方格精選

小公司避免被惡意軟體勒贖的方法

更新於 2020/11/26閱讀時間約 5 分鐘
朋友的小公司,檔案全部被鎖,歹徒要求的贖金,高達 500 枚比特幣...
中午,一個久未連絡的老朋友,傳了訊息過來:
「緊急問題!請教一下,我們公司好像中毒了,所有 server 上的檔案都被鎖起來,該怎麼辦?」
問了一下,原來朋友任職的公司,遭到近來十分流行的「勒贖攻擊」(Ransomware cyber attack);歹徒駭入他們公司的 Windows 伺服器,把所有檔案全部加密,並且要求極高的贖金——500 枚比特幣;以最近的售價,相當於新台幣兩億四千六百多萬。
我看到這個數字,不禁笑了:歹徒顯然不知道,我朋友的公司,只是間十來人的小公司;跟這種小公司要兩億多贖金,歹徒要不是沒做功課,就是根本找錯對象駭錯人。
朋友的小公司當然無力支付這筆鉅額贖金;然而因為沒有備份,所以也無法將加密的檔案復原,只能一切歸零,重新開始。

小公司也會被勒贖

過去我讀過的各種資安新聞,透過惡意軟體進行勒贖攻擊,把受害機關行號的資料先偷出來備份,然後全部加密,再跟你要一筆鉅額贖款,如不交錢就公布偷來的機密資料;這種攻擊早已不新奇。
光是今年以來,台灣的知名科技業者Garmin仁寶電腦,以及中油和台塑公司,都曾傳出遭勒贖軟體攻擊的新聞,仁寶疑似還支付了贖款。至於國外大企業、金融機構、甚至政府單位,遭到勒贖攻擊的案例,更是多到數不清。
大家可能以為駭客只會鎖定有錢大企業來攻擊,然而連我朋友的十多人小公司也會被駭;就算這只是歹徒搞不清楚狀況,駭到一個沒錢的受害者,但也表示不只有錢的大企業會被勒贖,連小公司都難逃遭駭的命運。
真的不要以為駭客離你很遠,事實上,駭客真的就在你身邊。

避免被勒贖的幾個方法

像朋友公司這樣,一但被勒贖就幾乎停擺,多年檔案付之一炬,一切都得砍掉重練的案例,當然值得警惕;因為這絕對會大大打擊公司的正常營運與形象,甚至造成公司倒店大吉。
以下提供幾個方法,多少可以幫助你的公司,更不容易遭到勒贖攻擊:

1. 各種資料與檔案,盡可能儲存在雲端上

過去大家總是習慣把檔案存在自己電腦,或是所謂的「公槽」中,然而把檔案存放在自己家中,風險其實是很高的。
一來,很多小公司沒有定期備份檔案的機制或 SOP,檔案不見了就歸組壞了了。二來,用以存放檔案的設備與軟體,往往會有很多易遭攻擊的資安漏洞,一般小公司也難以設置專人,經常更新這些設備,修補資安漏洞;結果就是被駭風險非常之高。
相形之下,Amazon、Google 或 Microsoft 等大型業者,或是 Dropbox、BOX 等中型業者的資料中心或雲端伺服器,都有相當強固的資安防護與備份機制;光就資料本身的安全性來說,存在這些雲端服務,絕對會比存在自己公司裡要安全得多。
另外,雲端儲存的成本已經比過去便宜不少,網路存取的速度也很快;各種資料都在雲端的話,檔案共享、協作與遠距作業,也會更為方便。
與其自己買台 NAS、硬碟和伺服器來裝檔案,還得費力維護更新,真的可以思考,是不是要把資料都放上雲端儲存。
甚至像 Email、Office、各種公司運作所需的系統,也都找得到雲端服務可用;把公司的日常運作大量雲端化,公司的運作也會更有彈性。

