勒索病毒恐帶高額罰金　法規及技術牽動資安生態

外洩個資恐成為勒索新手法

連續幾年的加密勒索病毒襲擊，駭客已奠定有效的獲利模式，仍舊會持續找到新手法與管道來進行散佈。趨勢科技資深技術顧問簡勝財即觀察到，在協助客戶處理勒索病毒事件中，已可發現駭客組織慣用的APT攻擊模式，先發動滲透入侵個人電腦後，進而橫向活動取得核心伺服器的帳密，用以執行惡意加密，且往往是多台伺服器同時遭到勒索。「其實經過2017年勒索軟體肆虐後，各界已經建立檔案備份的觀念，駭客攻擊單純針對檔案加密的手法，獲得贖金的機率勢必降低，因此攻擊者會持續找到新的方法，讓受駭者不得不支付贖金，可能不僅止檔案加密，例如癱瘓企業營運、生產線設備，抑或是因應歐盟制定的通用資料保護法（GDPR）法規實施，利用外洩的個資進行勒索。」

趨勢科技日前曾針對美國、歐洲等11個國家的研究調查，有42%的企業不知道電子郵件行銷資料庫中的個人身分識別資訊（PII），也屬於GDPR保護的範疇；僅有33%的企業表示已經投資相關技術來偵測入侵攻擊。

▲ 趨勢科技發布的2018年資安預測報告指出近年來網路犯罪獲利模式的演變，預期將鎖定單一企業機構，利用勒索病毒來攻擊工業物聯網（IIoT）等新興應用，以癱瘓其營運或生產線為要脅，獲取更大利益。（資料來源：趨勢科技）

Forcepoint北亞區技術總監莊添發說明，GDPR規範的罰款是2千萬歐元（大約新台幣7.2億）或是受罰企業年營業額的4%，兩者取其較高者作為罰款。而所謂的資料外洩，不論是發生資安事故，未遵守法律規範保護個人資料的存取、儲存、處理，造成資料「被破壞或修改」，以及未經授權的揭露資料，皆屬於定義的範疇。

「在GDPR這麼廣泛的資料外洩定義範疇中，勒索軟體也有部份符合，因此在Forcepoint日前發布的2018安全預測報告中提及，第一個判例甚至有可能就是因為勒索軟體而遭受處罰。」莊添發說。

應用程式權限控管 保障數位分身資料正確性

過去企業面對資安問題，通常是由IT人員處理，近年來大型企業已陸續設立獨立的資安部門，專責執行事件調查與處理，以改善數位環境的防禦弱點，避免企業營運損失。即便如此，軟硬體潛在的漏洞還是會被駭客組織挖掘，利用來發動攻擊。除了常見的作業系統、應用軟體，簡勝財預測，營運核心資訊系統平台，例如ERP，也可能面臨漏洞攻擊，藉此盜取或竄改機敏資料。

他進一步指出，台灣正在積極發展的工業物聯網（IIoT）環境中，實體與虛擬結合的系統建置讓生產線流程將變得更仰賴網路連線，以數位分身（Digital Twin）概念來看，可採用軟體百分之百模擬生產線實際操作狀態，而且可直接移植到線上執行操作，同時，生產線上運作的資訊也會同步到數位分身，才可建立百分之百的模擬。一旦數位分身遭受駭客控制，即可能出現資料被竄改，影響生產線正常運作。對此，針對應用程式的存取權限，更須建立管制與監控機制，避免未經授權的存取行為發生。

可視化IT環境 建構多層式防禦力

過去一年來在資安領域被廣泛導入的新技術，莫過於機器學習。簡勝財指出，趨勢科技也投入資源發展，主要是看重可藉此來輔助難以辨識的未知型攻擊，以建立預測能力。與此同時其研究人員也發現，惡意程式已發展出迴避機器學習偵測的方式，例如Cerber勒索病毒家族發展新的封裝方式，用以逃避「執行前靜態分析」的機器學習檔案檢測。下一步，正邪雙方勢必將出現人工智慧的攻防戰。 此外，被譽為足以改變未來商業模式樣貌的區塊鏈技術，因為比特幣而竄紅，已經有許多產業或國家級專案投入區塊鏈技術領域的研究，期望藉此創造新型態商業應用模式。犯罪集團自然也會投入研究，利用區塊鏈來取得更大的利益。

「新興商業應用模式攸關未來競爭力，企業應建立更完整的資安掌握度，也就是至少要知道現行IT環境中的所有狀況，才能得知處置與防範方式。同時建構多層式防禦，來輔助降低資安事件風險。」簡勝財說。

所謂的多層式防禦，除了閘道、端點以外，在網路層的流量，也需要建立內網存取行為分析與監控，藉此凸顯出高風險等級的行為，防止發生被惡意程式所利用的攻擊活動。此外，端點環境必須建立分層控管，例如區分員工辦公電腦、重要的共用主機、營運核心伺服器等，藉此來降低風險，並從中釐清不同層級的端點環境中，所發生的滲透攻擊事件。

他建議，可運用行為分析技術偵測出快速變種、有能力迴避偵測措施的惡意程式。目前可迴避偵測的機器學習是以靜態為主，而趨勢科技所發展的機器學習技術則已涵蓋靜態與動態偵測，基於高精準的機器學習實作輔助偵測未知威脅。當然，機器學習在整個防護體系中只是其中一環，在趨勢科技的端點防護解決方案中，還有最基本應具備的病毒碼檢測、網頁信譽評等、行為分析與監控等機制，讓端點環境建構完整的多層式防護能力。