勒索軟體的威脅不斷,近日台灣中油及台塑石化也遭惡意軟體攻擊,因此,思科(CISCO)與如梭世代(ZUSO Generation)合作,針對數個案例解析並提供解決的建議方案,期望可協助台灣企業及政府基礎建設建構「資安防駭網」,保障企業機密以及全民個人資料安全。
勒索軟體事件分析特點與缺失
鑒於資訊安全是全民議題,思科攜手台灣資安服務公司如梭世代(ZUSO Advanced Research Team),針對數個案例解析並提供解決方案,而在這份報告中,針對近期勒索軟體相關事件歸納了 6 個特點,包括預先以可能傳送的路徑並埋入相關惡意軟體、搜刮帳號後開始利用權限派送惡意軟體至各設備、勒索軟體發動前 24 小時內啟動編譯…等。
並透過 Cisco Zero Trust 及 SAFE 架構的安全能力分析方法,提出 8 點缺失:
- 內部電腦未確實落實攜帶式裝置之管理。
- 未確實依照內部各設備位置、業務需求、部門別等有效劃分安全區域,並確實區分隔離。
- 新世代端點安全防護系統不足,當勒索軟體發動後後無法對其進行控制。
- 缺少異常流量分析系統當勒索軟體在內網傳播時未能及時發現和告警。
- 內部網路安全分區隔離不完整,造成惡意軟體大量感染造成危害。
- 缺少對網路異常行為軌跡追蹤和稽核的記錄耗費大量時間排查可疑電腦。
- 缺少對所有設備安全及健康狀態的統一監控平臺。
- 多產品整合為安全管理最大缺口,在防禦及管理資源考量下,單一廠商的總體解決方案是應該重新考量及規劃。
杜絕勒索軟體的改善建議
總結許多安全事件,都是從入侵易受攻擊的伺服器和公司 IT 網路中的運算資源開始。因此,建議組織採取以下措施來降低風險,並幫助確保其設施內作業的完整性:
- 各設備啟用前應檢查及消除網路及設備所有內嵌密碼或預設密碼,並盡可能實施多因素認證。
- 主動性偵測系統弱點,查看是否適時套用所有修補程式和更新。(修補程式無法使用需考慮移轉至新的技術。)
- 弱點掃瞄工作應轉變為主動性偵測形式的「威脅資產管理」,不再是疲於奔命被動式的弱點掃瞄或修補。
- 設備安全控制應先於防禦產品的比對阻擋;導入使用者端點設備的控制,嚴格控制存取權限。
- 核心網路或重要營運系統的使用,應嚴加限制透過外部網際網路瀏覽器存取。
- 組織應設計或導入一套安全技術標準;如:安全基準標準包括網路、系統及應用的安全標準或指導手冊。
- 平常或發生重大網路攻擊事件之後,應重新檢視網路安全應變操作計畫及災害復原計畫。
- 規劃及定期檢查安全分區的安全分類管理方法,如:從 IT 網路劃分核心系統。不要讓兩者之間有任何直接連線。包括網路連線、筆記型電腦,以及記憶體裝置。
- 新種資安檢測技術或方法的認知不足,應導入循環性的安全檢測及攻防演練 (RedTeam and BlueTeam)。
- 安全營運操作建議及可考慮使用;檢測à分析à防禦à應變等方向方法。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!