應對洗劫數百萬美元的勒索病毒,企業的七個預防對策

聲譽良好、經營穩建、市值規模較大的,所謂藍籌企業(Blue-chip businesses )並非是近日唯一遭受勒索病毒重創的企業。其對業務連續性的威脅也可能對消費者造成連鎖反應,Colonial Pipeline的石油管道暫時關閉後出現的大量燃料囤積事件就證明了這一點;此外,當全球最大肉類生產商JBS的數家工廠停止生產以調查網路攻擊時,人們也都預期會出現肉類短缺。雖然兩者都迅速地恢復了營運,但並非全無代價。Colonial Pipeline一開始付給了DarkSide超過440 萬美元,其中有大部分可以在之後取回。而JBS則是決定支付REvil 1,100 萬美元以保護他們的客戶,即便他們已經自行恢復了大部分系統。本文裡概述了如何避免遭受網路犯罪份子洗劫的最佳實作和對策。

勒索病毒與大企業間的故事由來已久,眾所周知,惡意駭客會將目標放到財力雄厚的目標以求豐厚的回報:最近一連串針對企業的勒索病毒HYPERLINK “http://blog.trendmicro.com.tw/?p=12412” Ransomware (勒索軟體)攻擊突顯出網路勒索攻擊會如何造成大規模營運中斷並打亂全球的供應鏈。在今年五月,美國最大石油管道公司Colonial Pipeline被迫關閉部分系統以控制住網路犯罪集團DarkSide所造成的勒索病毒爆發 – 這次攻擊竊取了他們100 GB的資料。全球最大的牛肉供應商JBS也在幾週後遭遇REvil集團類似的攻擊,癱瘓了他們的電腦系統。

根據趨勢科技關於勒索病毒的最新報告,REvil和DarkSide都列在竊取和外洩網路資料量最大的勒索病毒榜單上,如圖1所示。

The volume of leaked data in gigabytes hosted online per ransomware-as-a-service (RaaS) as of Feb 2021
圖 1. 截至2021年2月21日,勒索病毒即服務(RaaS)的外洩資料量(以GB為單位)

因為疫情的持續發展,有些網路犯罪集團去年承諾會放鬆對醫療產業的攻擊,但並非所有人都能做到,因為從那之後,對醫院和醫療產業的攻擊仍持續出現。感染勒索病毒對企業來說代價相當昂貴,不僅是因為惡意駭客所要求得高額贖金,還因為其造成的收入損失,更不用說停工期間的生產力下降。但如果企業能夠採取行動來加強對IT基礎設施的防禦,這些災難是可以避免的。在這裡,我們概述了一些能夠避免遭受網路犯罪分子洗劫的最佳七個實作和對策:

1.制定並測試一套正式的事件回應計劃


路犯罪集團希望能在受害者毫無所覺下攻擊成功,因此企業應準備好一套程序手冊,能夠在網路攻擊發生時指引回應團隊。程序手冊內應詳細說明團隊驗證、分析和控制感染該採取的程序,好讓企業能盡快恢復正常。很多人會以美國國家標準暨技術研究院(NIST)和SysAdmin、Audit、Network和Security等事件回應框架作範本來建立自己的程序手冊。企業還可以舉辦演習來測試自己的程序手冊,讓資安團隊處理模擬的漏洞攻擊及其他緊急情況。這些演練能夠評估回應準備情況,並且有足夠時間來發掘應變計劃的不足之處並加以改善。

2. 防止未經授權的用戶窺探網路,實作最小權限原則


為了防止未經授權的用戶窺探網路,企業需要評估員工以及客戶和供應商等相關人員的存取權限。堅持最小權限原則,確保員工在登入公司網路時的帳號僅具備執行工作所需的權限。此外,企業必須定期進行權限審查以掌握誰能夠存取哪些系統。用戶存取權限必須要謹慎管理,根據人員的角色授與或修改權限,並且在離職時予以撤銷。

3.修補企業網路內的漏洞

未經修補的系統很容易成為勒索病毒運營商的目標。企業必須立即部署針對關鍵業務端點和伺服器的安全更新,因為這些更新包含了對新發現漏洞的最新修復。為企業系統安裝修補程式可能會造成短暫的維護停機時間,因此必須注意,任何延遲都會為惡意駭客提供利用這些漏洞的機會。虛擬修補技術也能夠用來保護還沒有修補程式的舊系統。

4.移除過時的系統 ( Colonial Pipeline的漏洞可追溯到被盜用的非活躍VPN帳號)

透過盡量減少網路受攻擊面,可以讓企業更好地保護關鍵資產。Colonial Pipeline的漏洞可追溯到被盜用的非活躍VPN帳號,這突顯出如果企業未能清理內部,過時系統上的漏洞是多麼容易被忽略。強化網路的做法之一是要小心謹慎地監控企業系統所有可能的進入點:任何過時、多餘或不再使用的系統都必須要移除或至少跟網路的其他部分隔離開來,不讓惡意駭客有可乘之機。

5.實作3-2-1備份規則


針對勒索病毒的多層次防禦包括可靠的備份策略,防止網路犯罪分子加密公司的重要資訊並威脅要公開出來。用兩種不同格式儲存至少三份資料副本,其中一份存放在異地,這種做法已經成為業界標準。儲存多份最新資料副本能夠讓企業從入侵事件快速恢復,就像JBS是如何迅速回復大部分的系統,這部分得歸功於公司的備份伺服器。不過這些策略仍需要定期進行測試,確保備份過程沒有錯誤或延遲,也確保儲存的資料可以被取回並保持完整。

6.確保員工在家工作(WFH)的安全

現在有越來越多員工轉移到遠端工作,這就要求企業必須制定並嚴格執行適合分散式員工的IT政策。在家辦公潛在的安全漏洞(如使用不安全的個人裝置或家用網路)會讓企業面臨資料遺失或被竊的風險 – 一旦遭受入侵,這些潛在漏洞都可能被利用成為攻擊媒介。在理想狀況下,員工可以使用公司配發的裝置和 VPN,讓他們在工作時更容易遵守資料保護準則。 

7.阻止會誘騙員工下載勒索病毒的網路釣魚攻擊

網路釣魚(Phishing)是最常見的線上詐騙手法之一,是惡意駭客進入企業網路的常用手段。網路釣魚郵件會誘騙收件者點開惡意連結或附件檔,進而偷偷地安裝惡意軟體或收集可供網路​​犯罪分子滲透網路的帳密。因為它是勒索病毒常用的散播方式,因此必須讓員工了解如何發現可能是詐騙郵件的危險訊號。為了加強防禦,公司還可以利用像趨勢科技 Cloud App Security™ 這樣的安全解決方案來識別和封鎖可疑的電子郵件。

最後,預防仍是應對現代勒索病毒的最佳策略。對企業來說,強大的資安態勢不能只依賴於單一的措施,必須靠全面性的協同合作才能抵禦惡意駭客手中不斷變化的工具和資源。像Trend Micro Vision One™ 這樣的解決方案可以關聯和標記系統內的惡意活動來有效追蹤Conti勒索病毒等惡意軟體,能夠幫助資安團隊在網路犯罪分子發起攻擊前先一步阻止他們。

@原文出處:How Enterprises can Deflect Million-Dollar Ransomware Demands