根據日本IPA(情報處理推進機構)發布2021年日本企業資訊安全10大威脅,勒索軟體已從去年的第五名今年大幅躍升到第一名,可見對企業進行勒索攻擊已經是駭客的主要收入來源,他們會採取攻擊有可能交付贖金的企業,已非當初的亂槍打鳥方式了。雖然企業的資安防禦在提升,但面對集團化的駭客組織他們也在精進勒索軟體攻擊的方法,導致企業防禦更加困難,面對勒索軟體企業除了被動的防守外,下面介紹勒索軟體發作四階段的應對計畫是可參考的方向。
勒索軟體發作四階段應對計畫
【階段1:攻擊前】
任何管道都有可能造成勒索軟體潛伏進電腦或伺服器,無論是網路、釣魚網站、Office 巨集、隨身碟、來路不明的Mail都可能因為人為無意的操作導致惡意程式潛伏進企業內部網路,惡意程式通常會開始掃描企業內網伺服器,若有漏洞或者取得AD帳號資訊權限等待日後攻擊使用。 |
預防機制:預防的方法眾多,以下舉出幾項X-FORT端點防護可協助防護的項目說明。
|
【階段2:攻擊發作】
勒索軟體潛伏企業內網,取得所需的權限或漏洞資訊後,會鎖定目標,攻擊發作將電腦(伺服器)裡的檔案進行加密,並提出勒索贖金好讓被加密的檔案可被解密。 |
預防機制:
|
【階段3:移動擴散】
不同的勒索軟體在網內的擴散方式也不同,有透過網芳進行擴散的,也有透過RDP漏洞進行攻擊,此時建議企業最好要有能有效阻止病毒擴散的計畫。 |
預防機制:
|
【階段4:災後復原】
任何管道都有可能造成勒索軟體潛伏進電腦或伺服器,無論是網路、釣魚網站、Office 巨集、隨身碟、來路不明的Mail都可能因為人為無意的操作導致惡意程式潛伏進企業內部網路,惡意程式通常會開始掃描企業內網伺服器,若有漏洞或者取得AD帳號資訊權限等待日後攻擊使用。 |
預防機制:備份工作基本上應該不分是否為防堵勒索軟體而做,而是平日就需進行的工作,無論是檔案備份、FAC資料夾保護+備份、系統備份等不同備份方法。以下就以『FAC(Folder Access Control) +檔案備份 』進行說明
|
SVS虛擬碟可防止勒索軟體攻擊
近幾個月來國內數家科技大廠遭受到勒索軟體攻擊,駭客在將檔案加密前已將被害企業機密資料預先備份,受害企業因不支付贖金,駭客竟將機密資料公布。
類似這種勒索方式建議企業導入DRM產品,就是將重要機密檔案加密,例如:SVS (Secure Virtual Storage)虛擬碟,將重要檔案放至SVS虛擬碟裡,可防止勒索軟體攻擊碟內的檔案,且SVS虛擬碟本身亦有自我防護功能可防止勒索病毒的加密,利用SVS虛擬碟的方法從勒索軟體發動前到發作、擴散都可進行防禦有效保護重要資料,此種SVS虛擬碟的保護方式即使駭客事先備份也沒用,因為SVS檔案本身就是加密,要公佈機密資料駭客也需要先解密。
對付勒索軟體,最好的對策還是備份
芬安全(F-Secure防毒)資安研究長Mikko Hypponen:說<加密和備份是資安最有效的方法>,防守方正加大防禦的城牆,攻擊方也正削尖更強力的武器,當所有的防禦措施都已佈署好時,備份或許是最有效的方法,至少在未知的新型攻擊出現時,可以有一災後復原的資源可用。