勒索軟體的問題似乎隨著疫情增加,有點趁亂起風趁火打劫的感覺。一些指標型的大型組織內部受到攻擊,造成用戶端檔案損失,工作延誤停擺,甚至連伺服器也受到影響。
「我想保護Server Farm,不想成為下一個受害者。我能做點什麼?」
相信這是很多人的心聲,沒有特別有效的處方可以免於受勒索軟體的侵害。要想打破這種受害局面,就先得了解勒索軟體是怎麼進來,怎麼進行擴散。
- 電子郵件帶進門
勒索軟體通常通過垃圾郵件或釣魚電子郵件進行落地,也有的經過網站提供的下載軟體伴隨下來。不過通常新進來落地的軟體,本身不會是勒索軟體,只是先遣部隊來偵查、佈局準備。接著在下載、組合、安裝真正的惡意程式。在組合未完成之前,一般防禦系統根本無從判斷特徵。 - 網芳分享傳染滲透
從本機開始所描檔案系統之外,網路上可掃瞄到的網芳分享目錄。除了將掃到目標檔案加密,也將加密程式傳遞到網路上的設備。
除了加密之外,也有像其他的干擾工作,或直接破壞檔案。
我們能做點甚麼嗎 ? 網路上有很多各界專家建議,策略上沒問題;實務上盤點一下,我們會遇到許多現實困難
|
建議 |
現實困難 |
搭配做法 |
|
不授予一般用戶對工作站的管理權限 |
|
|
|
保持防病毒軟體,端點保護,及其他安全軟體的更新 |
|
|
|
盡快更新作業系統和應用程式修補 |
|
|
|
培訓員工以提高他們的安全意識,以免陷入社交工程困境 |
|
|
|
防火牆設定僅開放需要的通訊埠和來源主機列入白名單 |
|
|
|
在伺服器或工作站上發現惡意或未知不明程序,斷開網路或將其禁用 |
|
|
|
實體網路隔離未知設備,降低將BYOD風險 |
|
|
|
作業環境中,檔案資料夾應制定密碼和帳戶驗證策略 |
|
|
|
將組織的網路劃分不同區段,降低勒索軟體傳播擴散能力 |
|
|
|
禁用網路芳鄰,停用 smb v1.1服務 |
|
|
|
良好的備份策略,保留所有文件,媒體和重要文件的備份 |
|
|
|
存放備份的儲存體,與實體工作站或網路連結斷開 |
|
|
搭配作法的前提是,假設已部署中央控管的端點防護方案,對用戶端實施管理與控制。以下說明部分搭配措施:
- 本機帳號管理
本機帳號的新增、刪除,變更權限等管理。 - 應用程式存取控制
應用程式執行時,管制存取的資料夾,網路目的地。 - 應用程式白名單
不在白名單上的應用程式禁止執行。白名單機制遠比黑名單複雜。 - 資料夾/檔案存取控制
限制存取本機資料夾的應用程式及檔案類型(副檔名)。 - 檔案操作活動監視
監視及控制端點的檔案操作,新增、刪除、更名、複製等。也可以搭配Microsoft File Server Resource Manager (只支援Windows Server),監視特定的副檔名。 - 網段存取控制
限制用戶端存取的網段來源&目的及通信協定。 - 網芳存取控制
限制用戶端存取網芳路徑的白名單,停用網芳服務,限制新增網芳、禁止分享給Everyone 等。
當然,上述所談可以列為預防準備措施,防範盡量不要發生災情。萬一仍然發生不幸,迅速反應減災處置:
- 隔離所有受感染的電腦,停用分享,段開網路儲存體,防止感染擴散。
- 根據消息,計算機上的證據和識別工具,確定要處理的惡意軟件種類。
- 必要的話,向主管機關回報,以獲得支援、協調應對攻擊的反制措施。
- 使用乾淨的備份,及作業系統來還原或裝備新的平台。
評估感染的發生方式以及可以採取的措施,以防止再次發生感染。