經歷2個多月的三級疫情警戒,7月底終於降至二級,然而,臺灣疫苗施打率仍在急起直追,也面臨疫苗供應不足的窘境,民眾擔心無法接種疫苗、又擔心疫苗可靠度、副作用,在此同時,國際間因為變種病毒的高感染率,如今疫情又出現大爆發的狀況,而使得放寬管制的腳步顯得無比艱辛。

而這樣的焦慮似乎也反映在相關保險商品的熱賣上。根據媒體報導引用金管會保險局公布的資訊來看,截至8月2日,廣義防疫險投保件數達到1,095萬張,保費收入71.18億元,以人口數來看,廣義防疫險投保率已近48%。

反觀資安領域,疫情期間各種網路威脅不停歇,相關的企業用戶風險顧慮,是否會反映在資安險的市場呢?答案是否定的,根據媒體報導引用保險事業發展中心的統計,2020年資安險市場保費約1.1億元(資安險及個資險合計),顯然還有很大的成長空間。

為何我們此時想要特別提到資安險的狀況?8月3日,市場調查機構IDC發布消息指出,根據他們召開的「全球事件準備度焦點調查」,亞太地區的組織針對勒索軟體攻擊,可能支付贖金的比例,竟高達44%,而支付的費用來自組織內部或是保險賠償,他們也列出澳洲的意願比例是60%,新加坡則是49%。

不過,付了贖金就一定能恢復文件的使用嗎?根據IDC另一項「未來企業韌性調查」指出,82.4%支付贖金的組織取得有效解密金鑰,他們表示,這也意味著有近20%的組織支付贖金卻沒有得到任何回報。

而上述敘述當中,讓人憂心的部分,在於可能支付贖金的比例居然如此之高,這與許多資安廠商的建議大相逕庭。例如,Sophos表示,支付贖金並不是取回資料的有效方法,若決定付款,攻擊者平均只會還原三分之二的檔案。

Check Point認為,網路犯罪分子使用雙重勒索攻擊之後,企業在權衡支付贖金和花費時間修復系統之間,有時傾向於立即支付贖金,以防寶貴的資料外洩,如此一來便形成了惡性循環。

Palo Alto Networks則提到,駭客基於勒索軟體即服務(RaaS)訂閱的模型,勒索手段容易執行也能有效取得贖金,若成功勒索,也能獲得一定比例的收益。

而在我們資安主筆黃彥棻今年3月底發布的報導〈勒索軟體大轉型,防禦難度提升〉裡面,也提到臺灣資安公司奧義智慧共同創辦人叢培侃的觀察分析,當中也回答了贖金去向,以及勒索對象。他說,駭客透過MaaS傀儡網路平臺上架勒索軟體,在每個環節都須支付不少成本,若受駭企業不願支付贖金,駭客集團就無法付錢給上游和中游的供應鏈業者,他們也就會虧本;而這也是駭客集團精準鎖定營收好、好打、國際知名且願意支付贖金的企業,作為標的,並逼迫受害者支付贖金。

當然,傳染病疫情與勒索軟體仍有本質上的差異,前者主要是微生物,後者則是人造所致,但災情之所以越演越烈,以及能否防堵與根絕,都與「人」的因素脫不了關係,用金錢作為事後補償,是不得已的自保手段,更重要的是必須設法提升防護力,盡量避免任何非必要的暴露與連結,才能以層層阻絕的方式,局限這類有機攻擊活動範圍。

例如,保持社交距離、戴口罩、勤洗手、施打疫苗,以及落實疫調、匡列、隔離,都已是控制疫情的必要手段。

而在資安防護的部份,從前端使用者的操作到後端系統的執行,也必須盡可能地實施零信任概念,從防止身分被冒用、預防系統被佔用,到最低權限配置、避免攻擊者與惡意軟體橫向移動,到及早察覺異常、快速反應、反制,也都是做好資安的必要作為,而這些金錢與人力的投資也是必要的。

專欄作者

熱門新聞

Advertisement