勒索软件是企业不得不重视的安全风险,TeamT5杜浦数字安全首席执行官蔡松廷(网络昵称TT)在今年安全大会中表示,勒索软件是最难对抗的攻击种类,偏偏勒索软件攻击事故越来越多,首席安全官不得不重视此类风险。
更多黑客投入勒索软件攻击,形成成熟犯罪生态圈
蔡松廷观察,勒索软件攻击上升原因是,“这种模式对黑客而言太好赚了。”因此,黑客只要有足够能力,多会往勒索软件模式发展,形成一个网络犯罪生态圈。
这是一个勒索软件服务化RaaS(Ransomware as a Service)的网络犯罪生态圈,其中,手握企业漏洞、凭证,甚至是内部访问权的黑客,会将这些内容卖给开发勒索软件的黑客。漏洞及勒索软件,会再被转手到专门负责攻击、谈判及收款的黑客,用来攻击受害企业。
整个过程,黑客利用加密货币、Tor等匿名浏览器,以及点对点加密的即时通信软件,来隐藏金流和谈判记录等行踪。蔡松廷坦言,这些方法相当有效,目前安全界没有有效的反制手段。因此,企业想办法降低黑客入侵风险,比事后关注更实际。
做好防御基本功,可从NIST安全框架下手
要降低黑客入侵风险,蔡松廷表示,企业最好的做法是从基本功做起。他认为,光是将美国国家标准与技术研究所NIST发布的网络安全框架(CSF)内容扎扎实实做好,便是好的防御。
NIST CSF分为五个阶段,分别是识别(Identify)、保护(Protect)、侦测(Detect)、回应(Respond)与恢复(Recover)。
蔡松廷分别解释,识别阶段,企业应以资料会被入侵、加密或公开为前提,来盘点风险,整理特殊权限、财产跟软件清单。而在保护阶段,则要防堵入侵渠道。企业应以最低权限原则来管理各式各样的权限,并设置各式防护措施,包括导入防御工具。
用于侦测阶段的做法,要监控可疑行为。企业应加强所有IT相关环节的可视性,完整搜集并保存各式记录文件、部署可疑流量跟行为的监控机制、辨认出重要警报,并从警报中了解攻击趋势。
而针对回应阶段的做法,则要为已经遭受攻击的情况做准备。企业应确认损害范围、整理并备份好完整记录文件,联系法务部门、公关部门、保险公司、主管机关等单位,并设立好事件应变(IR)团队编制、权责及工作流程。蔡松廷建议,企业应假设已经被入侵一段时间、备份已损毁、资料或密码已经外泄,且有可能被公开的情况。
至于恢复阶段的做法上,企业应设立好资料备份、系统恢复及服务恢复机制与工作流程。要做到这点,除了事先设立好灾难恢复计划(DRP)及运营持续计划(BCP),还需要不断演习,来确保相关人员在真正遇到灾害时,能尽早让服务重新上线。不仅如此,企业也应了解,倘若走到与黑客交涉的地步,应如何谈判,如何准备赎金并付款。
要防御勒索软件攻击,蔡松廷说,没有绝招,只有基本功。但是,安全防护选项太多,首席安全官常无从判断从何开始做起。因此,企业应从掌握威胁情报资料开始,知己知彼,再决定优先设立的安全防线。
掌握3大类威胁情报资料,将安全资源花在刀口上
蔡松廷说明,攻击者情报资料可以分为3种面向,分别是入侵威胁指标(IOC)、攻击手法及攻击者背景。
IOC包括恶意中继站IP或域名,或恶意程序的Hash散列值等。攻击手法则包括入侵技巧、恶意程序行为、内网渗透技术、攻击者最新或最常用漏洞。掌握这些资讯,企业便能优先修补相关漏洞,寻找攻击足迹时也能更聚焦。还有一个容易被忽略的项目是,攻击者过去谈判情况。蔡松廷举例,这包括对方谈判套路、可杀价幅度等,知道了这些,才能争取谈判最大利益。
企业也要想办法搜集攻击背景情报,包括黑客攻击意图或标的、近期与未来攻击范围或产业、攻击者可能身份、及攻击者拥有的资料。蔡松廷一一说明,掌握攻击意图或标的,企业便能推测哪些资产风险最高,应优先保护;了解黑客攻击范围或产业,就能在黑客针对自身产业时,特别加强警戒;掌握攻击者可能身份,例如知名黑客组织,便能长期关注他们动态。
另外还要预先推测攻击者可能拥有的资料,除了内部资料如企业有哪些凭证或密码有可能泄漏,还有外部资料,例如大型网站个人信息外泄等,可能造成员工个人信息或企业资料流入黑客手中。了解这些情报资料后,企业便能密切监控可能受影响的密码,并警告员工近期提防社交工程。
