勒索軟體是當今全世界新聞的熱門話題,它造成美國一條重要的汽油管道被關閉,一家主要的肉類加工商減少產出,台灣的電子大廠也同樣受害。現在美國有些媒體聲稱勒索軟體的攻擊相當於 9/11 的恐怖事件,肇事者應被視為恐怖分子。
目的在勒索錢財
拜登政府也暗示,這些攻擊顯然來自俄羅斯,如果普丁不對這些攻擊負責處理,顯然是默許那些行為。當然俄羅斯和普丁對這些想法嗤之以鼻。
將勒索軟體攻擊與國家行為聯繫起來會產生政治效應,而且勒索軟體攻擊可能對關鍵基礎設施和運營產生與傳統攻擊大致相同的破壞性,但絕大多數勒索軟體攻擊的目的似乎並不是真正的造成損害,而只是勒索錢財的簡單目的,雖然以破壞為導向的網路攻擊也有可能偽裝成勒索軟體攻擊。
叫普丁負責只是一個簡單的託辭,實際上一個更令人擔憂的底線就是這些勒索軟體攻擊中的,絕大多數在執行上都不是非常複雜,它們不需要依賴頂級的黑帽駭客大軍,它們通常只是利用眾所周知的網路登錄身份驗證的弱點。
網路登錄有弱點
例如無需強大的雙因素身份驗證(two-factor authentication )技術即可登入的企業網路,或者公司對過時的防火牆和虛擬企業網路(VPN)安全模型的依賴。
很多時候,我們看到一個被盜用的密碼帳戶可以讓攻擊者在公司防火牆後面無限制地訪問,結果可想而知。更諷刺的是,避免此類攻擊的方法已經很多,但太多公司只是太平日子過久了,除非受到傷害,通常是以不變應萬變。
雙因素認證更安全
所謂安全的網路認證,就是要確認是由「你」這個人所發出的要求,要怎麼在電腦上辨認出是「你」,這個認證必須要有唯一性,不會與其它人重複。
例如我們有三種認證方式:一種是你自己知道的,例如密碼;一種是你已經有的,例如你的手機;一種是你與生俱來的,例如指紋或者虹膜。雙因素認證,就是結合了兩種不同的認證方式,讓駭客無法單純的只竊取密碼就可以為所欲為。
過去保護公司內部網路的安全主要是靠「堡壘及護城河」的網路安全措施,著重於保衛邊界,將攻擊者拒之門外,同時假定邊界以內的所有人員個體都可安全存取內部資料,不會對組織構成威脅。但這很大程度上須依賴防火牆及類似的安全措施,但對於(駭客)獲得的特權帳戶存取權,或組織內部的惡意人士之威脅卻束手無策。
可設定分段存取
因此除了雙因素認證,最好再加上零信任(Zero Trust)的措施,零信任會依循「永不信任,一律驗證」的原則,並運用其他多項網路安全性方法,包括網路分段和嚴謹的存取控制,定義一個「保護範圍」,以納入重要資料、資產、應用程式和服務,即使駭客進入也無法為所欲為。
當然「道高一尺,魔高一丈」,要保護網路和資料安全,唯一的假設就是外面永遠有駭客要侵入,隨時檢查並採用最新的安全技術才是自保之道。