KPMG:企業發現電腦遭綁時緊急應變SOP7步驟

KPMG:企業發現電腦遭綁時緊急應變SOP7步驟

依據KPMG全球資安情報,近日引起全球恐慌,並造成重大資安災情的綁架軟體(Ransomware) WanacCrypt0r 2.0(或被稱為Wcry、WannaCry等),目前已有超過150個國家,200,000部電腦遭到感染

相關內容

cybersecurity

是甚麼樣的勒索軟體,撼動全球

依據KPMG全球資安情報,近日引起全球恐慌,並造成重大資安災情的綁架軟體(Ransomware) WanacCrypt0r 2.0(或被稱為Wcry、WannaCry等),目前已有超過150個國家,200,000部電腦遭到感染,受到感染的大型機構包括英國的醫院及西班牙電信商Telefonica、美國聯邦快遞(FedEx)、德國鐵路(Deutsche Bahn)、法國雷諾汽車及俄國第2大行動電話商Megafon等。KPMG安侯企管公司副總經理謝昀澤分析,本次勒索軟體具有「三從四得」的特性,分別是:

  • 從系統已知弱點下手:對未更新的已知漏洞進行攻擊
  • 從常用服務擴大戰果:以常用的網路芳鄰、遠端桌面進行擴散
  • 從用戶端末資料得手:以用戶端資料作為攻擊目標
  • 得手成功率高:若重要資料未備份,勒索成功率極高
  • 得款安全性高:以比特幣支付贖金,難以追查
  • 獲得弱點容易:弱點公布於網際網路,易於取得
  • 獲得利潤驚人:勒索軟體極易工具化,對全球廣大用戶攻擊,積少成多,網路預測駭客可獲利高達10億美金

謝昀澤表示勒索集團除了可能利用釣魚郵件大量散布外,此惡意程式具有主動擴散的能力,更是造成這次災情難以控制的主因。此外本次勒索軟體可支援28國語言,未來此類針對終端用戶進行攻擊的駭客工具市場,值得觀察。

為何微軟一反前例為已停止支援Windows 2003/XP緊急推出安全更新

在現實環境中,像是傳統的工業控制系統、醫療設備或器材等,目前仍有使用Windows 2003/XP的情況,KPMG安侯企管公司數位科技安全服務協理邱述琛表示,這些安裝過於老舊作業系統的設備大多並不被視作為「電腦」,故資訊單位中並未納管,當然也不會進行更新;但這些「設備」因為要將資訊傳回系統,所以大多具備有聯網的功能。根據5/13英國官方公布資訊,248家公立Health Trust機構中有48家遭到攻擊,約佔20%,其中有6家超過一天方恢復正常服務,過程中導致醫生無法存取病患檔案,必須將急診病患轉診至其他醫療單位,造成了非常重大的影響。

企業發現電腦遭綁時緊急應變SOP—「拔-觀-報-停-救-查-控」 7步驟

 邱述琛說明,企業若不幸發生遭到勒索軟體綁架時,可參考以下的緊急應變SOP:

  1. 拔:企業內使用者應先拔除網路線並進行檢查,避免勒索軟體利用內部網路進行擴散與感染
  2. 觀:未遭到勒索前,可以按 Ctrl+Alt+Del 呼叫程式管理員,觀察有否異常的程式一直佔用 CPU 資源,或電腦出現附名 .WCRY 的檔案
  3. 報:使用者發現遭受感染時應於第一時間依程序進行通報
  4. 停:資訊人員接獲通報立即停止受害者網路帳號與使用電腦連網能力
  5. 救:資訊人員取出受害者硬碟,並接入另外一台未連網電腦進行搶救與調查
  6. 查:資訊人員立即清查受害者帳號權限與本機及網路感染狀況
  7. 控:資訊人員隨時由資安監控系統(如SOC等)、網路防禦設備(如IPS、Firewall等)之監控紀錄偵測異常事件,避免損失擴大

謝昀澤表示,此波攻擊來勢洶洶、除了清查、處理的必要作業外,企業應該思考建立多重防禦的完整防護機制,才能夠在這波不斷翻新手法的駭客攻擊中,平安生存。

© 2017 KPMG, the Taiwan member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

與我們聯繫

 

申請服務建議書

 

填寫申請表單

瞭解KPMG 安侯建業全新官方網站

KPMG International 建立了全新的平台以增強您的瀏覽體驗,讓您可快速瀏覽各行業領域之最新資訊及相關訊息。