當「資訊安全」議題被預防駭客入侵技術作為包裝之後，往往讓企業資訊管理層陷入高階防火牆、防毒軟體、入侵偵測、入侵防護等進階防護的迷思，往往忽略了最基本的「資料備份」與「資料保全」的重要性。同為業界主機服務商，捕夢網數位科技技術長趙永弘先生表示：資料是企業重要的資產，當資料遭到毀損或佚失時，對企業或多或少都會造成損失，而當資料毀損或佚失發生時，企業將面臨如何將資料復原、補救，同時也須評估損害程度及範圍。若此時如有完整的資料備份機制來應對此一類事件，將變得較為單純，無論是實質或商譽的損害均能將到最低。

    針對資料備份的措施，捕夢網採用三階段備份加上異地備份的方式來處理資料保全，把自身及委託代管的客戶資料毀損及佚失的風險降至最低，同時並導入ISO27001資訊安全管理系統，透過標準作業程序的制定、人員的教育訓練及內外部的稽核，落實P-D-C-A的循環強化管理作為。藉由精進技術能力、強化設備效能及嚴謹的內控管理來確保將風險降至最低。對於企業捕夢網除了既有的主機服務外，同時提供了PNST及S3雲端儲存服務，讓企業做為資料保全及備份的選擇。

    至於通常在哪些狀況下會讓企業的資料產生毀損及佚失。捕夢網趙技術長引用同是台灣主要主機服務商戰國策網頁上的一段話：「在台灣每年都有數家主機商不堪虧損而倒閉，別再花錢當冤大頭，為了省幾百元造成日後的埋怨與後悔。」(註)。很多企業考慮到本身的營運業態、人力費用及資本支出等因素，選擇將必要的網路資訊服務採委外方式處理，但卻不甚了解委外廠商的營運狀態，造成的企業資料潛藏毀損佚失的風險。當此一狀況發生對企業而言，至於主機商機房中的資料資到機房業者斷電、斷網甚而設備因主機商的欠費致使遭機房業者扣押的狀況亦時有所聞。

    趙資訊長指出同如戰國策所言這樣的狀況，幾乎每年台灣都不斷的上演，企業要如何慎選服務廠商呢？除了要有口碑、經營時間、規模、對本業的專業程度及是否有過度擴張都是企業選擇此類服務商所要考慮評估的重要指標。

    總之在知識經濟的時代如何完善企業資料保全；避免企業因資料備份或保全不當，對企業造成實質或商譽的損失以經是當下企業經營者無法輕忽的課題。

(註)https://www.nss.com.tw/host/Host_compare.html

S3雲端儲存服務、PNST雲端備份

圖片來源:https://pixabay.com/

The post 切莫因小失大，企業資訊安全回歸基本 first appeared on 捕夢網 Blog.

更新時間：2017 年 5 月 15 日格林威治標準時間 23:24:21：

賽門鐵克已發現兩個可能的連結與 WannaCry 勒索軟體攻擊及 Lazarus 駭客集團有些關聯：

• 已知的 Lazarus 工具與 WannaCry 勒索軟體同時發生：賽門鐵克在已感染早期版本 WannaCry 的電腦上，發現 Lazarus 獨家使用的工具。這些早期版本的 WannaCry 不具備透過 SMB 散播的能力。Lazarus 工具可能已被用來做為散播 WannaCry 的方法，但尚未證實。
• 共用的程式碼：Google 的 Neel Mehta 在發佈的推文中表示，已知的 Lazarus 工具與 WannaCry 勒索軟體兩者有共用的程式碼。賽門鐵克判斷此共用的程式碼是 SSL 的形式。此 SSL 實作使用特定序列的 75 個密碼，目前為止只有在 Lazarus 工具 (包括 Contopee 與 Brambul) 以及 WannaCry 版本上發現過這段密碼。

雖然上述發現並不表示 Lazarus 與 WannaCry 之間有明確的關聯，當我們認為其相關性有必要進一步調查。如有任何進展，我們將持續分享研究結果。

自 5 月 12 日週五起，一種名為 WannaCry (Ransom.Wannacry) 的新種強烈病毒已襲擊全球數十萬部電腦。WannaCry 比其他常見的勒索軟體類型更加危險，因為它可藉由入侵已安裝微軟 2017 年 3 月修補程式 (MS17-010) 的電腦，將病毒散播至企業組織內部的網路。在四月由名為 Shadow Brokers 的集團進行一連串的資料外洩中，最新一波的釋出資料包含上述名為「Eternal Blue」的安全漏洞，該集團宣稱他們已從 Equation 網路間諜集團竊取資料。

我是否已受到保護以避免遭受 WannaCry 勒索軟體攻擊？

透過結合多項技術，可自動保護免於遭受 WannaCry 病毒的攻擊。

主動保護由以下技術提供：

• IPS 網路保護
• SONAR 行為偵測技術
• 先進機器學習
• 智慧威脅雲端

網路保護
賽門鐵克具備以下 IPS 保護以封鎖嘗試利用 MS17-010 安全漏洞進行的入侵行為：

• 作業系統攻擊：Microsoft SMB MS17-010 入侵嘗試 (2017 年 5 月 2 日發佈)
• 攻擊：Shellcode 下載活動 (2017 年 4 月 24 日發佈)