2. 盡量不要採用 Windows 系統;非用不可,就得時時更新

這裡不是要黑微軟,而是基於事實:Windows 系統的資安漏洞就是比其他系統多很多。根據專門匯集各種資安漏洞資訊的 CVE Details 網站統計,2019 年發現的 Windows 10 嚴重資安漏洞(7分以上,最嚴重的滿分為 10 分)計有 198 個而 Mac OS X 則為 55 個
以最近常見的勒贖攻擊來看,常見的攻擊手法,多半都是先設法駭入公司內部網路的某一台電腦,然後順藤摸瓜,找到內部網路中的 Windows 伺服器,再利用其系統資安漏洞,駭入 Windows 伺服器;這樣就能掌握公司內網的所有電腦和檔案,一次把檔案全都加密,讓所有人都無法工作。
也就是說,在多數的勒贖攻擊中,Windows 伺服器都是駭侵者的攻擊目標;要是公司根本就沒有 Windows 伺服器可以被攻破,那麼被攻擊得逞的風險就會大幅下降。
當然,並不是說用 Linux 或其他作業系統的伺服器就一定安全,但就案例來看,被攻擊風險最大的,還是 Windows 系統。改採 Windows 以外的解決方案,雖不能說一定不會被攻擊,但起碼風險低上一截。
當然,很多公司和使用者離不開 Windows 和 Office,怎麼辦呢?那只剩下一條路:時時更新,安裝漏洞修補程式。
微軟在每個月的第二個星期二,都會發行一大包最新的資安修補工具,稱為「Patch Tuesday」;而在遇到緊急狀況時,更會針對特定漏洞直接發布修補程式。公司一定要有人緊盯著 Patch Tuesday 和最新發行的資安修補包,時時更新公司上下所有電腦,不然真的很容易被破台。

