七點觀察：中小企業「資安災害與持續管理」

2017 / 09 / 29

鼎新電腦股份有限公司工程服務中心

今年又是資安事件/事故活躍的一年，從個人級別轉為企業等級的內憂外患也層出不窮，變臉詐騙與勒索軟體攻擊事件，就如五月初WannaCry於24小時內散佈至99個國家、97種變種，5分鐘可達成全機加密，因攻擊主要針對舊型作業系統攻擊，造成許多企業設備系統受害，迫使系統提供商破例為已停止更新、服務與支援的作業系統提供修補檔案更新。

鼎新電腦工程服務中心團隊分享這幾年所接觸互動的中小企業中，他們預防資安災害與持續營運管理面向的現況與認是必要的準備措施，希望有助於國內企業單位作為提升企業自身安全架構與改善參考。

觀察一
企業資訊管理人員雖然是資安事件發生後，第一線因應及處理的人員，但部分中小企業未配置資訊人員，而由業務/管理單位兼任。
建議：資安事務負責同仁，於日常應蒐集與瞭解新型態服務衍生之資安威脅與風險，支持內部資訊管理人員或適時委託外部資安單位協助因應處理。

觀察二
一般企業遭受勒索軟體攻擊影響，優先選擇的解決方案大部分選擇利用備份檔進行還原。

建議：企業仍須定時評估備份計畫，調整合適範圍、頻率、還原點、版本週期、測試演練SOP。
為避免備份檔回復後可能出現病毒殘留，建議企業可規劃潔淨還原，以還原萃取適當必要備份檔，再以潔淨系統進行回復作業。

觀察三
傳統防毒軟體，無法偵測新型態病毒。因勒索病毒變種速度過快（平均15分鐘變種）無法有效在病毒碼製作前有效阻攔，亦無法發覺程式惡意行為將其凍結/終止避免擴散。

建議：企業逐步升級/替換為可偵測惡意行為並具沙箱隔離之防毒軟體，建置可協防之防毒/防禦設備，達成企業有效端點防護控制。

觀察四
一般/傳統企業防禦設備，大多僅採取特徵碼解析，對於新型攻擊行為，如：勒索病毒對外加密傳輸、快速變種無法有效解析與阻擋。

建議：企業應盡快瞭解自身對新型態攻擊之發現、阻絕、隔離能力，並配置適當等級之防禦設備，降低威脅發生可能性，必要時應再諮詢資訊服務單位強化現行防禦架構。

觀察五
重要系統無備份，將影響企業災害復原能力，使用程式/手動方式於企業管理實務，常發生無發覺程式備份失敗、人為忘記或操作失誤。

建議：企業仍應定期備份重要主機資料，即使採用程式、人為或第三方備份軟體仍應定期檢查備份歷程，確保備份正確且順利完成。

觀察六
災難復原演練與SOP建立常見上市櫃與資訊安全國際標準ISO27001要求，一般企業為維持災害發生系統復原能力應定期執行。

建議：企業應定期進行災難還原演練，至少每年一次，維持資訊同仁災難復原處理能力，確認備份檔案可用性並檢視可用設備、還原空間、SOP適時調整。

觀察七
重要系統備份若無存放，將影響企業災害恢復能力。若本地端發生電腦病毒蠕蟲、設備異常或發生區域型災害，都可能影響單主機/單區域備份資料可用性。

建議：企業應規劃與實施異地異機保存，並若規劃可攜式設備或儲存媒體應適時離線，避免蠕蟲/勒索病毒感染。

整體建議

從以上七點的觀察與建議外，我們總結分為兩大點來總結 :

第一點：「事件發生中」：應盡早更新勒索病毒因應SOP
於五月爆發WannaCry勒索病毒，所使用漏洞擴張散佈的影響與後續的發展，的確與先前的勒索病毒非常不一樣，我們發現如果使用網路搜尋的因應方法，可能會影響讓後續救援更加困難，例如：WannaCry勒索病毒目前已有資安公司提供解密程式，但解密程式特性必須於病毒完成勒索通知，取得記憶體金鑰資訊，但若依據網路因應方案，斷離網路、以可攜裝置備份重要資料、再進行關機就可能回不去了，因為WannaCry付錢也沒用。

建議企業可參考調整勒索病毒因應SOP。並優先教育使用者，使系統使用同仁對於勒索病毒攻擊有所認知，才能理解與發現系統異常狀態，及時依據SOP判斷、回報、處理，建議於下：

A. 應教育使用者瞭解資安災害基本認知，使其理解以判斷、通知資安事件
B. 確認遭受攻擊後，應判別是否為「須保留記憶體資訊解密」之勒索病毒
    ＞是（如：已有免費解密程式之WannaCry勒索病毒）
        ● 拔除/斷離載體(含有線/無線網路、USB /記憶卡裝置)
        ● 讓它繼續加密，直到出現勒索警告
        ● 其他主機下載/取得解密程式後，於受害主機執行解密程式
   ＞不是
        ● 拍攝勒索畫面，關閉電源
        ● 拔除/斷離載體(含有線/無線網路、USB /記憶卡裝置)
        ● 確認病毒種類後選擇因應方案，如：備份還原、解密程式、支付贖金（不建議）

第二點：「事件發生前/後」：以企業現有能量評估資安三面向改善資安災害因應
企業可參考以下漸進評估/改善/強化方向，由上到下、由裡到外逐步健全有效完整的資安環境。

管理面：
提供企業以低預算、自主管理為前提，建立內部人員資安事件處理、認知與概念，並健全日常備份架構。

設備面：
以採購基本/進階資訊安全設備為前提，達成企業內到外/內到內之資訊安全威脅風險縱深防禦與安全控管。

服務面：
以委託執行演練/健診等服務為前提，協助企業完成人員訓練、資安管理成熟度與相關資安演練/評估，協助企業因初期無法自主執行，由第三方協助執行或輔導入項目。