今年1月以來就發生企業個資外洩連環爆的事件,從交通運輸業到生活百貨業,各外洩約數十萬筆不等的消費者個資。究其外洩原因不外乎是系統設計有疏失遭未經授權存取,或是系統漏洞被駭客利用入侵而使資料外洩。這類型網路攻擊事件層出不窮,這些都是出自勒索病毒Ransomware-被勒索後沒支付贖金才被公開威脅,更多受害企業系統被加密後,影響範圍太廣,為了迅速恢復營運,選擇向惡勢力低頭默默付錢了事。
工具自動掃、專家定期測 不斷檢測持續修補網路攻擊已經不只是知名企業才會被鎖定,而是已成為產業化、服務化,技術含量低的犯罪集團也能在地下論壇購得入侵工具與套件,進行著低成本高報酬的不法勾當。面對此一網路攻擊產業化的演變,企業必須加強資安檢測的頻率與做法,定期檢測、持續修補來精進系統防護水準。
不管是設備韌體、作業系統與應用軟體,每天都有新的漏洞被發現。因此透過自動化弱點掃描工具定期(最好每月)檢測是必要的,並且需能依風險高低建議修補順序。除了檢測系統漏洞與組態設定不當等問題外,還需進行原始碼檢測,由於駭客會利用應用程式在開發上的疏失而發動攻擊,因此將源碼檢測融入開發流程之中,更能及早發現及早修補漏洞。而弱掃與源碼檢測都有自動化工具可以利用。
滲透測試則是由資安專家使用各種技術與工具,模擬駭客入侵攻擊的角度來找出系統的漏洞。滲透測試通常會鎖定受測目標、測試時間及系統範圍,來查找出漏洞,而紅隊藍隊評估演練則是更為全面的實戰模擬攻擊,來考驗藍隊的應變作為。
備份策略也要與時俱進 落實備份3-2-1原則面對網路攻擊,如果說定期檢測與持續修補是基本功,那麼備份與還原可以算是企業最後一道防線。若沒有做好備份,遇到加密勒索攻擊只有支付贖金一途。而何謂做好備份?企業必須重新檢視備份策略是否與時俱進,因為從過去許多受駭案例來看,不乏都是已建置備份系統的企業。加密勒索攻擊之所以能歷久不衰,很大一部份是這些惡意程式不斷精進,不但能將企業伺服器加密,連備份主機也入侵破壞取得權限並一同加密,因此受害企業遭攻擊後仍然得耗上數週甚至上月的時間才能讓核心業務恢復營運。
因此,企業必須重新檢視備份策略,並確保備份策略依照3-2-1備份原則定期執行。3-2-1備份原則指的是三份備份、二種儲存媒介、一份異地存放。重要的系統資料必須有三份備份,可以是一份在本地NAS硬碟、一份是離線的外接式硬碟、一份在雲端備份;二種儲存媒介指的是使用不同的儲存媒介,例如一種是硬碟,另一種是雲端儲存服務或是使用磁帶;而一份異地存放則是為了避免發生災害性事件,如火災、地震等導致資料遺失或損毀,可以將一份備份資料存放在不同大樓,或將資料備份在不同地區的雲端伺服器中。
落實3-2-1備份原則可確保資料能倒得回,但是需花多少時間還原系統以恢復正常營運則仍需靠企業整體備份還原政策與需求而定。但其中需注意的一點是,在網路攻擊事件的處理現場,許多時候企業以為系統資料已有備份只要重灌系統就能恢復營運上線,但實際上系統備份中漏洞與惡意程式未徹底清除,重灌系統不久又再次被加密、再次被駭客奪走權限,因此事件處理現場需有資安與備份專家一同協力,才能徹底根除問題。
最後面對網路攻擊,企業不能心存僥倖,唯有在最後一道防線足夠穩固的基礎上,持續加強基本功,透過定期自動工具檢測以及外部專家檢測,持續墊高防禦水準,保護好消費者個資是企業在數位經濟時代應盡的社會責任。
★如何防禦勒索軟體?
弱點掃描>>定期檢測系統漏洞與組態設定
源碼檢測>>及早發現及早修補漏洞
滲透測試>>模擬駭客入侵手法找出系統漏洞
