雲端服務日益受歡迎,企業也偏好雲端儲存的方便性和經濟性,駭客已將注意力逐漸轉向雲端服務平台。隨著越來越多企業將顧客和財務資料等敏感資料儲存在雲端,Ransomcloud攻擊或針對雲端所儲存資料進行勒索攻擊的趨勢也越明顯。
Ransomcloud是一種針對儲存在雲端的資料進行勒索的攻擊行為,這些資料是由Microsoft Office 365、G-Suite等雲端服務供應商的客戶所有。攻擊者通常會先竊取端點設備上的憑據,接著開始進行橫向移動和提權來尋找能進一步存取雲端服務的有效憑據。一旦獲得存取雲端的憑據,攻擊者就使用勒索軟體加密和竊取儲存在雲中的資訊。
有些企業是採多個使用者共用同一雲端帳號來存取特定文件和資源,這類型的公司通常面臨的風險也最大。因為這類攻擊行為的主要媒介是網路釣魚,這也意味著勒索軟體有更大的攻擊面。其他面臨高度風險的還有習慣重複使用相同密碼的群體。這樣做的後果可能包括雙重勒索,也就是不僅會失去所有文件檔案,還可能會遭受私人訊息被公布這類的勒贖。
很重要的一點是,企業和雲端服務商必須共同為資料安全負起責任。為了避免Ransomcloud的威脅,企業首先必須要求雲端服務商提供遭受勒索軟體攻擊或任何其他服務中斷的復原計畫。同時,也必須謹慎審視企業本身採取了哪些安全措施來防範這種性質的攻擊,同時確保他們使用雙因素身份驗證,並且僅開放真正有需要的使用者帳戶存取雲端資源——也就是所謂的最小特權原則。
雲端環境中的特權和管理帳號必須要像傳統資料中心的特權帳號一樣進行管理、保護和監控。企業組織應建立單一管控點來管理包括雲端管理者、開發人員和任何其他用戶在內,存取各種雲端平台的控制台和入口的憑據。
企業採用反網路釣魚工具並確保員工接受資安意識培訓也很重要。員工必須了解使用包含字母、數字和特殊符號之複雜密碼的重要性,並明確規定密碼不得跨服務重複使用。此外,企業還應要求員工必須定期更改密碼。
備份也非常重要。擁有主動備份計畫的企業可以大幅降低勒索軟體的傷害,避免在支付天價贖金或永遠丟失資料之間做出選擇。相反地,一旦文件被駭客加密,企業可以在受感染的機器上找到勒索軟體,刪除它們,然後從備份中恢復受影響的資料檔案。
企業還必須明白,並非所有資料都需要保存。事實上,資料只有在必要時才需要保存,時間一過就沒有再保存的價值,這可以根據業務或法規要求來定義。這種方法可有效減少攻擊面,並幫助企業更有效地運用資源。此外,用戶詳細訊息、密碼、消費者私密訊息和其他機密等重要訊息必須以加密或分散方式儲存。
<本文作者:謝文駿現為CyberArk北亞區總監>