道有機會將檔案救回。若是查看系統的陰影複製備份,可透過第三方工具,如ShadowExplorer,較能容易找到想要還原的舊版檔案。

另一種在小型企業常用的實際做法,就是定時將資料備份到外接式硬碟。但值得注意的是,只有要備份的時候才與電腦連接,避免遇到電腦內的檔案被惡意軟體加密時,同時外接硬碟的資料也受到攻擊。

若是需要封存的資料,那麼在資料量不大的前提下,光碟片也是不錯的媒介之一,而且已經在光碟片上的資料,也不致遭到加密。

而論及企業整體備份,較為自動化的做法,對於較小型的企業,也許可以採用NAS與備份工具結合,定期備份,甚至傳送到Amazon雲端空間,定期異地備份。雖然,採用映像檔備份之後,若是想要取出指定檔案,必須透過特定的工具取出,假如有多人還原需求時,可能會比較麻煩,不過,相對來說,對於惡意的加密程式而言,若想要將映像檔內容加密,也較為不易。

但是,企業資料備份的真正挑戰,在於必須利用有限的備份資源,保存多份重要資料。以Dropbox這類雲端軟體而言,它可能只針對一個特定資料夾同步,而使用者卻在不會同步更新的桌面資料夾,隨意儲存電子郵件的附件,或是建立各式的檔案,有些使用者則是為求方便,在多臺電腦之間使用文件檔案,資料只有存放在隨身碟,這也很可能是備份的死角。

因此,對於企業而言,首要還是先確認應備份的內容與範圍,再尋求與運用對應的工具,以及設定備份的週期,並且固定稽查。若是漫無目的的執行,最終可能有些應該受到管理的資料,卻沒納入備份,而某些檔案卻重複備份,造成資源的浪費。在實施備份計畫之前,文件與重要資料的集中管理,顯然是管理者優先要整頓的方向。

 

防毒軟體具備偵測加密勒索軟體的功能

勒索軟體已經受到防毒軟體的高度重視,以趨勢的中小企業防毒軟體服務為例,甚至為它加入獨立功能選項。至於其他廠牌防毒軟體,應該也有對應的功能,只是可能沒有在管理介面提供開關機制。

 

 心法2  提升使用者危機意識,並導入可控管上網行為的工具,加強軟硬體防護措施

關於使用者提升資安意識,大致上可分成兩個層面,一是針對電子郵件,二是針對上網。電子郵件除了可疑者不應開啟連結或是附件,其餘信件往來,也應利用多重確認,核對來源的真實性,例如可以針對需要開啟信件中連結,或是其中的附件檔案之前,確認寄件人的郵件位址,是否在通訊錄當中,甚至應考慮透過電話、其他通訊軟體等方式重覆確認,才是比較保險的方式。

若是網站的部分,則可建議使用者將經常瀏覽與信任的網站,加入書籤當中,避免瀏覽非預期的網頁。

這兩個措施,主要是針對有心人士偽造的電子郵件與網站,多一道保護,減少接觸的風險。

管理者對於公司員工宣達時,除了要考慮面對面說明,不妨引用案例說明,甚至透過外部合作廠商協助,並採取多種管道,時常提醒等做法。

而有些企業,甚至會採取不定期寄送釣魚郵件的方式,替員工考試,確實建立起使用者臨機判斷與應變的能力。管理者在對於使用者耳提面命的同時,如何真正讓公司所有同事真正體認,並且身體力行,將是管理者要努力的方向。

但除了使用者的自我管理,防毒軟體仍有重要的防護作用,雖然像加密勒索軟體這類惡意程式,總是想盡辦法繞過防毒軟體的偵測機制,不過防毒廠商已經登記在案者,防毒軟體基本上還是可以在第一線,先試圖偵測攔阻。

隨著資安的落實需求,以往可能人數較少的小型企業,就選擇個人版軟體,甚至是資安意識較為不足者,還會直接使用免費版本。不過,個人版缺少一般企業產品可集中控管的能力,免費版防毒程式多半更是只有基本的防毒功能,不若付費產品加入像是偵測加密勒索軟體行為的進階能力,對於企業應用,除了選擇病毒偵測能力較高的品牌,也要留意產品防護功能是否足夠,以及是否具備使用者行為控管的能力?甚至,更進一步,應該也要考慮建置電子郵件有關的防護工具。

畢竟,加密勒索軟體正朝著與系統漏洞結合,以人類無從分辨出電子郵件的真假,或是上網就透過網頁上的惡意廣告中毒。因此光是倚賴使用者自律提高警覺,仍然不足以面對未來的威脅。

