勒索軟體已經由過去的大量發送的自動化方式改為「人為操作勒索軟體 Human Operated Ransomware」的攻擊方式,也就是駭客在遠端操作鍵盤的 APT 先進持續攻擊。駭客會探詢客戶的環境的弱點入侵。與自動傳播勒索軟體不同,它們是手動鍵盤攻擊,攻擊者會使用被竊取的特權帳號憑證執行偵察、變更防火牆等網路的設定、關閉防毒軟體等資安防護措施。每一次的攻擊方式或許都會不同,所以傳統的端點偵測與響應 (EDR) 與端點保護平台 (EPP) 都不一定能有效防範。
資安專家建議防止勒索軟體的方法與客戶面臨的困難
https://cyberx.tech/does-encryption-prevent-ransomware/
1. 網路分段 Network segmentation :
• 要將客戶現有網路作實體隔離的困難度非常高並且會將降低生產力。
2. 導入多因子認證 Multi Factor Authentication (MFA)
• 費用昂貴,要與現有網路環境與應用程式整合,往往無法支援陳舊系統。
3. 修補與更新 Patching & updates
• 大部分客戶的 IT 環境都會隨時更新作業系統與上 Patch,很難對 24 小時不停機的 生產工作機台更新作業系統與上 Patch,成為駭客與勒索軟體入口。
• 每個工廠都在害怕!工廠生產設備很貴,折舊很長,可以用五到十年甚至更久。那時候的電腦作業系統還是十年前的版本,沒有更新,感染病毒後,病毒會將資料庫加密鎖住 (以便勒索業主),抓不到資料,生產線就自動停了。(資料來源 天下雜誌 https://www.cw.com.tw/article/5092718)
Preempt 防止駭客入侵與勒索軟體
有別其他產品如 EDR 端點防護或 PAM 特權帳號管理產品,Preempt 不需要在客戶的個人電腦上安裝 Agent、不需要改變網路架構與用戶習慣,資料不需要上傳到雲端,只需要在客戶的 DC 安裝 Agent 並提供 Preempt 使用的特權帳號,以虛擬機 Virtual Appliance 佈署,可以在 3~4 個小時內完成 PoC 安裝設定,迅速以下列方式保護客戶 IT 環境。
立即清查客戶環境內的弱點 (作業系統與密碼設定) 與風險指數 Risk Score
1) 例如是否幽靈特權帳號?
2) 是否有作業系統沒有更新版本?
3) 作業系統老舊的機台電腦是否與 MIS、OA、網域主機網路連通?
4) 是否有未納入管理的電腦或終端 (Unmanaged End Point)?這些電腦 可能是從 VPN、WiFi 無線網路的連線電腦或生產線自動化機台。
潛在威脅與明確的攻擊行為
1) 例如是否有駭客在掃描暴力破解網域管理員密碼?
2) 例如是否有大量登入電腦的行為 (勒索軟體大量加密) ?
將網路分段、阻斷不合理的連線
1) 例如將生產線與 IT 的 MIS、OA、網域控制器主機網路邏輯分段。
2) 例如依照業務性質 (生產、財務、研發、OA 等) 與網路性質 (VPN、WiFi、內網、VDI 等) 邏輯分段。
透過 MFA (多因子身分確認)、降權、阻斷、隔離 (要搭配 NAC) 等有效反應來防止駭客 (人為勒索軟體) 的入侵、蛙跳與攻擊
1) 針對透過 VPN、WIFI 設備登入到內部 個人電腦或伺服器的連線要求 MFA 多因子身分確認。
2) 例如有無法更新作業系統版本與 Patch 的非人為操作電腦(如生產設備機台)使用 RDP 遠端桌面連線時要求 MFA 多因子身分確認或立即阻斷。
3) 例如當有程式帳號 (如備份、稽核、資安軟體) 將使用 RDP 遠端連線時立即阻斷。
4) 例如對登入到重要的伺服器時 (如 Mail Server、網域控制器主機等) 的特權帳號要求 MFA 多因子身分確認。