事前預防 勒索軟體防護指南

字級
事前預防 事中處理 事後回復

勒索軟體威脅預防措施

更新日期:2023-04-27

事前-勒索軟體攻擊預防措施

1.事前預防措施 - 了解常見勒索軟體的入侵管道

    為預防勒索軟體,必須先對勒索軟體的攻擊途徑有所瞭解。勒索軟體感染在完整的攻擊行為中,是屬於末尾的步驟,因此企業如果能在先期發現攻擊跡象,便有可能阻止勒索軟體攻擊,也就是盡早發現憑證盜竊和橫向移動的跡象,可防止勒索軟體悄悄入侵企業網路。以下列出常見勒索軟體的入侵管道,並可參考 常見勒索軟體的入侵管道與防護建議(另開新視窗) 了解更多防護建議。
  1. 曝露於網際網路的設備漏洞與錯誤配置:任何曝露於外部網路的主機或伺服器都有可能成為資安的破口。攻擊者可以透過大量掃描的方式來探測網路上的主機,藉此發現存在漏洞或安全性設定錯誤的主機,因此任何可以直接被外部使用者連線的主機或伺服器都必須做好資安防護,將資安的攻擊面縮減到最少。
  2. 網絡釣魚:網路釣魚是傳遞勒索軟體最常見的方式,類似的方式有很多,包含:通訊軟體、SMS簡訊、社群網站、釣魚信件等。其中,釣魚信件是經常被使用的方式,攻擊者通常會將惡意連結或附檔透過社交工程的方式寄送到受害者的信箱,當受害者開啟信件中的惡意連結或附檔時,就會下載並執行惡意程式。此外,透過惡意網址連接到釣魚網站或惡意下載點也是網路釣魚經常使用的手法,因此提高資訊安全意識,避免點選可疑通訊軟體和簡訊的連結是網路釣魚最有效的防護方式。
  3. 前驅惡意程式感染:前驅惡意程式是感染勒索軟體前的信號,當惡意程式透過漏洞、網路釣魚等方式進入內部網路後,並不會直接安裝勒索軟體,而是在內部網路等待並尋找適合時機來下載勒索軟體本體。許多勒索軟體會先利用dropper等惡意程式感染受害者主機,在取得控制權後,才會從惡意中繼站下載勒索軟體的主程式。勒索軟體的感染分成很多階段,從進入受害者電腦到執行勒索軟體都是不同的惡意程式,並且這些惡意程式是從不同的命令控制伺服器取得,導致調查上有一定程度的困難。在感染惡意程式時必須有所警覺,例如:是否有其他不同惡意程式存在,或是有可疑連線等。
  4. 透過第三方的託管服務入侵:企業或組織所使用的雲端託管服務必須來自可信賴的供應商,並且需要做好身分管理,因為攻擊者可能會利用託管服務供應商 (Managed Service Provider, MSP) 的網路連接對客戶組織內部進行訪問,並且用於傳遞勒索軟體,除此之外,攻擊者也可能竊取MSP的電子郵件帳戶來發送釣魚信件。因此,公司或組織針對MSP必須訂定較高的安全規範並確實執行,盡可能將攻擊管道縮小。
  5. 內部網路擴散:勒索軟體在感染公司或組織內部主機後,會滲透企業或組織網路並在內部散播,企業或組織必須具備足夠的網路能見度來主動回應或控制這些威脅所造成的影響,並減少重複感染的風險。當攻擊者進入公司內部後,通常以網域控制站 (Domain Controller, DC)為目標並將其當作傳播勒索軟體的中轉站。攻擊者在取得AD網路的控制權後,可以將勒索軟體散播至AD網路中所有的主機,資產損害的程度也大為提升。在資訊安全防禦的策略中,當攻擊事件發生時,應啟動資安事件應變計畫,並即時掌控資安影響範圍,藉此阻斷資安損害的範圍。當企業內部已遭勒索軟體入侵,為避免其他主機或重要資產遭到勒索軟體加密和外洩,應立即阻斷勒索軟體在內部網路擴散的路徑,實行斷網、隔離等防護措施。

