勒索軟體為什麼越來越難擋?
現代勒索軟體已不再是單純的「加密檔案勒索」,而是演化為「雙重勒索(Double Extortion)」甚至「三重勒索」模式——攻擊者不僅加密資料,更威脅公開洩露機密,甚至同時對企業客戶發動 DDoS 攻擊,迫使受害者支付高額贖金。
根據 TWCERT/CC 統計,台灣企業平均從被入侵到發現異常需要 197 天,而攻擊者早在加密前數週便已潛伏於內網竊取資料。這意味著傳統的「事後補救」思維已完全不夠用。
攻擊者如何進入你的系統?
了解入侵路徑是建立防線的第一步。根據全球資安事件調查報告,最常見的初始入侵向量依序為:
- 釣魚郵件(Phishing):約佔 41%,偽裝成報價單、發票或主管指令
- 漏洞利用:針對未修補的 VPN、防火牆、Exchange 等公開服務
- 遭竊憑證(Credential Stuffing):利用暗網購得的帳號密碼嘗試登入
- 供應鏈攻擊:透過軟體廠商或 IT 委外服務商作為跳板
資安不是技術問題,是管理問題。95% 的資安事件源於人為疏失或管理缺口,而非技術無法防禦。
五道企業防線:從預防到應變
第一道:身份與存取控制(IAM)
實施最小權限原則(Least Privilege),確保每位員工只擁有執行職務所需的最低存取權限。同時強制啟用多因素驗證(MFA),尤其是 VPN、雲端服務與特權帳號。即便密碼外洩,MFA 能阻擋超過 99% 的自動化攻擊。
第二道:端點偵測與回應(EDR)
傳統防毒軟體以「特徵碼比對」為主,對新型變種勒索軟體幾乎無效。建議部署具備行為分析(Behavioral Analysis)能力的 EDR 解決方案,能偵測異常的檔案加密行為並自動隔離受感染端點。
第三道:網路分段與橫向移動防禦
即使攻擊者突破一台設備,完善的網路分段(Network Segmentation)能阻止其在內網橫向移動。關鍵系統(如 ERP、財務系統、備份伺服器)應置於獨立的網路區段,並嚴格控制跨區存取。
第四道:3-2-1 備份策略
備份是對抗勒索軟體的最後防線,但必須遵守以下原則才有效:
- 3 份備份:保留 3 份資料副本
- 2 種媒體:儲存於 2 種不同媒介(如本地磁碟 + 雲端)
- 1 份離線:至少 1 份備份完全離線(Air-gap),無法被網路攻擊觸及
注意:備份必須定期測試還原,確保在真正需要時能在 RTO(復原時間目標)內完成。
第五道:資安事件應變計畫(IRP)
當攻擊發生時,慌亂處置往往造成二次損害。企業應事先制訂資安事件應變計畫(Incident Response Plan),明確定義:
- 事件分級標準與通報流程
- 關鍵聯絡人清單(含法律顧問、公關、主管機關)
- 系統隔離與證據保全 SOP
- 是否支付贖金的決策框架(通常不建議,且需法律評估)
ISO 27001 如何幫助你系統化落實防線?
以上五道防線若各自為政,往往執行不一致且難以持續維護。ISO 27001 資訊安全管理系統提供了一個完整的管理框架,將人員、流程、技術整合為一,並透過定期稽核確保持續有效運作。
取得 ISO 27001 認證的企業,不僅能系統化降低資安風險,更能向客戶、合作夥伴及主管機關證明其資安管理達到國際標準。
立即可執行的三件事
- 本週:清查所有對外開放的服務(VPN、RDP、郵件伺服器),確認均已更新至最新版本
- 本月:為所有員工帳號啟用 MFA,特別是 Microsoft 365 / Google Workspace
- 本季:委託第三方進行滲透測試,找出內網中你不知道的弱點
