訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
企業資安之道- 勒索軟體的攻與防
68工研院王子夏技術副理、工研院莊般若工程師
獲取產業訊息零時差!立即訂閱電電公會電子報。

綜觀勒索軟體歷史並無分時代,本計畫(新興物聯網資安示範推動計畫)於推動經驗中,因應近期企業因物聯網的發展而與日俱增的資安事件,提供企業在勒索軟體的攻防之道,供各界參考。本篇採用勒索目標搭配當代流行的進攻手法進行分期講述,以期能讓人有更深刻的印象。

工研院王子夏技術副理
工研院莊般若工程師
※由新興物聯網資安示範推動計畫推動成果匯整
======

勒索病毒的手法包括需要通過至少六個跳板的Tor網路、加密技術的成熟、無法與現實中交易建立聯繫追蹤的虛擬貨幣等技術,皆為如今促成勒索軟體興盛的重要背後推手。而從釣魚網站攻擊瀏覽器漏洞、釣魚郵件包含會自動執行的腳本、Office巨集、俱執行指令漏洞的壓縮檔,到SMB服務漏洞造成的蠕蟲、隨身碟蠕蟲、暴力破解未使用安全令牌認證的遠端桌面服務等,所有常見的攻擊手法都因勒索軟體強大的攻擊性而變得更具威脅。

勒索軟體行為與一般使用者習性的相同性導致動態偵測困難,而快速變種加上混淆/加殼亦導致靜態偵測困難,以上原因加上病毒針對進階持續性威脅攻擊目標的客製化導致企業難以提前防禦偵測,實為非戰之罪。在經過時間洪流洗滌後,碩果僅存的家族皆因其攻擊性成為眾多進階持續性威脅攻擊的最終武器。在此情況下防毒軟體後手防禦的機制效果十分有限,企業應更著重預防犯罪者的可能投毒管道,並加速IT部門針對大型更新的測試反應速度,避免在零日漏洞爆發到漏洞服務釋出更新的期間外,公司還有更長的IT內部測試到全面更新的空窗期,可供犯罪者加以利用。


圖 1 勒索軟體編年史

勒索軟體攻擊防禦機制上建議以下作法:
(1)    郵件管理
由於進階持續性威脅攻擊常透過社交工程取得目標網域內的關鍵資訊,並後續進行諸如勒索軟體攻擊等惡意行為,因此透過郵件管理工具進行惡意網址比對、惡意連結分析、垃圾郵件過濾、沙盒測試等,可協助員工降低受惡意郵件攻擊的風險。
(2)    多因子認證
重要主機的伺服器以及服務系統建議透過多因子認證進行登入管控,包含使用實體因子、生物因子、動態密碼工具等方式提高驗證難度。
(3)    權限控管
權限控管部分建議系統存取權限皆採取最小信任原則,並且企業內關鍵伺服器可採取實體存取方式,限制僅管理人員可直接於系統主機前進行操作。
(4)    微網段隔離
微網段隔離可提高網路架構複雜度,提高犯罪者入侵後內部橫向移動的成本與被防禦工具偵測到的機會,並且透過網段隔離可避免攻擊行為快速蔓延,透過防火線機制進行災損控管。
(5)    端點防護
端點防護部分可透過端點偵測回應工具、應用程式白名單、主機/系統滲透測試以及更廣域的紅隊演練驗證場域的安全性。
(6)系統備份
不論是何種系統,即使配置了各種安全防禦機制都仍有遭受攻擊的風險,資安的工作在於提高入侵難度,進而降低遭受攻擊風險,也因此企業內部必須作好系統備份工作,備援主機應採取離線異地備援,盡可能與服務主機進行切割,並且備援主機應盡可能處於網路隔離狀態,只於備份時間連線平時離線。


圖 2 勒索軟體防禦作法

訂閱電子報 友善列印 字體大小:
獲取產業訊息零時差!立即訂閱電電公會電子報。