Akamai亚太区安全技术长：台湾为何成为WannaCry重灾区，使用者缺乏良好资安习惯惹祸

最近几天以来，名为WannaCry（想哭）的勒索软件在全球各地肆虐，爆发大规模Windows装置感染潮，上百个国家受骇，台湾更成为重灾区。而企业平时面对网络恶意攻击的事件应对能力，也成了能不能安然度过此波攻击的关键。曾一手创立Akamai客户安全事件应变小组的Akamai日本暨亚太区安全部门技术长Michael Smith也提出，面对日新月异的网络恶意攻击，企业应该优先采用哪些因应对策。

WannaCry勒索软件攻击上周五在全台传出多起灾情，尽管全球许多国家都是受灾区，但有资安业者发现，台湾是骇客锁定的少数几个主要攻击目标国家之一，甚至去年爆发Mirai僵尸网络病毒感染潮时，台湾也成为了不少僵尸网络装置的重要输出国。过去几年来，台湾同时更是APT攻击发生最频繁的国家之一，为何台湾常常成为全球骇客攻击锁定的目标？

Michael Smith表示，这次WannaCry勒索软件攻击事件，之所以能短时间在全球酿出重大灾情，在于WannaCry和去年Mirai两者都是改采用主动散播病毒方式，只要能够感染企业内网其中一台电脑设备或装置，就能利用自动扫描内网的方式，来迅速感染其他设备，使得感染规模在短短几天内就迅速扩大，所以影响才会如此严重。

对于台湾常常沦为骇客攻击的首要目标，Michael Smith也解释，部分原因在于台湾向来以资讯硬件制造为主，目前市面上许多企业采用的IT系统或设备，生产制造地都在台湾，这些在本地生产制造的设备，也大量提供给台湾企业自己使用，因为这些装置使用的都是相同控制器和软件，如闭路电视(CCTV)摄影机等，只要感染一台，就很容易能扩大感染其他相类似的装置，因此骇客很容易就能以台湾为据点，来建立自己的僵尸网络大军，伺机对全球发动网络攻击。

“台湾企业容易遭骇客觊觎的另一原因，在于一般使用者迟迟没有建立良好资安的使用习惯。”Michael Smith表示，以WannaCry勒索事件为例，这次也发现不少台湾企业内部人员，至今还在使用已无提供更新支援的Windows XP操作系统，造成企业资安门户敞开，或是即使有安装较新Windows版本的操作系统，却没有定期更新软件来修补漏洞，因此即使微软早在距今2个月前，就针对这次爆发的WannaCry漏洞发布修补更新，还是有企业因为未更新而被勒索。“这些受骇企业的大多数，都是因为没有建立良好的资安使用习惯惹得祸。”他说。

也正因为台湾容易成为骇客下手的目标，台湾企业面对外来恶意攻击威胁的风险，也较其他国家还来得更高，企业平时的事件紧急应变能力也成了能不能安然度过此波攻击的关键。曾一手创立Akamai客户安全事件应变小组的Michael Smith表示，虽然面对事件爆发的当下，如这次WannaCry勒索软件攻击，企业应该优先采用的措施，就是先断开网络避免损害持续扩大，但他也坦言，现在许多企业的内外部重要服务都需要随时保持连网，一旦无法使用网络，以提供稳定服务，甚至可能造成比支付赎金更严重的后果。

所以Michael Smith也指出，近来，企业在面对攻击发生时的事件应变（Incident Response )处理作法上，也开始有了和以往不同作法，从以前强调迅速应对攻击本身，将损害降至最低，到现在开始着重建立企业IT系统的快速复原能力（Resilience ）或是提供无网环境的替代方案等，如改用人工方式作业等，以快速恢复企业原本正常服务运作。

就如同这次发生的WannaCry勒索软件攻击事件，Michael Smith认为，这类攻击事件未来只会越来越多，而不会减少，即使资安防护能力再好的大型企业，也难保也不会有受骇的一天，所以他也观察到，比起应付勒索软件多变攻势，近来有企业试图采用以新机汰换旧机的方式，不再使用受染的设备，而是将重要储存资料，定期备份到另一处与网络完全实体隔离的储存环境，确保一旦往后设备受感染后，只须将原先备份的资料，同步转移到新设备上，尽可能短时间内恢复继续提供服务。

Michael Smith也提出警告，勒索软件攻击未来在台湾只会更加频繁出现，而不会减少，再加上骇客攻击手法日新月异，骇客可能每天就更换一种的攻击手法，企业必须要具有判读及预测骇客攻击行动的能力，例如从骇客现有攻击手法中，试着分析来预测他们接下来的攻击行动，以便于能快速应对。

面对来势汹汹的网络攻击威胁，Michael Smith也建议，台湾企业已经不能只单靠一家公司的资安人员或是资安小组单打独斗，而是到了非得靠建立区域性的资安联防不可，透过在不同企业或产业之间建立情资共享的平台，才能够快速应对外在威胁。

Michael Smith也提到全球各地都有成立类似的攻击情资分享中心，可以在当遇到如像WannaCry或Mirai攻击事件发生时，早先一步透过彼此的情资网络，在最快时间内，从搜集到的攻击样本进行分析研究，以了解对手的攻击手法，以找出因应方法。他也表示，香港、新加坡都已成立攻击情资分享中心，台湾接下来也打算成立自己的资安联防中心，这些都有助于台湾企业更快掌握攻击情资，加快应对。