勒索病毒WannaCry肆虐,安侯建業(KPMG)提出「拔-觀-報-停-救-查-控」7步驟緊急應變SOP,建議企業建立多重防禦的完整防護機制,才能在不斷翻新手法的駭客攻擊中平安生存。
▲圖/翻攝自BleepingComputer網頁
勒索病毒WannaCry大舉入侵,KPMG安侯企管公司副總經理謝昀澤分析,此勒索軟體具有「三從四得」的特性,分別是從系統已知弱點下手,對未更新的已知漏洞進行攻擊;從常用服務擴大戰果,以常用的網路芳鄰、遠端桌面進行擴散;從用戶端末資料得手,以用戶端資料做為攻擊目標。
謝昀澤指出,此勒索軟體得手成功率高,且以比特幣支付贖金,難以追查。此外,此勒索軟體極易工具化,對全球廣大用戶攻擊,積少成多,網路預測駭客可獲利高達10億美元。
因應勒索病毒攻擊,KPMG安侯企管數位科技安全服務協理邱述琛也提出緊急應變SOP,總共有「拔-觀-報-停-救-查-控」7大步驟。
他表示,企業若不幸發生遭到勒索軟體綁架時,可參考以下的緊急應變SOP。
1.拔:企業內使用者應先拔除網路線並進行檢查,避免勒索軟體利用內部網路進行擴散與感染。
2.觀:未遭到勒索前,可以按Ctrl+Atl+Del呼叫程式管理員,觀察有否異常的程式一直占用CPU資源,或電腦出現附名.WCRY的檔案。
3.報:使用者發現遭受感染時應於第一時間依程序進行通報。
4.停:資訊人員接獲通報立即停止受害者網路帳號與使用電腦連網能力。
5.救:資訊人員取出受害者硬碟,並接入另外一台未連網電腦進行搶救與調查。
6.查:資訊人員立即清查受害者帳號權限與本機及網路感染狀況。
7.控:資訊人員隨時由資安監控系統(如SOC等)、網路防禦設備(如IPS、Firewall等)之監控紀錄偵測異常事件,避免損失擴大。
謝昀澤表示,此波攻擊來勢洶洶,除了清查、處理的必要作業外,企業應該思考建立多重防禦的完整防護機制,才能夠在這波不斷翻新手法的駭客攻擊中平安生存。