即使有充分的備份,無須支付贖金,也至少要將受感染的電腦復原,或是重灌作業系統,這些復原工作相當耗費成本,連帶使用者的生產力一併受到影響。偏偏中小型企業並不適合像大型企業,能以嚴格的白名單,限制只能使用指定的網站。這種情況,若軟體內建防毒廠商的過濾機制輔助,就相當實用。至於個人版的防毒軟體,雖然可能會有類似的黑名單,但無法直接為大量電腦建立規則,落實管制。

另外,在中小企業中,可能仍有不少尚在使用Windows XP或Windows Server 2003作業系統的電腦,由於已經停止支援,微軟不再提供漏洞修補,因此,採取其他措施補強,就相形重要,除了防毒軟體,企業甚至應該考慮在閘道端加入防火牆,強化整體區域網路架構。

此外,對於電子郵件的防護,除了防毒軟體可能提供相關檢測功能,企業也應該考慮架設阻擋垃圾信的伺服器,或是租用有關服務,針對這個領域加強防護。甚至進一步,也要考量到Windows以外平臺的裝置,或許以公司的立場,可能難以直接管控使用者私人電腦與手機的上網行為,但至少對於員工電子郵件信箱的使用,具有較為嚴格的規範,應該不為過。

 

(圖片來源/Acronis)

善用雲端硬碟與其他媒體,達到多重備份

針對於資料備份,企業可搭配多種儲存媒介作為備份目的地,例如透過NAS、磁帶或是採用雲端儲存空間空間,並採取定期的完整備份與增量備份,兼顧備份映像檔案的可用性,以及儲存空間的最佳運用。

 

 心法3  保持作業系統、瀏覽器、Adobe軟體,與防毒軟體的最新狀態!

光是使用者多一份小心還不夠,因為若是軟體的漏洞沒有修補,還是等於大開駭客的方便之門,無需用戶端的操作,就能植入木馬,自動執行加密檔案的動作。

無論是Windows作業系統,還是網頁瀏覽器,甚至Adobe Flash Player與Adobe Reader,以及Java可執行環境(JRE),都是容易受到攻擊的目標,因此一旦廠商提供修補程式,就要儘速更新。

對於個人使用者而言,也許只要多一點耐心,讓軟體或Windows自動更新能夠完成作業即可,但對於企業的網管人員,如何一致化讓所有端點電腦,在最短的時間套用最新修正程式,顯然是相當重要的課題。

 心法4  針對資安事件建立SOP,避免使用者隱匿而將災害擴大

基本上,涉及到名聲與信譽,使用者遇到電腦檔案遭受加密時,極有可能選擇私下付錢了事,而延遲通報,導致未當下立即處置,造成病毒擴散,波及到其他電腦。

因此,建立明確的應變措施,也是非常重要的一環。受害者如何第一時間與管理者通報,管理者當下處置中毒的電腦,進行電腦網路阻斷等措施,或是進一步向廠商請求支援,在兵荒馬亂之際,若有這樣的標準作業程序,才能冷靜應付,將傷害降至最低。

我們在前面提到了面臨時的處置7大原則,管理者不妨參考這些方向,針對資安警急事件,規畫符合自己公司的作業流程。

 

 基本防護要點:首重備份與使用習慣調整 

藉由這個機會,重新檢視企業對於資訊安全的措施與行為,是防範加密勒索軟體入侵的重要一環。在使用者端,建立確認網址與電子郵件信箱真實性,不亂點選可疑連結與附件,對於重要文件檔案落實3-2-1備份原則,而電腦端點保持系統與程式最新狀態。這些工作雖然繁雜,卻對整體防護有相當助益。

設定瀏覽器書籤與郵件通訊錄

利用書籤,可協助使用者,減少輸入錯誤的網址機率,而聯絡人清單,則是在接收信件時,加強對於寄件人辨識。雖然這些機制有可能遭到有心人士竄改,不過還是一招實用的方法。

 

資料實施列管,並採取多重備份機制

針對資料的備份,我們建議先整理出重要資料的清單,再決定如何備份,包括採行的方式,備份的周期等等,並儘可能達到備份的3-2-1原則。

 

將作業系統與軟體維持最新狀態

由於現在許多攻擊是針對軟體漏洞,因此維持軟體最新狀態可減少受到威脅。作業系統與防毒軟體等工具則是首當其衝,建議可採用能全面性檢查的工具,將軟體保持最新狀態。


Advertisement

更多 iThome相關內容