勒索軟體行為與一般使用者習性的相同性導致動態偵測困難,而快速變種加上混淆/加殼亦導致靜態偵測困難,以上原因加上病毒針對進階持續性威脅攻擊目標的客製化導致企業難以提前防禦偵測,實為非戰之罪。在經過時間洪流洗滌後,碩果僅存的家族皆因其攻擊性成為眾多進階持續性威脅攻擊的最終武器。在此情況下防毒軟體後手防禦的機制效果十分有限,企業應更著重預防犯罪者的
可能投毒管道,並加速IT部門針對大型
更新的測試反應速度,避免在零日漏洞爆發到漏洞服務釋出更新的期間外,公司還有更長的IT內部測試到全面更新的
空窗期,可供犯罪者加以利用。
勒索軟體攻擊防禦機制上建議以下作法:
(1) 郵件管理
由於進階持續性威脅攻擊常透過社交工程取得目標網域內的關鍵資訊,並後續進行諸如勒索軟體攻擊等惡意行為,因此透過郵件管理工具進行惡意網址比對、惡意連結分析、垃圾郵件過濾、沙盒測試等,可協助員工降低受惡意郵件攻擊的風險。
(2) 多因子認證
重要主機的伺服器以及服務系統建議透過多因子認證進行登入管控,包含使用實體因子、生物因子、動態密碼工具等方式提高驗證難度。
(3) 權限控管
權限控管部分建議系統存取權限皆採取最小信任原則,並且企業內關鍵伺服器可採取實體存取方式,限制僅管理人員可直接於系統主機前進行操作。
(4) 微網段隔離
微網段隔離可提高網路架構複雜度,提高犯罪者入侵後內部橫向移動的成本與被防禦工具偵測到的機會,並且透過網段隔離可避免攻擊行為快速蔓延,透過防火線機制進行災損控管。
(5) 端點防護
端點防護部分可透過端點偵測回應工具、應用程式白名單、主機/系統滲透測試以及更廣域的紅隊演練驗證場域的安全性。
(6)系統備份
不論是何種系統,即使配置了各種安全防禦機制都仍有遭受攻擊的風險,資安的工作在於提高入侵難度,進而降低遭受攻擊風險,也因此企業內部必須作好系統備份工作,備援主機應採取離線異地備援,盡可能與服務主機進行切割,並且備援主機應盡可能處於網路隔離狀態,只於備份時間連線平時離線。
