新冠肺炎疫情蔓延全球,駭客組織將此視為發動資安攻擊的好時機,近期發生不少勒索軟體攻擊事件等,引得人心惶惶。針對最新資安威脅,微軟 提出四大應變措施 ─「檢測、隔離、解決、重建」,包括檢測受攻擊的端點和憑證、隔離被駭端點、解決網際網路漏洞,和重建受到相關惡意軟體感染的裝置,協助企業面對資安攻擊臨危不亂。
根據微軟網路威脅情報團隊調查,僅是2020年4月的前兩周,便有多個駭客團體發動數十個勒索軟體部署,並累積了存取權限及持續鎖定目標網絡。
微軟網路安全解決方案全球副總裁Ann Johnson指出,駭客透過滲透到目標網絡一步步對企業進行勒索,提早鎖定有漏洞的系統,如缺乏多重身份驗證(MFA)、版本較舊、沒有更新密碼或較薄弱的Windows平台等,並會在適當時機藉由勒索軟體在網路中迅速擴散,以影響電子郵件識別、端點、收件夾、程式等來攻擊並獲利。
如今勒索軟體在亞太地區仍是重大的資安威脅之一,隨著相關案例越見頻繁,台灣的企業與個人必須了解常見的威脅手法以及發生後的回應方式。
微軟提出四項受駭後的應變措施,包括檢測受攻擊的端點和憑證:將所有被攻擊的端點、現有憑證與最終用戶設備,例如桌機、筆電和行動裝置的存取點進行標記,並檢查事件日誌中是否存有被破壞後的登錄資料。
隔離被駭端點:對於具有命令和控制信標(command-and-control beacons)或已成為水平擴散目標的端點,應予以定位並隔離。建議使用高級搜尋或直接搜尋相關入侵指標(IOC)的方式定位,並透過Microsoft Defender ATP或NetFlow等Defender資源來隔離已標識的端點。
解決網際網路漏洞:高風險系統和未安裝MFA的端點應特別注意,駭客將透過網際網路,使用暴力密碼破解(brute-force attack)的方式,來存取企業或個人電腦的資訊。
重建受到相關惡意軟體感染的裝置:企業應立即調查並補救任何已知的漏洞感染。在重建被攻擊的端點或重設密碼之前,請務必檢查暴露於風險中的憑證、額外有效載荷以及水平擴散。
