勒索軟體猖獗 微軟首席安全顧問提三大防護要點

勒索軟體這個議題近兩年相當被重視,甚至有資安公司預測今年會是勒索軟體之年,到底該怎麼防禦呢?不幸中招該怎麼處理呢?微軟亞洲首席安全顧問皮耶‧諾伊(Pierre Noel)12日來台訪問,特別就勒索軟體的對應之道,向國內企業提出建言。

皮耶表示大約自5、6年前起,犯罪集團了解到網路獲利比販毒更高,因此開始組織化作業,以分工合作、針對性、持續性攻擊的方式向企業竊取資料,諸如信用卡、通訊錄等,都是可以賣錢的,而近來更轉變為勒索軟體。

微軟亞太區全球技術支援中心資訊安全暨風險管理經理林宏嘉,對流氓/勒索軟體的標準攻擊程序先做說明,指出通常攻擊分成四個階段:

準備:決定攻擊情境、取款/獲利模式、逃生管道
標定:回饋測試、採取散彈或指向、決定標的物
攻擊交付:結果確認、獲利轉移、錢是唯一目標嗎?
擴大戰果:水平擴散、模式修正

而這四個階段只會維持80至100個小時左右,過了這段時間,就煙消雲散再也找不到罪犯蹤跡。

流氓/勒索軟體的標準攻擊程序圖
▲ 流氓/勒索軟體的標準攻擊程序(圖/Matt Kan攝)

「現在歹徒都是先竊取資料,再使用勒索軟體,遭勒索不會給了錢就沒事,要先釐清哪些資料被拿走,避免再度發生,在罪犯下一個動作前先處理。」皮耶如此建議。他同時指出,網路犯罪(Cybercrime)、駭客主義(Hacktivism)與恐怖主義(Terrorism)的共通點即為沒有規則可循,僅針對裝置進行安全防護已無法抵擋,使用者的行為反而更顯重要。如何從下而上築起資安防線,重塑資安企業文化,將是高階經理人責無旁貸的管理課題,企業應提升資安管理層級至CEO,而不是丟給CIO、CTO。

「企業最好能由危機處理部門來負責資安防護,如果沒有危機處理部門,也應該將資安防護的工作移出IT部門,不能將資安防護定位在IT問題,負責人需要能與CEO溝通,說CEO的語言。」皮耶這麼表示。

對於無法設置危機處理部門的中小企業,皮耶建議三個重點要做到:首先要有專人負責資安防護,發生問題這個人是得被開除的;再來要將公司內的資料依重要程度分級,先將重要的資料保護好,一方面也才知道該花多少錢保護哪台機器;最後,依據優先順序列出資安防護需要做到的項目,按部就班執行。

總合以上,皮耶再歸納了企業資安防護的三大要點:一、事前預防勝過事後修補漏洞或取回外洩資訊;二、強調使用者行為安全重於裝置安全;三、企業應提高資安管理層級並採用通過國際認證的資安服務。

史塔夫短評:老闆,中了勒索軟體是你的責任!

留言