APP下载

帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应

消息来源:baojiabao.com 作者: 发布时间:2024-04-22

报价宝综合消息帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应

为了全面对抗勒索软件的侵袭与散播,在国际上,已经出现专责组织No More Ransom,除了提供基本勒索软件知识的问与答,他们的最大特色,就是提供识别勒索软件的服务,并作为寻找解密工具的集中入口网站。

但若要彻底杜绝勒索软件发展,需要各国-采取行动,随着勒索软件威胁更多组织与企业,今年有更多国家强调根除勒索软件的决心与作为。例如,美国国土安全部网络安全暨基础安全局(CISA)就推出专属的内容网站,名为StopRansomware.gov,最近台湾-也响应这个全球潮流,由TWCERT/CC推出勒索软件防护专区的独立入口网站,提供台湾企业组织使用,不论事前、事中与事后的因应,都能更有着手方向。

关于这个勒索软件防护专区的成立,TWCERT/CC组长林志鸿表示,这两年台湾陆续传出重大勒索软件攻击事件,但有些企业因应这类型资安威胁时,还是不知所措,因此,在行政院资通安全会报与国家通讯传播委员会(NCC)的支持下,TWCERT/CC于自家网站新增设了勒索软件防护专区,后续,他们又为这个资安防护资源专区,设计了独立的入口网站(antiransom.tw),并在10月初正式上线。

基本上,这个网站的内容参考了各国-的做法,像是:美国CISA、英国国家网络安全中心(NCSC),以及澳洲网络安全中心(ACSC)等,都成立了对抗勒索软件专区。

林志鸿表示,这个网站在呈现方式上,他们也在新上线之际,加入了一些调整,最大不同就是将内容区分为事前、事中与事后。之前他们并未如此区隔,当企业遇到勒索软件不同时期的攻击状况,要从中找到因应方法,会比较复杂。

而在每个阶段,TWCERT/CC在此都提供相对应的指南、资源与自评等内容,并设计了检核表,帮助企业透过更简单的方式,来检视自身的行动。


在今年10月初,TWCERT/CC推出勒索软件防护专区的独立入口网站,并以事前预防、事中处理、事后回复来区分,让使用者可以根据目前的资安状态, 更容易找到所需的防护与因应的指南与资源。

汇整美国-与跨国平台组织的资源与教学说明

具体而言,在事前的预防指南、事中的处理指南,以及事后的回复指南,TWCERT/CC这个网站都有基本的说明与作法,让使用者可以更容易依据自身需求,找到建议的指引。

特别的是,这里同时汇整了国际上的可用资源,并有教学说明,相当便利。

例如,在事前预防与事后回复的面向,这里提供相当实用的资源:勒索软件防护成熟度自评说明,当中特别介绍CISA的网络安全评估工具(Cyber Security Evaluation Tool,CSET),这当中有个名为勒索软件就绪评估(Ransomware Readiness Assessment,RRA)的功能模组,可供大家使用。

事实上,在6月底,CISA就已释出RRA模组,可协助组织评估自身防御勒索软件的能力,当时iThome也关注这项新闻,后来得知TWCERT/CC也向国人推荐使用这项资源,我们相当乐观其成,因为RRA虽然是CISA提供给美国-组织的自我评估工具,但对于企业而言,也相当具有参考价值,或许也有助于促进台美的资安应用交流。

关于CISA CSET的RRA使用方式,TWCERT/CC勒索软件防护专区目前提供了图解,以及中文使用说明。当中提到,如欲使用这套工具,我们可从美国CISA官方网站或GitHub网站下载,这里也提供自评工具操作流程教学。这些均可促进台湾使用者、组织与企业去认识这样的工具,以及用于了解自身成熟度与找出优先改善措施。

在事中应变方面,这网站介绍了“勒索软件辨识与解密工具”的资源,例如,列出能辨识勒索病毒种类的工具,包括MalwareHunterTeam提供的ID Ransomware,以及No More Ransom Project提供的Crypto Sheri­(解码警长)功能。

