Sophos Rapid Response團隊總結過去12個月曾為企業調查並解決的網絡攻擊事件,並根據前線成員的經驗與觀察,總結出十大網絡安全謬誤。
謬誤 1:數據備份可讓我們免受勒索軟件影響
時刻保持最新檔案備份固然對業務尤其重要,但若然該備份放置於網路上,則有機會輕易遭受勒索軟件攻擊,並遭到數據加密、刪除及停用。Sophos Rapid Response 團隊於事件調查中,曾發現攻擊者利用遭入侵的 IT 管理員帳戶向雲端服務供應商發送電子郵件,要求刪除所有備份,而供應商卻不幸地答應要求。因此我們建議根據3-2-1 法則(所有內容保存三個副本、使用兩種不同的系統,其中一個處於離線狀態)復原數據及系統備份。
謬誤 2:我們的員工清楚了解網絡安全
根據《2021 年勒索軟件現狀》指出, 達22% 的公司認為他們將於未來一年內受到勒索軟件攻擊,因為難以阻止使用者遭受入侵。
現時,網路釣魚電子郵件等社交攻擊手法變得難以捉摸,加上相關郵件往往都是度身訂做,令假資訊變得更準確和更具說服力,反映攻擊者非常小心選擇目標。當發現可疑郵件時,你的員工必需了解該如何處理及通知相關部門,以便其他員工保持警惕。
謬誤 3:事件回應團隊能於勒索軟件攻擊後復原數據
隨著攻擊者所犯的失誤逐減,加上加密過程不斷進步,單靠回應團隊尋找漏洞以還原損害是極為罕見。由於大部分現代勒索軟件均會刪除 Windows 磁碟區陰影複製等自動備份,並同時覆蓋磁碟所儲存的原始數據。如果希望復原數據,則只能支付贖金。
謬誤4:支付贖金後可取回被勒索軟件攻擊的數據
根據《2021 年勒索軟件現況》,公司支付贖金後平均可取回約三分之二 (65%) 的數據,當中只有 8% 的公司成功取回所有數據,亦有29%只能復原少於一半。
因此,支付贖金看似是更簡單的方法,亦符合網路保險政策,但並非讓企業回復正常運作的最佳解決方案。
謬誤 5:只要撐過勒索軟件的攻擊,我們就能平安無事
每當勒索軟件出現時,其實攻擊者希望能讓公司意識到他們的存在,且了解他們在背後的攻擊行為。在勒索軟件發動攻擊、搜索、停用或刪除備份、尋找儲存重要數據或應用程式的電腦前,攻擊者可能早就進入公司網路數天甚至數週,然後加密、刪除數據和安裝額外的裝載 (例如後門程式)。繼而,在受害人的網路中保留據點,方便日後發動第二次攻擊。
謬誤6:我們規模太小,並沒有對攻擊者有價值的資產,所以並非攻擊目標
其實,企業只要具備網絡連接能力及運算能力,無關大小攻擊者則可利用安全漏洞、錯誤或設定不當,令企業有機會成為攻擊目標。
謬誤 7:我們無需安裝進階網絡安全技術
現時,有部分IT團隊對端點保護有所誤解,認為只要端點受到防護,則可讓未受保護的伺服器免受入侵。Sophos Rapid Response 團隊於事件調查中發現,現時攻擊者視伺服器為首要攻擊目標,並偷取其存取憑證輕易入侵。
如果你的公司只有基本安全防護,缺乏進階及整合形安全工具,如具備以行為和 AI 為基礎的偵測技術、 以人為本的全天候安全營運中心,入侵者則可繞過系統防禦,後果不堪設想。
最後,緊記「預防」只是理想做法,但「偵測」卻是解決方法。
謬誤 8:我們已制定健全的安全策略
為應用程式和使用者制定安全策略極為重要。然而,隨著連線至網路的設備不斷推陳出新,它們需不斷檢查和更新。為保安全,滲透測試、桌面模擬演習和災難復原計畫等方法能有效驗證和測試現行策略是否行之有效。
謬誤9:阻擋來自俄羅斯、中國和北韓等高風險地區的 IP 地址,可確保免受來自該地區的攻擊
阻擋來自特定地區的 IP 有益無害,但惡意攻擊者的基地分散於眾多國家及地區,包括美國、荷蘭和歐洲等熱門地區。若然只靠此舉保護網絡,則難以確保網絡安全萬無一失。
謬誤 10:只要更改伺服器的遠程桌面通訊協定 (RDP) 連接埠並採用多重身份驗證 (MFA),則可免受攻擊
RDP 服務以3389為標準連接埠,因此大部份攻擊者會掃描此連接埠,以尋找啟動遠程存取伺服器的方法。但是,掃描過程能識別所有連接埠上的開放服務,因此變更連接埠難以提供適切保護。
RDP活動應在虛擬私人網路 (VPN) 的保護範圍內進行,但若然攻擊者已在網路取得立足點,單靠阻擋 RDP 亦無法完全保護網絡。所以,在可行情況下,IT 部門應限制或禁止員工於內部和對外使用 RDP。
這篇文章 折解十大常見網絡安全謬誤 最早出現於 TechApple.com。