对抗骇客新威胁不断，5项资安基本对策可先做

摄影_何维涓

近几年，网路勒索软体十分盛行，平均每个月就有20到30个不同的勒索软体，光是去年，又出现150个新的勒索软体，去年最常见的勒索软体包括CryptoLocker、TeslaCrypt、Locky。根据卡巴斯基的调查结果显示，每10秒钟就有一位用户被勒索软体攻击，而每40秒就会有一家企业被攻击，骇客惯用的手法就是把用户的档案或是文件锁起来，如要解锁则需付比特币当作赎金。

从去年开始，骇客转移勒索的目标，不再是攻击个人的电脑，开始锁定伺服器，用相同的手法勒索企业，Palo Alto Networks亚太地区首席技术架构师萧健英举例，去年美国一家医院的网路被骇客渗透，伺服器上的资料遭到勒索软体上锁，甚至导致当天医院的手术也无法进行，伺服器的勒索金额也从个人电脑的1千美元，提高到2万美元。以往企业处理个人电脑被勒索攻击的方式，就是把硬碟格式化再重新备份还原，但是攻击来到伺服器上时，备份还原的就变得很麻烦。

萧健英表示，这些事件都反映出骇客攻击手法不断翻新，企业该如何应对？对此，他提供了5项对抗新威胁的基本资安对策：

1. 要防止透过网路钓鱼的方式来渗透企业的恶意软体
2. 用强制阻断的机制，防止用户凭证遭窃取
3. 内部网路若要存取重要资讯，可採用多因素的认证方式，提供额外的保护机制
4. 使用最低权限存取的零信任原则，防止内部和外部的恶意软体攻击
5. 在用户个人电脑和重要的伺服器上，要防止漏洞和恶意软体安装

预防钓鱼邮件，是因应新资安威胁的第一步，萧健英解释，根据Verizon的2016年数据揭露报告指出，一个企业中会有30%的用户打开钓鱼电子邮件，12%的用户会点击恶意附件或是连结，「不要随意打开可疑的电子邮件或是点击连结和附件。」这是企业CIO或CTO得念兹在兹的一句话，甚至，钓鱼邮件可能都会伪装成Gmail格式，但会要求收信人验证身份才能打开，骗取收件人点击伪造的验证连结，或是要求输入帐号密码，但其实是直接把资料交给了骇客，伪造的Gmail钓鱼页面与实际介面几乎一模一样，萧健英提醒，骇客也会很类似的网址来混淆用户，还得从仔细检查网址来确认来源才行。

而提出第二项资安对策是因为，「光用密码做凭证是不够的。」萧健英说，多因素认证可能是解决方案，但目前由于网路上有上百个应用，实行上有一定的困难，他倒是建议，另一个方式是从阻断恶意连结着手。他说，可以分两个阶段来阻断，第一阶段，当用户要前往标记为恶意的网站，透过应用程式防火墙立即阻断连线，若遇到无法分辨的网站，则可用沙盒（Sand Box）来模拟用户行为，分析之后再进行网站分类，并更新到网址资料库来控管日后的连线。第二阶段，在沙箱完成分析前，若用户在等待期间点开了网页，则可搭配防火墙进行凭证比对，防止凭证外洩。另外资料中心防火墙可针对重要的伺服器进行多重认证，若凭证已被窃取，这些额外的认证机制也可防止内部的入侵活动。