如果要寻找解密工具,同样可利用No More Ransom平台,搜寻到各资安业者提供的对应解密工具。


TWCERT/CC在事前与事后的资源中,提供了CISA勒索软件自评工具的简易安装与使用说明。例如这套工具包含十大评估指标,每项指标提出不同问题,以图中为例,企业的网页恶意内容是否使用DNS过滤?IT或资安人员只要勾选“是”、“否”或“不确定”就可作答,最后将会获得评估结果。

当TWCERT/CC接获国际情资,他们也会连系企业

无论如何,这些对抗勒索软件资源的统整,的确能让有些企业有更多预防与应变的参考,以免在这类攻击事件发生时,却又不知道该如何做。因此,无论你是否需要这些参考资讯,重点仍是:企业平时就该有所准备。

不过,虽然受害组织可向法务部调查局刑事警察局报案,但是负责的机关如果不统一,是否会影响-对于通盘掌握勒索软件情资的能力?

而对于TWCERT/CC而言,是否积极掌握民间业者的勒索软件事件?例如,最近一个月,暗网传出上市钢铁公司遭Hive勒索软件攻击消息,以及上市工程公司遭到LockBit2.0攻击,但上述公司并未在证交所发布资安事件重大讯息,因此,这些受害企业的后续调查,以及当时应变状况,外界并无法进一步了解,令人好奇的是:TWCERT/CC是否知情?

林志鸿表示,TWCERT/CC是资安事件通报管道,在国际上也是主要窗口,因此,国际CERT组织也会将情资提供给他们,若收到消息,他们会尝试联系企业,以了解状况,或提供报案与复原等协

助,不过,在相关的合作细节上,他们与这些组织之间有互相保密的承诺,因此,无法提供更具体、详细的答案。但近期可能有进展,因为他也提到:TWCERT/CC与证券交易所正在讨论相关合作。

若能带领摧毁勒索产业体系,更有助突显台湾重要性

除了增进企业对抗勒索软件的认知,近年台湾在国际屡屡成为许多产业发展焦点,既然对抗勒索软件已是全球面临的共通挑战,不论资安业者、执法单位与-,大家都在想办法杜绝,因此各界所采取的行动,不只是告诉所有使用者如何防护,还要更进一步摧毁勒索软件骇客生态体系。

因此,若是执法单位能设法做出更多贡献,成为查缉勒索软件犯罪行动的推动者、示范者,应该可以大幅提升台湾在国际资安上的地位。

当然,不仅是促成更多跨国执法合作,我们同时也可设法强化内部治理,例如,修订法律,将背后指使攻击的人士予以定罪,甚至加重刑责,吓阻不法人士的行动。

勒索软件受害者可以报案求助


TWCERT/CC在网站上也列出资安事件报案管道,包括法务部调查局、刑事警察局,以及民间企业遭遇资安事件的通报管道,也就是TWCERT/CC本身,而事实上,在事中处理的建议因应方式上,通报这个举动也列为应变措施采取的行动步骤。

林志鸿表示,一旦遭遇资安事件,除了企业本身的紧急处置与调查,或是寻求外部资安专业单位协助,还可以向调查局或刑事局报案来寻求协助,遗憾的是,很多企业可能不知道能够这么做。

同时,企业也可向TWCERT/CC通报,将能获得事后复原的第三方意见,或是透过恶意样本分析与相关资讯,获得日后资安强化的建议。


在这个勒索软件防护专区网站(antiransom.tw),TWCERT/CC除了在呈现方式上调整为事前、事中与事后,同时也新设计了检核表,帮助企业在预防、因应或回复上能有简单的步骤可以依循。上图为事中应变的检核表,步骤中的应变处理也提到防止扩大后的报案、通报与外部资安单位协助处理等。


2023-06-22 09:36:10

相关文章