網絡攻擊/罪案 防禦

「特事特辦」防Locky!(下)

Eric Fan
作者 Eric Fan

「保保保,唔使俾錢就係寶!冇Budget啊!」如果暫不打算購買更多資訊安全的服務,其實只要管理層出一點「心力」,也可以彌補到科技上的缺失。

續上回提到各種防範Ransomware的方法,身為學校/公司IT支援小組的你可能會問:

保保保,唔使俾錢就係寶!冇Budget啊!

如果暫不打算購買更多資訊安全的服務,其實只要管理層出一點「心力」,也可以彌補到科技上的缺失。

資安三腳凳:科技、人、政策

誠然,多層防禦中有不少也需要資金才 誠然,多層防禦中有不少也需要資金才可推行方案,但也有不少價廉物美的選擇。公司可以先從域名層面著手,把郵件伺服器加入SPF Record(Sender Policy Framwork 寄件者政策架構:http://www.openspf.org/);Google亦有相同的建議(Link),因為這個簡單的方法已可讓收件者(隨時是你自己的同事)可以參考 SPF Record,判斷聲稱來自你的網域的郵件是否真的由授權的郵件伺服器所傳送。(一封電郵令旅行相、BB相全部「被加密」?)香港在這方面的警覺不算高,需要多加提倡。

科技以外,行政政策中也需要加入標準處理程序。上文提及的措施,包括多層防禦 Multi-layer defence 解決方案和定時離線備份,也需要由政策正式列入標準程序,方能全面推行。因為科技再好,遇上Zero-day Attack或過濾失效,找供應商也沒作用,即時反應還是需要員工負責。以學界為例,既然Wifi基建已經進展到Wifi 900,也是時候檢討一下學校的資訊保安政策,看看有沒有一些簡單的to-do、alert training 可以做。

此外,有數個不需額外收費的方法大家可以考慮一下。在多層防禦之外,還有最少權限(Least Privilege) 和職責分離(Separation of Duty)。因為Ransomware是利用中毒電腦的存取權限來進行加密,或者透過網絡加密其他運結電腦。如果你的系統設計中已設定最少權限-例如Eric不應該開啟ABC同事的檔案,你就奪去他的權限,理論上Ransomware便不能加密其他同事的檔案。但由於整個網絡中總會有一個超級大的管理員,如果中毒電腦曾經有管理員登入,則全部電腦亦會出事。職責分離也是相近的做法,負責備份和負責改動的同事職責上分離,盡量不重復權限,減少受影響的檔案。這些可能是一世紀前已經流傳的意見,只因以前的病毒沒有那麼針對性,所以大家才覺得不實行也不會有事,但今次情況明顯不同。

正如現實世界有火警演習,資訊保安是不是也需要演習?不論買了多少防禦軟件,充份演習才能確保員工明白自己在執行防禦措施中的角色。企業可以模擬發生Zero-day Attack後的處理方法,即假如Zero-day Attack入侵了你的網絡,整個事件通報機制是怎樣執行的?同事中毒後會不會不通報?要是中毒後早點通報,是不是可以把影響縮至最小?很多時候企業的資源只足夠買一個防禦方案,但演習、確保方案可行的方法卻反而遺漏了。香港的HKCERT以往也有在不同業界做演習,但將來可能是由企業自己進行或在業界中縱向(Vertical)舉行,讓大家保持警覺,了解整個通報機制和防禦方案。

其他更簡單的,包括在早會中提醒員工最新電腦病毒的出現、打開附件要小心等等「教育」工作,也不失為行之有效的處理方法。也有學校校長馬上決定在學校政策列明內部電郵不可直接傳送附件/連結,只傳送純文字的內容;有需要的話,傳送檔案在共用資料夾中的位置,讓同事自行查看,先排除Ransomware扮作學校教職員傳送含病毒的電郵。

經過電郵入侵電腦只是其中一個途徑,惡意程式也可以經由USB或其他方法入侵,因此員工需緊記永遠不應打開不知名的檔案或儲存裝置。公私營機構更不應使用翻版操作系統、軟件,確保有需要的時候可以下載更新檔(同時支持開發者的版權)。不認識的人傳送電郵或連結給你,當然不要開啟。

人、科技和政策所組成的這張三腳凳,絕不可失去任何一隻腳。一旦缺乏人在警覺上的培訓,科技和政策也執行不了。你可以沒有科技,沒有政策,那便在「人」的部分做多一點。防毒軟件也是由人撰寫的,因此不免會有時間上的落差,Zero-day Attack也能藉機入侵,所以不能因為科技走得進步而人的警覺性減低,不然人便會被電腦控制所有事,而不是由人控制系統。三足互相配合,才是萬全之策。

 

部分資料來自AiTLE於3月22日舉行的:「學校資訊保安講座:加密勒索軟件 ~ 危害、影響與解決?」

Leave a Comment