SONAR 行為偵測技術

• SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1

Sapient 機器學習

• Heur.AdvML.A
• Heur.AdvML.B
• Heur.AdvML.D

防毒

為擴大保護與識別的目的，已更新以下防毒識別碼：

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry!gen1
• Ransom.Wannacry!gen2
• Ransom.Wannacry!gen3

客戶應執行 LiveUpdate 並檢查是否已安裝以下定義版本或更新的版本，以確保擁有最新的保護：

• 20170512.009

以下 IPS 識別碼亦可封鎖與 Ransom.Wannacry 相關的活動：

• 系統感染：Ransom.Ransom32 Activity

企業組織亦必須確定已安裝最新的 Windows 安全更新以避免病毒擴散，特別是 MS17-010。

什麼是 WannaCry 勒索軟體？

WannaCry 會搜尋並加密 176 種檔案類型，然後在檔案結尾加上 .WCRY。它要求使用者支付相當於 $300 美元的比特幣贖金。勒索說明表示，贖款金額在三天後將加倍。若未在 7 天內支付贖金，將會刪除已加密的檔案。

我能夠恢復被加密的檔案嗎？或者我應該支付贖金？

目前尚無法將加密檔案解密。如果被感染的檔案有備份，您可以還原這些檔案。賽門鐵克不建議支付贖金。

在某些情況下，沒有備份也能恢復檔案。儲存於桌面、我的文件或遠端磁碟機上的檔案將被加密，原始檔案將被抹除。這是無法恢復的。儲存於電腦上的其他檔案將被加密，而原始檔案將直接被刪除。這表示可以使用取消刪除的工具恢復這些檔案。

WannaCry 是何時出現的？其散播速度有多快？

WannaCry 於 5 月 12 日週五首次出現。賽門鐵克觀察到從格林威治標準時間 8 點開始，WannaCry 嘗試利用 Windows 安全漏洞進行入侵的次數快速增加。賽門鐵克封鎖的嘗試入侵次數在週六日稍微下降，但仍相當高。

圖 1. 賽門鐵克每小時封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 2. 賽門鐵克每天封鎖 WannaCry 嘗試利用 Windows 安全漏洞入侵的次數

圖 3. 熱圖顯示賽門鐵克偵測到的 WannaCry，5 月 11 日至 5 月 15 日

誰會受到影響？

任何未更新的 Windows 電腦都有可能遭到 WannaCry 的攻擊。企業組織的風險特別高，因為它能透過網路散播，而且全球已有多家企業組織遭到感染，其中大多位於歐洲。但是，個人也可能受到感染。

這是鎖定目標的攻擊嗎？

不是，目前認為它並非鎖定目標的攻擊。勒索軟體活動通常是不分對象的。

為何它對企業組織造成如此多的問題？

WannaCry 利用已知的 Microsoft Windows 安全漏洞，無需使用者介入即可透過企業網路進行散播。未更新 Windows 最新安全修補程式的電腦皆有感染的風險。

WannaCry 如何散播？

雖然 WannaCry 可藉由入侵安全漏洞而在企業組織內部網路上散播，但是一開始的感染方式，也就是企業組織中第一台電腦遭到感染的方式，仍未確定。賽門鐵克已發現多起 WannaCry 存放於惡意網站上的案例，但這顯然是模仿的攻擊行為，與原始攻擊事件無關。

是否已有許多人支付贖金？

分析攻擊者提供的三個支付贖金用的比特幣位址後顯示，在撰寫本文時，已有 207 筆獨立交易，總計支付 31.21 比特幣 (53,845 美元)。

保護免受勒索軟體的最佳實踐方式是什麼？

• 新的變種勒索會不定期出現。始終保持安全軟體是最新的，以保護自己免受危害。
• 保持操作系統和其他軟體更新。軟體更新經常包括可能被勒索攻擊者利用新發現的安全漏洞補丁。這些漏洞可能被勒索攻擊者利用。
• 賽門鐵克發現,電子郵件是主要傳染方式之一。特別留意不預期的電子郵件，尤其是email中包含的連結和/或附件。
• 使用者需要特別謹慎對待那些建議啟用巨集以查看附件的Microsoft Office子郵件。除非對來源有絕對的把握,否則請立即刪除來源不明的電子郵件,並且務必不要啟動巨集功能。
• 備份重要數據是打擊勒索攻擊最有效方法。攻擊者通過加密有價值的文件並使其無法使用，從而向被害者勒索。如果被勒索者有備份副本，一旦感染被清理乾淨，我們就可以恢復文件。但是，企業組織應該確保備份被適當地保護或存儲在離線狀態，以便攻擊者不能刪除它們。
• 使用雲端服務可以減輕勒索病毒的影響，因為受害者可以透過雲端備份，取回未加密的文件。

文章來源: https://goo.gl/dDfEMb

圖片來源: 

The post WannaCry 勒索病毒預警 first appeared on 捕夢網 Blog.