勒索軟體猖獗　微軟首席安全顧問提三大防護要點 | 史塔夫科技事務所

勒索軟體這個議題近兩年相當被重視，甚至有資安公司預測今年會是勒索軟體之年，到底該怎麼防禦呢？不幸中招該怎麼處理呢？微軟亞洲首席安全顧問皮耶‧諾伊（Pierre Noel）12日來台訪問，特別就勒索軟體的對應之道，向國內企業提出建言。

皮耶表示大約自5、6年前起，犯罪集團了解到網路獲利比販毒更高，因此開始組織化作業，以分工合作、針對性、持續性攻擊的方式向企業竊取資料，諸如信用卡、通訊錄等，都是可以賣錢的，而近來更轉變為勒索軟體。

微軟亞太區全球技術支援中心資訊安全暨風險管理經理林宏嘉，對流氓／勒索軟體的標準攻擊程序先做說明，指出通常攻擊分成四個階段：

準備：決定攻擊情境、取款／獲利模式、逃生管道
標定：回饋測試、採取散彈或指向、決定標的物
攻擊交付：結果確認、獲利轉移、錢是唯一目標嗎？
擴大戰果：水平擴散、模式修正

而這四個階段只會維持80至100個小時左右，過了這段時間，就煙消雲散再也找不到罪犯蹤跡。

▲ 流氓／勒索軟體的標準攻擊程序（圖／Matt Kan攝）

「現在歹徒都是先竊取資料，再使用勒索軟體，遭勒索不會給了錢就沒事，要先釐清哪些資料被拿走，避免再度發生，在罪犯下一個動作前先處理。」皮耶如此建議。他同時指出，網路犯罪（Cybercrime）、駭客主義（Hacktivism）與恐怖主義（Terrorism）的共通點即為沒有規則可循，僅針對裝置進行安全防護已無法抵擋，使用者的行為反而更顯重要。如何從下而上築起資安防線，重塑資安企業文化，將是高階經理人責無旁貸的管理課題，企業應提升資安管理層級至CEO，而不是丟給CIO、CTO。

「企業最好能由危機處理部門來負責資安防護，如果沒有危機處理部門，也應該將資安防護的工作移出IT部門，不能將資安防護定位在IT問題，負責人需要能與CEO溝通，說CEO的語言。」皮耶這麼表示。

對於無法設置危機處理部門的中小企業，皮耶建議三個重點要做到：首先要有專人負責資安防護，發生問題這個人是得被開除的；再來要將公司內的資料依重要程度分級，先將重要的資料保護好，一方面也才知道該花多少錢保護哪台機器；最後，依據優先順序列出資安防護需要做到的項目，按部就班執行。

總合以上，皮耶再歸納了企業資安防護的三大要點：一、事前預防勝過事後修補漏洞或取回外洩資訊；二、強調使用者行為安全重於裝置安全；三、企業應提高資安管理層級並採用通過國際認證的資安服務。

史塔夫短評：老闆，中了勒索軟體是你的責任！