勒索病毒wannacry危害示意圖。（資料照，BlackBerry提供）

林宗男／台大電機系教授

今年是九一一事件廿週年。二○一一年九月十日在美國本土的自殺式恐怖攻擊事件導致約三千人死亡或失蹤。在此之前「恐怖主義」並不是美國執法單位的top list，雖然有零星的炸彈攻擊造成傷亡，但是發生地點皆在海外。槍枝、毒品才是美國執法單位的首要目標，「恐怖主義」排在約第十五名左右。直到九一一當天美國民眾在電視機前看到第二架飛機再次撞上世貿，高聳入雲的世貿雙塔相繼因為燃燒的高溫導致崩塌的畫面活生生出現在新聞畫面，「美國正在遭受攻擊」的情緒高漲，恐怖主義一躍成為美國國家安全的首要威脅。

而隨著科技的進步，運用網路無遠弗屆特性的攻擊也應運而生，其中造成重大威脅之一便是「勒索病毒」。二○一七年的Wanna Cry首次造成大規模的損害，透過共享資料夾的漏洞，影響很多組織。二○一八年台積電遭受Wanna Cry勒索病毒攻擊造成產線停工；二○一九年台灣健保局VPN受到Globe imposter勒索病毒感染多家醫院；二○二○年五月中油遭受勒索病毒攻擊造成加油站信用卡交易系統癱瘓；當年九月德國一間醫院因勒索病毒攻擊使其系統癱瘓導致病患錯失急救的黃金期喪命；今年五月美國油管公司（Colonial Pipeline）由於密碼外洩遭受駭客組織（Dark side）的勒索軟體攻擊，並盜走了近100GB的資料。由於油管公司遭駭，公司資訊系統無法正常運作，導致美國政府宣布進入緊急狀態，以處理石油運輸的問題。

請繼續往下閱讀...

從這些著名的受害案例，我們可以觀察到隨著駭客手法的精進，受害的層面也逐漸擴大，從單純的企業停工，個別企業營收遭受損害，到有病人喪失生命，進而到維持國家社會運作的關鍵基礎設施停擺。也因為勒索病毒造成的威脅日益增加，甚至出現了規模化的勒索病毒服務組織，稱為Ransomware as a Service（RaaS），駭客組織內外分工合作，包含惡意程式技術開發、執行攻擊活動、洗錢分贓窗口，一次到位。駭客手法也不斷演化精進，除了威脅原來被加密的檔案還原需付出一筆贖金之外，還要額外付出一筆贖金否則就會將盜取的數據公布於網路，形成「雙重勒索」。

美國拜登政府遂於今年六月初將勒索病毒對國家安全的威脅視同如恐怖主義一樣，除了政府部門上緊發條對抗勒索病毒之外，拜登總統也要求企業經營者必須負起自身防禦這些資安威脅的責任，公私協力才能力抗來自駭客組織的資安威脅。

根據資安公司二○二○年資料顯示，三千六百家公司組織中大約有二千四百家遭受過勒索病毒攻擊，其中五十二％選擇付款給攻擊者。台灣的企業受駭的案例也不少。為了避免公司組織遭受勒索病毒攻擊，我們應確實做好以下基本的防護措施︰

一、做好資料離線加密備份︰應對備份系統定期進行測試，並且確保備份資料平時未連接到網路，以避免公司內部遭受勒索病毒攻擊時備份系統同時遭駭。

二、即時更新作業系統、應用程式版本和修補系統漏洞︰以避免駭客透過「零日攻擊」的手法攻擊企業內部。

三、網路架構分區︰如同防疫作戰的避免群聚，組織內的網路應進行隔離區分，且重要與非重要的資訊避免放置同一網路區段內，以免感染病毒時橫向擴散以至所有主機同時中招，癱瘓組織運作。

四、測試資安事件應變計畫︰雖然資安管理法有規定列管的公務機關需準備資安事件應變計畫，但是有落實測試的並不多。不在資安管理法規範的民間企業有落實的更是寥寥可數。資安事件如同天災，時常在意想不到的時間點發生，面臨事件時，組織內如果沒有應變計畫將會手忙腳亂，增加組織損失，如同防災演練，組織內部應定期進行資安事件模擬，制定確實的事件應變計畫SOP，讓組織內的成員熟悉相關步驟並演練，找出SOP中的缺失並且進行改善。計畫中應包含事前準備（Preparation）、識別事件發生（Identification）、遏制發生中事件（Containment）、根除事件發生原因（Eradication）、復原事件造成災害（Restoration）、事後檢討（Lessons Learned）。透過精確的演練，即使遭受勒索病毒攻擊也可以在最短時間快速回復。

五、建立專業的資安團隊︰如同每個國家需要軍隊保護國家安全，雖然資通安全管理法有規定特定公務機關需配置資安專責人員，但是非公務機關的民營企業就完全沒有這樣的認知。因此我國一間間的「高科技」公司遭駭的新聞三不五時就躍上新聞版面，沒有專業的資安團隊乃是最主要原因。

雖然上述所介紹的幾個大方向都是很重要的面向，在各公司組織也都會端出有通過「ISMS」或基本的「ISO27001」的認證，但是這些認證大部分只是認證在很局限的資訊系統，並不代表各公司組織的運作現況。組織內常見的問題為不知道本身的資安缺口為何，往往都是在很微不足道的地方產生破口，且駭客可能已長久潛伏，需定期請外部專業資安人員為組織健檢，及早發現，及早治療。

駭客的攻擊手日新月異，影響範圍從個體到群體，從金錢到人命，勒索病毒的攻擊正如同恐怖主義對國家安全的威脅，並進化到具有上中下游的生態產業鏈型態。因此，定期的教育訓練，了解資安最新趨勢，提升員工的資安防護意識成了當務之急。

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法