勒索軟體大肆蔓延！因應勒索軟體威脅是企業重要課題

近年來，說起資安威脅，許多人可能第一個想到的，就是像Cryptolocker這種鼎鼎大名的加密勒索軟體。這種攻擊手法，與其他的方式最大不同之處，莫過於加密電腦裡的檔案，造成資料無法使用，使用者必須支付比特幣，才能贖回電腦裡的資料。對於受到攻擊的企業而言，很可能因為電腦裡存放的資料極為重要，不少公司選擇私下付錢了事。

從攻擊手法來看，過往可能以釣魚信件的方式，引誘使用者觸發勒索軟體，不過，今年出現了一些變化，像是5月中爆發的WannaCry（WanaCrpyt0r），就是利用作業系統的漏洞，在短短的2天之內，就造成全球150個國家、數十萬臺電腦受到攻擊。5月12日，歐洲陸續傳出多起勒索軟體攻擊事件，包括英國國民保健服務NHS（National Health Service），旗下多家醫療院所，諸多醫療服務停擺，病患必須被迫臨時轉院；法國雷諾汽車的工廠，因為生產系統遭到綁架，導致整個工廠停工，然而，這都還只是攻擊事件的開端。

變本加厲，臺灣成為全球加密勒索軟體災情最嚴重的災區之一

在12日的晚間，臺灣開始出現網友通報受害事件。隨後，教育部證實10所學校總計59臺電腦遭到攻擊，臺電也有116臺電腦遇害，以及恩主公醫院的行動護理車被WannaCry入侵等。

攻擊事件爆發之後，專門蒐羅惡意程式的新創團隊MalwareHunter，率先在Twitter發表了貼文，指出臺灣是僅次於俄羅斯的第2大重災區，在各家媒體引用大肆報導後，頓時間人人自危。甚至，星期一回到工作崗位時，使用者必須先拔除電腦的網路線，才能開機，避免一連上網路就感染WannaCry。

繼透過永恆之藍（EternalBlue）工具開採漏洞，大規模爆發的WannaCry之後，接著還有Petya、Bad Rabbit等新型變種病毒。此外，遭受CryptoLocker、CryptoWall、Locky，以及Cerber等病毒攻擊的事件，仍是時有所聞。而根據防毒大廠Kaspersky年度統計數據看，加密勒索軟體近期出現大量的變種，自2015年11月到2016年10月，共有5萬4千多個新的變種出現，而從2016年11月到2017年10月間，他們發現了多達9萬6千個變種，足足比前一年多了快要一倍。

此外，若是依據國家而言，Kaspersky指出，臺灣也是重災區之一，在全球加密勒索軟體感染率排名第5。而從受害者類型來看，企業遭受勒索軟體威脅的比例，也有升高的趨勢──在2016年時，約有22.6%攻擊事件出現在企業環境，而2017年增加到26.2%，也就是每四臺受害電腦，至少就有一臺是位於企業裡，顯示企業須正視這樣的威脅。

集結大規模感染、滲透式攻擊、恐嚇手段於一身的新型態威脅

論及勒索軟體的特性，簡而言之，它集合多種攻擊手法於一身。以WannaCry為例，它會針對應用程式的漏洞進行滲透，像極了進階持續性威脅（APT），而網路釣魚郵件，也是APT攻擊常見方式。但不同的是，WannaCry這些後起的勒索軟體，也開始擁有類似網路蠕蟲的特質，能在全球大規模蔓延，而非只針對特定目標。

勒索軟體也像一般的綁架，利用人性弱點恐嚇，鎖定使用者電腦或應用系統的資料下手，導致受害者擔心重要資料再也無法使用的情況下，依照歹徒指示乖乖付錢。集結上述的特點於一身，使得許多企業和使用者相當恐慌。日前趨勢科技所做的調查中，也突顯這樣的情況──高達4成的民眾，最害怕的就是勒索軟體，遠超過信用卡遭盜刷、手機被定位追蹤、網路攝影機偷窺等，金錢損失與隱私受到侵害的比例。而我們在這次收集相關防護產品的過程中，超過8成的受訪廠商明確指出，不論是客戶的詢問或是購買，皆有不少是衝著勒索軟體威脅而來，顯示許多企業將這樣的攻擊，視為必須首要處理的資安問題。

我們認為，從企業重視整體防護的角度來看，產品不光只單純防治勒索軟體，而是能夠因應APT攻擊，加強整體資安防線。事實上，由於勒索軟體混合了各種型態的威脅，因此，縱使在許多類型的資安產品中，都聲稱能協助企業加以防範這種攻擊，然而，勒索軟體攻擊的來源和散播的路徑甚廣，不能只倚靠單一的保護措施。

傳統的端點防毒與網路防火牆難以因應，須結合更多保護機制

在企業中，防毒軟體與防火牆是最為基本的保護措施，然而，以往我們仰賴惡意檔案的特徵碼識別，以此決定直接攔截或是放行。但在目前許多攻擊都開始迴避這樣的判斷方式，以間接的手法侵入，由於異常行為並不顯著，在攻擊初期也不容易被發現。

另外，從基本的防護措施來看，端點的防毒防駭、網路的流量過濾、電子郵件與上網內容的檢查，由於能過濾已知的勒索軟體，依然相當重要。但與以往不同的是，為了完全清除勒索軟體的攻擊，追查實際受害的範圍，減少重覆感染的情事，這幾年能彙整事件調查的產品，也逐漸得到了重視。

因此，企業想要對付勒索軟體，不能只是採取兵來將擋的被動思維，而是必須結合多項措施，形成較為完整的保護網──在防毒軟體與防火牆之外，也需要搭配APT防護系統，以及運用具備進階事件調查機制的產品，例如，端點偵防系統（EDR），以及使用者行為內部威脅分析系統（UEBA）等。

更進一步，企業也要掌控應用程式和作業系統的漏洞修補狀態，並針對資料進行保護和備份，或經由架構上隔離，強化企業防護──像是員工的應用環境與外部隔離，避免混合式攻擊直接單槍直入，進到內部，間接保護企業不受勒索軟體的威脅。因此，這次我們談到有關能夠因應勒索軟體攻擊的解決方案時，所涵蓋產品類型竟是如此的多元。

 相關報導  防治勒索軟體解決方案大特輯