養成資安好習慣,才能自保又保護大家

很多人以為駭客攻擊時,都是直接攻擊公司的伺服器;然而事實是,駭客多半都是先攻擊個人工作者使用的電腦,然後再順著攻入公司的內部網路,進而駭入整間公司。
舉例來說,很多攻擊者會寄釣魚信件給公司員工,用假冒的登入畫面騙取帳號密碼,或是在信件中夾個含有惡意程式的夾檔,騙你開啟檔案,順便植入惡意軟體。
所以,其實個人才是公司資安的最大破口;如果工作者自己的資安習慣不好,公司有再好的資安防護,都很容易遭到攻陷。
我之前寫過兩篇文章(文章一文章二),談個人如何自我保護,避免遭到攻擊;大家可以參考這兩篇文章,先把自己的資安習慣養好,既能自保,也能保護你的公司。
為什麼會看到廣告
avatar-img
175會員
34內容數
歡迎來到《Tenz 的科技新聞快評》。本刊預定每周更新若干篇,每篇嚴選幾則我認為比較重要的科技新聞,簡述新聞本身,並且加上我個人的觀點與評論,希望讓各位關心科技趨勢的朋友,能夠定期接收、輕鬆獲取最新科技動態與剖析。 目前本刊均為免費閱讀,未來將可能改為付費訂閱,但每周提供一篇免費文章。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
施典志 Tenz的沙龍 的其他內容
上一篇文章,我們分享了十個資安自保技巧的頭五個;這篇再來分享另外五個也很重要的技巧。 如果你還沒看過那篇,可以先把這篇讀完,再去點文末的文章連結,把上一篇也讀完吧。
本篇會從個人用戶的角度,為各位介紹十種方法,讓大家能夠最大限度的保護自己,避免成為駭侵受害者。 由於文章過長,所以分成上下兩篇...
除了報表上一直掉的 FB 推薦流量之外,再加上這句話,媒體真的應該猛省:自己的命只能自己救。
但是不要緊,生命總是會找到出路。大不了學翻牆。
也要考慮一下幣值… 昨天科技圈最大的新聞,就是 AAPL 市值破一兆美元,成為人類史上第一家達到這個標竿的私人企業。 不過,Apple 是人類史上最有錢的公司嗎?顯然不是。這篇文章估計了荷屬東印度公
上一篇文章,我們分享了十個資安自保技巧的頭五個;這篇再來分享另外五個也很重要的技巧。 如果你還沒看過那篇,可以先把這篇讀完,再去點文末的文章連結,把上一篇也讀完吧。
本篇會從個人用戶的角度,為各位介紹十種方法,讓大家能夠最大限度的保護自己,避免成為駭侵受害者。 由於文章過長,所以分成上下兩篇...
除了報表上一直掉的 FB 推薦流量之外,再加上這句話,媒體真的應該猛省:自己的命只能自己救。
但是不要緊,生命總是會找到出路。大不了學翻牆。
也要考慮一下幣值… 昨天科技圈最大的新聞,就是 AAPL 市值破一兆美元,成為人類史上第一家達到這個標竿的私人企業。 不過,Apple 是人類史上最有錢的公司嗎?顯然不是。這篇文章估計了荷屬東印度公
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
各位是否曾想嘗試電腦繪圖呢?花錢購買商用繪圖軟體卻根本不會使用嗎?火羊駝FireAlpaca是一款由日本軟體開發商所推出的免費繪圖軟體,其主張「輕鬆又簡單」的使用原則,故使用介面相當簡潔,初學者也能輕易上手!
Thumbnail
本次進階課程就是要跟大家分享資產配置的3大盲點在哪裡, 避開了這些盲點你的資產配置自然就會做得更好, 才可以長期累積財富並讓財富重分配, 而不是「被」財富重分配。那3大盲點是什麼呢?這篇文章會為你解答。
Thumbnail
最近雞排妹的新聞紛紛擾擾,雖然作為旁觀者因為不清楚現場到底發生了什麼事,所以不能隨便評論,但卻想起了以前在廣告代理商工作時,廣告主對於女藝人,人身攻擊的妄言狂語。即使這不是性騷擾,卻一樣是一種對於女性身體不尊重的態度。 幫你代言還要被你狠批身材? 前公司有個"在台"客戶,除了總經理之外,公司的員
Thumbnail
歷史小說必然有為敘事需要而杜撰或挪移歷史之處,本來無可厚非,甚至可以說是歷史小說最具可看性之處,因此不該以不符合史實來批評歷史小說​,而在另一方面,讀者​也不宜以小說為史實並大加傳播。​
Thumbnail
這本書乍看書名會不太懂是在談論什麼主題,但其實它是在將新創公司比喻為眾所皆知的鐵達尼號。 新創公司就如同行駛在海面上的鐵達尼號,要如何才能避開海面上的冰山,不讓自己成為當年的鐵達尼號,在這本書內探討了新創公司可能會遇到的幾個難題。看完後我覺得很適合新手創業者,或是對創業有興趣者都可以來看看。
Thumbnail
耶誕節快到了,覺得今年可以來當個發讚的耶誕老公公。想收到耶誕禮物的可以在這篇文章按五個讚,哈哈哈,開玩笑啦,這樣根本是公開行賄吧?(一笑) 12/14日註冊,12/21成為讚賞公民Civic Liker,如果我沒猜錯,大家最想問的就是這句:「妳為何要加入讚賞公民呢?」
Thumbnail
<p>若以長期的飲食習慣希望能達成抗醣目的,首先就必須知道日常飲食當中,那些含有高的糖份,尤其是各種食物的升糖指數(GI值)。</p>
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
各位是否曾想嘗試電腦繪圖呢?花錢購買商用繪圖軟體卻根本不會使用嗎?火羊駝FireAlpaca是一款由日本軟體開發商所推出的免費繪圖軟體,其主張「輕鬆又簡單」的使用原則,故使用介面相當簡潔,初學者也能輕易上手!
Thumbnail
本次進階課程就是要跟大家分享資產配置的3大盲點在哪裡, 避開了這些盲點你的資產配置自然就會做得更好, 才可以長期累積財富並讓財富重分配, 而不是「被」財富重分配。那3大盲點是什麼呢?這篇文章會為你解答。
Thumbnail
最近雞排妹的新聞紛紛擾擾,雖然作為旁觀者因為不清楚現場到底發生了什麼事,所以不能隨便評論,但卻想起了以前在廣告代理商工作時,廣告主對於女藝人,人身攻擊的妄言狂語。即使這不是性騷擾,卻一樣是一種對於女性身體不尊重的態度。 幫你代言還要被你狠批身材? 前公司有個"在台"客戶,除了總經理之外,公司的員
Thumbnail
歷史小說必然有為敘事需要而杜撰或挪移歷史之處,本來無可厚非,甚至可以說是歷史小說最具可看性之處,因此不該以不符合史實來批評歷史小說​,而在另一方面,讀者​也不宜以小說為史實並大加傳播。​
Thumbnail
這本書乍看書名會不太懂是在談論什麼主題,但其實它是在將新創公司比喻為眾所皆知的鐵達尼號。 新創公司就如同行駛在海面上的鐵達尼號,要如何才能避開海面上的冰山,不讓自己成為當年的鐵達尼號,在這本書內探討了新創公司可能會遇到的幾個難題。看完後我覺得很適合新手創業者,或是對創業有興趣者都可以來看看。
Thumbnail
耶誕節快到了,覺得今年可以來當個發讚的耶誕老公公。想收到耶誕禮物的可以在這篇文章按五個讚,哈哈哈,開玩笑啦,這樣根本是公開行賄吧?(一笑) 12/14日註冊,12/21成為讚賞公民Civic Liker,如果我沒猜錯,大家最想問的就是這句:「妳為何要加入讚賞公民呢?」
Thumbnail
<p>若以長期的飲食習慣希望能達成抗醣目的,首先就必須知道日常飲食當中,那些含有高的糖份,尤其是各種食物的升糖指數(GI值)。</p>