2.事前預防措施 - 保護系統

  1. 使用防毒軟體,並及時更新系統、軟體和應用程序:攻擊者通常利用未修補的漏洞來訪問未經授權的系統和網路,以執行後續惡意活動。
    -應安裝防毒/防惡意軟體並保持其病毒碼/惡意特徵碼更新。每周至少對系統和路執行一次掃描,並掃描所有收到的文件。
    -當移動儲存設備(如:隨身碟)連接時應執行防毒掃描。
    -將系統、應用軟體更新到最新版本,並下載最新的安全更新檔。
  2. 強化具派送功能伺服器安全:防毒軟體中控、AD伺服器、資產管理系統等因具有軟體派送功能,更需注意安全更新,並密切觀察其群組原則或工作排程不正常異動狀況。
  3. 僅在需要時啟用 Microsoft Office巨集:勒索軟體可能透過惡意 Microsoft Office 檔案感染,誘使受害者啟用巨集以查看檔案內容。
  4. 最小化開放埠的設置:勒索軟體可能會利用對外曝露的服務和開放埠(例如 RDP埠3389和SMB 埠445)在網路中傳播,除了確認其開放的必要性外,還應確認使用這些服務的對象為可信任。
  5. 設置防火牆,阻止任何與已知惡意IP、URL 的網路連線行為,禁止使用允許任何連線的規則,只允許與對外服務的IP、DN進行連線。
  6. 人員的最小使用權限:為了減少攻擊者獲得管理權限的機會,應該:
    -控制和限制存取權限,為所有的使用者提供工作所需的最低權限,特別是需要遠端登入的帳號,例如:RDP。
    -定期檢視所有帳號的使用情況,並停用非活動帳號。
    -實施多因子身份驗證。
  7. 提高資安意識:應定期對員工進行培訓,建立良好資安意識及網路使用習慣,例如識別可疑電子郵件,不要隨意點擊連結,不打開未知或不受信任來源的電子郵件的附件,並進行社交工程演練,提高訓練成效。
  8. 系統備援:應針對重要服務系統規劃系統備援機制,確保系統發生異常時,能夠保持服務正常運行。
  9. 啟用系統事件紀錄檔(Event logs)功能,紀錄系統故障或異常狀況。

3.事前預防措施 - 保護資料

  1. 維護更新的備份並保持離線:定期執行資料備份有助於在發生勒索軟體攻擊時恢復資料,而儲存備份資料的主機或設備不要與網路連接。
  2. 加密重要或敏感資料:應對重要或敏感資料進行加密,如果資料被竊取,可以使攻擊者難以處理這些資料,另外,某些勒索軟體僅對常用文件類型(例如圖檔和文檔)起作用,則加密還可以防止它們檢測到文件。
  3. 依資料重要性、任務等區分不同的權限管控。
  4. 維護更新的備份並保持離線:定期執行資料備份有助於在發生勒索軟體攻擊時恢復資料,而備份資料儲存且不能連接到既有企業網路中,可防止勒索軟體透過網路影響備份資料。
  5. 3-2-1備份原則:3份備份、2種儲存媒體、1個不同的存放地點。
  6. 定期維護重要系統的映像檔(image file):虛擬機或服務器的映像檔包括預先配置的作業系統和相關的應用軟體,當發生攻擊,而需要重建系統,可以利用這些映像檔達到快速部署恢復。

4.企業組織事前預防措施 - 準備事件應變計劃

  1. 在事件發生之前,制定事件應變計劃並進行演練,以測試計劃是否可行是非常重要的。在受到攻擊時難以即時判斷正確作法,透過已制定好的計劃並實施,將有助於員工了解要採取的行動,並確定各項系統與環境的恢復優先等級。
  2. 準備資安事件發生時,可尋求協助的外部資安單位、警調之清單與連絡方式。
  3. 加入資安情資分享組織(如:所屬產業的資安資訊分享與分析中心(ISAC)、臺灣電腦網路危機處理暨協調中心(TWCERT/CC)等),取得資安預警、資安威脅與資安弱點等情資。

回上一頁