案例/消息

改善資安，從建置備份開始 回顧今年10月的資安新聞，隨著國際上出現新的震盪，先是巴勒斯坦激進組織哈瑪斯（Hamas）開火，突然對以色列發動大規模的軍事攻擊，引發後續以色列展開強烈反擊，而在網路上也陸續傳出，有駭客組織聲援兩國表態參與發動網路攻擊的情形。   不僅如此，最近這一個多月來，我們看到科技大廠修補遭利用零時差漏洞的消息，呈現相當密集的情形，當中亦顯現國家級駭客組織、商業間諜公司、勒索軟體組織挖掘零時差漏洞並用於攻擊行動的最新現況，以及涉及底層漏洞似乎變多的情形。   而勒索軟體集團威脅受害者支付贖金的招數愈來愈多，從早期加密受害者系統上的資料、竊取受害者資料，一直到最近，勒索軟體集團AlphV竟然直接向美國證券交易委員會（SEC）告狀，指控於美國紐約股市公開發行股票的MeridianLink並未如實對外揭露其遭到網路攻擊的意外事件。   即使你不說，駭客也會幫你宣傳的！   不論環境如何變動，基礎保護仍是重點，公司IT系統中，需要有完善的備份架構，確保資安事件發生後，可以將IT系統恢復到可使用的狀態，減少公司商譽的損失。  

萬聖節來了 資安業者揭露，鎖定臺灣而來的網路間諜攻擊行動，過往未被揭露的APT駭客組織Grayling自今年2月至5月，針對臺灣的生物醫學產業、製造業、IT產業而來，但也有太平洋群島的政府機關、越南及美國的組織受害。   攻擊者疑似利用曝露在網際網路的組織基礎設施，來存取目標電腦。   而在攻擊動機的掌握上，研究人員根據駭客的活動及使用的工具，排除經濟利益因素，對方活動的目的應該是情報收集，目前尚未看到資料外洩跡象。   另一個值得留意的地方，則是這些駭客偏好使用公開工具作案，使得鑑識人員難以釐清攻擊者的身分。但駭客為何針對這些產業而來？   事實上，政府最近對於產業資安的要求，也逐步提高。故在資訊基礎設施上，備份軟體可以達到保護基礎設施，與恢復基礎設施這2項功能需求；確保資訊安全。   面對越來越先進的攻擊與嚴苛的法令，提早準備，有備無患。 祝大家萬聖節愉快~

前所未見！ 台中、彰化肉品市場昨遭駭客入侵，停市一天   教師節快樂、中秋節快樂   台中大安區肉品市場和彰化溪湖肉品市場的拍賣系統於9月11日被駭客入侵。兩個市場皆收到內容幾乎一樣的勒索信。彰化當天無法拍賣毛豬，損失2千多萬，台中則是緊急找來系統商處理，5個多小時後，恢復正常，沒有損失。台中肉品市場表示，他們跟彰化的拍賣系統，是交給同一間系統商開發維護，但2個系統沒連動，各自獨立。而系統商私下透露，懷疑兩間市場的行政電腦，和拍賣系統使用同個網路，行政電腦上網中毒，導致駭客入侵，進而攻擊拍賣系統。   由於市場過去未曾遇過駭客，沒有做積極處理，電腦交易系統立即發出異常訊號，判斷確為駭客入侵，豬隻拍賣喊卡。   這個新聞事件，清楚的讓我們了解備份的重要性，資訊服務系統已經深入我們身邊的各行各業；為資訊基礎建設設置備份，才能保障系統服務可在最短時間內恢復。   不論系統處在何種網路環境中，有備份，就安心。   祝大家中秋節都有烤肉可以吃~

隨著個人電腦系統的日漸成熟與穩定，若不是這幾年來透過加密方式綁架檔案的勒索軟體肆虐，恐怕越來越少人會注意到資料備份這項工作的重要性。 備份資料這項工作仍須持續落實，不能因為許多系統與資料上雲是趨勢，以及公有雲環境具備極高的服務可用性，就天真地認為能獲得萬無一失的擔保。     目前企業上雲的比例有多高？根據PwC最近公布的2023雲端業務調查結果，運用雲來提供IT服務的公司（Cloud-powered companies）占了一半，若單看IT營運作業搬移到雲端服務，或是推動相關的遷移、架構現代化、雲端原生的用法時，透過雲端服務來進行這些工作的公司，比例分別是68％、70％，而採用其他方式的公司比例為35％、34％；而在推動整個企業的轉型時，透過雲端服務來進行這些工作的公司比例略高，增加到77％，採用其他方式的公司比例也呈現略高的狀態，可達到48％。   然而，丹麥Certiqa Holding旗下二家雲端服務供應商CloudNordic、Azero在8月中旬同時遭到勒索軟體攻擊，由於駭客加密了所有伺服器磁碟，導致大部分用戶的資料無法回復。   CloudNordic在8月18日凌晨遭到勒索軟體攻擊。該公司懷疑潛藏在某臺伺服器上的惡意程式感染CloudNordic伺服器基礎架構，導致所有系統包括網站、電子郵件、客戶系統、客戶網站等無法運作。駭客加密了所有伺服器磁碟，包括主要和次要備份系統，使所有機器崩潰無法運作。   在自有及外部專家評估的結果顯示，所有系統和伺服器都無法回復，在其伺服器上儲存的大部分客戶資料已經佚失，不可能重建。但好消息是所有資料也都未外傳出去。   這個新聞事件，讓我們了解備份321原則的重要性，即使上雲的系統、資料與服務，也要定期將備份檔案另存至其他位置(地端或不同的雲端)  

面對勒索軟體持續肆虐全球的今日，備份的落實，已不僅止於傳統的「3-2-1」原則——資料至少備份3份、採用2種備份儲存型式，其中1份備份位於異地，同時還要確保備份不受勒索軟體侵害，才能確保備份是有效的。   備份是資料儲存的「保險」，是用戶遭遇資料毀損災難時，賴以還原的手段。然而在今日，備份已成為勒索軟體攻擊的目標，一旦備份系統遭到勒索軟體侵害，備份，企業也就失去這最後一道保險。所以沒有勒索軟體防護措施的備份環境，已經稱不上是有效的備份。 面對勒索軟體威脅，當前多數備份軟體與備份儲存系統，已陸續引進一系列防護措施來遏止勒索軟體的危害。 目前最普遍使用的備份保護措施，包含了3種技術型式：威脅偵測、Air-Gap，以及不可變儲存（Immutable storage）。而一寫多讀（Write Once Read Many，WORM）等不可變儲存技術，因為能夠鎖定備份複本的狀態，杜絕備份複本遭到刪除、覆蓋或修改。     一般而言，WORM等不可變儲存技術可以鎖住備份複本的狀態，不允許更改予刪除，因而當用戶遭受勒索軟體攻擊時，仍有不受攻擊影響的安全複本，可用於還原資料。 但不可變儲存技術要能有效發揮作用，有賴於4個條件的配合： 1.備份複本在受到不可變儲存技術鎖住之前，必須是「乾淨無毒」的。2.備份複本在被不可變儲存技術鎖住前，必須是「驗證有效」的。3.必須確實地設定備份複本的WORM鎖定保留期限（retention time），才能有效保護資料。4.WORM技術必須結合系統時間保護技術才能有效運作。 隨著攻擊手法的日新月異，我們不能期望威脅偵測系統總是能夠及時發現所有攻擊行為，或許，必須同時搭配Air-Gap與WORM等被動防護措施，才能提供完整的保護。