現代人身處科技發達的電腦、手機、網路等設備裝置和資訊服務充斥的時代,早已習慣資訊和科技所帶來的便利。但相對的,由於資訊科技和網路之發達,也帶來相應而生的資訊網路等犯罪活動。
在新冠肺炎Covid-19疫情之後,「資訊安全」之重要性不言而喻!因為居家辦公的工作模式,公司的資料不再僅只儲存於公司的電腦或伺服器等設備, 而是儲存於雲端空間,讓員工們更便於從家中透過網路連線到雲端共用空間來存取資料,或是從員工的個人電腦、筆記型電腦等數位科技裝置來存取資料。
也有公司或組織單位,為了讓公司團隊的運作更為順暢,而大量使用微軟、google或dropbox的雲端共用空間來分享檔案等,這些做法無疑是將公司「組織單位」的資訊安全暴露於可能被駭客或有心人士攻擊之高風險當中。為了方便公司的行政運作、營運等,付出的代價便是「增加公司資安被攻陷的風險」。
因此,資訊安全的重要程度,已無須多說,尤其在新冠肺炎Covid-19 疫情之後日益顯著。政府單位及企業都注意到,必須在電腦網路等之資訊安全的軟硬體設備更新汰換等部分,多投注預算及規劃。
然而,有一種資通管理操作是可以避免企業付出昂貴代價「付出金錢」之作法,那便是「定期資料備份」。為何「定期資料備份」可以成為避免企業付出昂貴代價之作法呢?這就需要從「勒索軟體」談起。
如表「網路上常見的惡意攻擊手法」,「勒索軟體」是資通威脅中常見的其中一種。
1 |
惡意程式 (病毒 /蠕蟲 /木馬) |
2 |
釣魚攻擊 |
3 |
勒索軟體 (ransomware) |
4 |
帳號盜取 |
5 |
DoS /DDoS |
6 |
進階持續性威脅 (Advanced Persistent Threat) |
7 |
SSL加密風險 |
8 |
網頁應用攻擊 (SQL Injection /跨網站指令碼) |
9 |
內部人員外洩資料 |
10 |
drive-bydownload /Watering hole |
表1網路上常見的惡意攻擊手法
所謂「勒索軟體」英文名稱為「ransomware」,其前半英文ransom翻譯成中文意思是「贖金」,顧名思義,勒索軟體的攻擊方式:讓受害者的設備或重要資料遭到加密,使他們無法使用設備、資料庫或應用程式以及存取文件,同時攻擊者會在受害者的電腦畫面上顯示要求受害者支付贖金的訊息。
勒索軟體的運作方式有五個步驟:
- 入侵使用者的電腦(Arrival)
- 連接駭客的伺服器(Contact)
- 搜尋本機與網路磁碟(Search)。
- 加密目標檔案(Encryption)
- 要求贖金(Ransom)
而勒索軟體可以透過兩種方式入侵使用者的電腦:
- 一種是「釣魚郵件-亂槍打鳥式的傳播」
- 另一種則是「針對特定目標進行攻擊」
尤其「針對特定目標進行攻擊」,緊急救援與醫院、汽車業者、製造業的工廠等,近年來頻繁遭受勒索軟體之威脅。
一旦勒索軟體入侵使用者電腦之後,在有網路連線的情況下,勒索軟體會偷偷連接到駭客的伺服器進行資料傳輸,並因此造成電腦中毒,使用者會明顯感覺到電腦網路變得很慢,就是因為駭客也同時在使用網路的原因。剛開始勒索軟體出現時,其為蠕蟲形式的惡意程式。蠕蟲身上會帶有一段電腦程式,這段程式的內容包含加密的指令,它會盡可能搜尋到可攻擊的目標檔案(例如:副檔名為.odt、.doc、.docx的資料)來加密。
它(蠕蟲形式的惡意程式)會搜尋電腦的C槽、D槽以及網路磁碟中的資料。勒索蠕蟲可以自我大量複製,並透過網路散布到其他連網裝置,例如:印表機、擴充硬碟等,尤其網路磁碟更是勒索蠕蟲入侵內網的跳板!因為在工作上使用網路磁碟與他人共用、共筆或是分享檔案皆非常便利,但卻因為此便利性,成為助長勒索蠕蟲入侵內網的一大漏洞!
一旦電腦中了勒索蠕蟲,資料被加密,不僅重要檔案無法開啟,更麻煩的是設備、資料庫或應用程式可能也都無法使用。然而,在沒有取得解密金鑰的情況下,幾乎不可能透過破解密碼的方式自行解密成功。因此,受害者的電腦畫面上會出現「要求受害者支付贖金,來換取檔案解密金鑰」的訊息,因為有解密金鑰,才能解鎖檔案。有些受害者,在「沒有資料備份」的情況下為了搶救重要資料,不得不按照畫面指示,在期限內,到支付贖金的網路頁面付款,以取得解密金鑰。
但根據Sophos公司《2021年勒索軟體形式報告》,這一篇在2021年1~2月的調查,針對全球30個國家,共5,400位IT部門的決策者。受訪者中,有37%的組織曾在2021年遭受勒索軟體攻擊,被攻擊的組織當中有54%表示:網路防火牆未能將勒索軟體擋下,導致檔案被勒索軟體感染且被加密。部分組織「有定期備份檔案的習慣」,所以可以找出未受感染且完整的備份系統及資料進行回復,不受勒索軟體威脅。
但也有組織不得不支付贖金來解開被加密檔案,而這些受害的中型企業平均要支付17萬元美金(約500萬元新台幣)的贖金,卻只有平均65%被加密的檔案資料可以救回!為何支付贖金拿到金鑰卻無法救回檔案呢?那是因為當檔案被勒索軟體感染並加密時,該檔案就已經遭受勒索蠕蟲破壞,其他原因也可能駭客在利用網路傳輸解密金鑰時,因為網路斷線導致解密金鑰遺失等因素。
所謂狡兔有三窟,是比喻人為了自身安全而設有多處藏身的地方或多種避禍的策略。同樣地「定期資料備份」如同狡兔三窟也是極佳的策略!替重要的資料多做備份,並且「讓重要的資料有好幾窟」,確實為一個好方法!而這好幾窟,就是資訊安全中的「異地資料備份」。異地資料備份的優點就是:假設原先常在編輯使用或存有備份資料的硬體設備,
例如:網路伺服器、資料庫等,如果該設備硬體損毀,資料「即便備份資料」也都可能同樣損毀。但若此時,重要資料還有備份在別處(異地)的網路伺服器、資料庫等硬體設備內,便無資料遺失的問題存在;也無需面對得付出昂貴代價「支付贖金」,但卻無法救回資料「賠了夫人又折兵」的窘境了!
【參考資料】
- 世界經濟論壇《2021年全球風險報告》
- Sophos公司《2021年勒索軟體形式報告》
- Sophos調查發現勒索軟體支付費用 製造業為所有產業最高
- 財團法人中國生產力中心「111年度-資通安全宣導」課程
- e等公務員學習平台「勒索軟體介紹與防護(行政院資通安全處)」課程