案例/消息

針對VMware虛擬化環境的勒索軟體   資安業者Recorded Future近期公布他們的調查結果，指出這些駭客也與許多勒索軟體組織相同，不只針對Windows、Linux電腦下手，他們也使用勒索軟體攻擊VMware ESXi虛擬化環境，而這是首度有研究人員提及該組織針對虛擬化平臺打造勒索軟體的情況。 他們發現，該駭客組織約自4月開始將ESXi版本的勒索軟體納入武器庫，而有別於針對Windows及Linux電腦的RansomHub採Go語言打造而成，針對ESXi的勒索軟體則是以C++開發，但具備Windows、Linux版共通的核心功能。 面對勒索軟體防護，您需要以下方案●1：對VMware上的VM進行備份●2：將備份存放區設計成不可變更儲存，或隔離保護 ●3：備份檔案異地副本，達成備份321原則 對此，我們提供客戶採購前/中/後：規劃評估，導入，維護。設計良好的備份系統應防止備份被加密或刪除，在勒索軟件事件發生後使用這些備份將系統重建到完全可操作狀態。我們絕不輕視備份的重要性。所有組織都必須擁有一個強大而安全的備份系統，這一點至關重要。      

面對勒索軟體的威脅該如何處理？   勒索軟體駭客組織Hunters International在本月聲稱攻陷臺灣電腦周邊產品大廠群光電子並竊得大批內部資料，群光電子強調營運並未受到影響，也沒有重要資料外流的跡象   對此，群光發布重大訊息針對此事提出說明。該公司指出，他們的資安單位發現駭客攻擊行動時，就啟動相關防禦機制及復原作業，但這起事故對方並未影響公司核心資通訊系統、網站運作，且並無個資及機密文件資料外洩，這起事故並未對他們造成重大損害或是影響，亦未對營運產生重大影響。   其實在本月，也有許多臺灣廠商受到勒索軟體攻擊並被加密成功，但透過我們當初規劃建置的備份方案，都可以將系統與服務恢復到可運作的狀態。   在面對勒索軟體這樣的老威脅情況下，使用備份軟體提供的離線備份功能，可有效保障備份映像檔不會受到攻擊，且在災難發生時，可迅速掛載/還原備份時間點，確保企業服務不中斷。   在ActiveImage Protector的附屬功能中，Storage Server透過容器的方式，保障備份映像檔不會受到其他程序讀取或修改。 並且環境允許下，可透過增加快取的方式，提高備份速度。  

麥當勞全球大當機，影響到數位和實體通路   上周五(3/15)，麥當勞發生了全球性的系統大當機，全球十多國的麥當勞App和餐廳點餐系統大當機，從美國、加拿大、德國、英國、荷蘭、澳洲、紐西蘭，到亞洲的中國、日本和臺灣等都傳出當機災情，店員甚至得改用紙本作業來記錄訂單，提供給廚房製作餐點。   從Downdetector當機通報網站上可以看到，來自全球各地用戶通報的當機災情，持續了將近20個小時。其中用戶回報的當機事件中，有58％的當機事件是App當機，30％的事件則發生於實體店面的結帳櫃檯，還有12%的通報事件是關於麥當勞網站。這也意味著，麥當勞這次大當機，不只遍及全球，也影響到數位和實體通路。   這次大當機的問題主因是第三方供應商的配置變更出錯而釀災，並非是發生了資安攻擊事件。然而穩定性和可靠性應是麥當勞技術發展的優先目標，但是這次當機事件的確大大影響了顧客和餐廳團隊。   在ActiveImage Protector的附屬功能中，vStandby與In-Cloud Standby，可以提供用戶完善的備用虛擬機副本；當系統災難發生的時候，用戶可以簡單的去啟動備用虛擬機來緊急接收服務，避免系統服務中斷好幾個小時。  

商用虛擬化軟體銷售政策大變革，加速企業轉型   在2023年尾聲，IT圈發生了一件大事。虛擬化龍頭VMware大動作宣布全面採行訂閱付費制，對於新的企業用戶不再提供永久授權的買斷制，對既有用戶的授權續約也不再有買斷，僅提供訂閱。這則消息一出震憾了整個IT界。   VMware在去年12月11日宣布這項新政策，並在當日立即生效。這項新政策的公布，引起各方的議論。尤其不僅在國外，臺灣許多企業採用VMware的虛擬化方案，因此，對於這項新政策，企業未來在成本評估、服務合約轉換時機，以及可能替代方案等方面的影響，都成為未來CIO必須仔細評估的重點。   美國NAND Research研究機構取得了其母公司博通在12月20日一份價格資訊後，發布了一份分析報告，指出在新的綑綁式銷售下，長期來看，可能會使企業用戶的整體IT支出增加。這是新政策對企業IT可能帶來的最直接影響。此外，同樣提供虛擬化平台的Nutanix比較了新制下永久授權與訂閱制方案之間的價差，顯示出5年訂閱方案，需要多付超過2倍的費用。   目前VMware虛擬化平台在臺灣約有超過6成市占，且永久授權居多。這代表，未來這些企業用戶雖然可以繼續使用既有授權的版本，但可能因為升級新版，或是需要取得技術支援的有效性，因此需進行續約。在面臨抉擇時，授權轉換可能帶來費用的增加，將使得他們可能改採其他替代方案。   目前主流的虛擬化平台，除了VMware vSphere，企業可以考慮將VM映像檔轉換到其他商用或開源平台，例如微軟Hyper-V與開源KVM等。現今，企業很容易可以使用工具或備份軟體將VMware的VM映像檔轉移至其他平台。   ActiveImage Protector，是個可以協助企業將VM轉換至其他虛擬化平台的備份還原軟體，其提供了強大的虛擬化解決方案，確保VM再轉換後可正常啟動的可能性，並提供自動定時轉換的功能，保障系統轉移。  

攻擊與威脅，網路戰爭時代 以色列國家網路管理局（INCD）提出警告，有人假冒F5的名義（cert@f5.support）寄送釣魚信，佯稱網路上出現大規模的F5 BIG-IP零時差漏洞攻擊，並提供更新軟體，呼籲該國企業組織的IT人員儘速套用，以免遭到相關攻擊。然而IT人員一旦照做，安裝對方提供的「更新程式」，電腦就會執行駭客的資料破壞軟體（Wiper），而有可能導致磁碟裡的資料遭到摧毀。INCD指出，駭客對Windows、Linux電腦使用不同的惡意程式來發動攻擊，並透過Telegram頻道，將受害電腦的系統資訊回傳給攻擊者。   從上面新聞來看，資訊安全在公司IT系統中，需要有完善的標準作業流程與假訊息辨識、備份架構，確保資安事件發生後，可以將IT系統恢復到可使用的狀態，減少系統營運異常的狀況。   即使美國聯邦調查局（Federal Bureau of Investigation，FBI）已經查緝勒索軟體BlackCat/ALPHV受害者資料公布網站，雖然一度成功，但BlackCat駭客組織隨即宣稱「收復」該網站，也將採取報復行動。   不論環境如何變動，基礎保護仍是重點；備份依然是最後的防線！