在 2018年8月3日,某個尋常的週五傍晚,長期身為資安模範生的全球半導體龍頭 T 公司,位於新竹某座晶圓廠,安裝預定在週末上線的新機台,但卻未按照原有的SOP預先掃毒,就將其連上網路。當一開機完成後,躲藏其內的WannaCry變種病毒就自動掃描同一網路內的所有電腦主機,鎖定445埠發動EternalBlue漏洞攻擊,進行擴散感染。
數小時內,因 T 公司的所有廠房均串連在同一個生產內網,導致WannaCry變種病毒快速散播到竹科、中科和南科廠區,主要中毒機台採用Windows 7作業系統,造成全台產線大當機,營收損失高達52億元,創下台灣有史以來損失金額最高的資安事件,不僅讓全球媒體和分析師們擔憂這將延遲新款iPhone的出貨時程,更讓全世界上了一堂資安震撼教育。
目標式勒索病毒的危害遠比你想像的還要可怕
目標式勒索病毒早已是企業資訊安全的頭號威脅,在過去十年,駭客提出的贖金要求,平均金額從數百美元提升到數萬美元,有些案例甚至高達數百萬美元。根據研究,製造業、政府單位及教育機構,名列蒙受目標式勒索病毒的前三大受害者。
在2023年,無論是否支付贖金,估計每起事件損失平均超過500萬美元,總計突破300億美元。分析報告也指出,台灣在2023上半年遭受的惡意威脅數量急速成長,較去年同期大增近八成,平均每秒發生將近1.5萬次攻擊,高居亞太之冠,意謂企業隨時面臨著產線中斷、機敏資料外洩的風險。
當網路外圍防護遭到滲透,或著在內部被啟用受到感染的新設備 (例如 T 公司的新機台、意外插入一隻內有病毒的USB隨身碟),出現第一台被攻擊拿下的設備,一旦沒有適合的內網防護網,勒索病毒將低調地長期潛伏在區網中,以常常無人看管的用戶端裝置作為發動攻擊的跳板,慢慢地在內網橫向移動擴散,逐漸感染所有裝置,當企業終於察覺到惡意軟體的存在時,真正的攻擊已被發動,而內網內的所有裝置也早已全體淪陷,造成企業難以彌補的損失。
資源不足的中小企業常常變成主要的攻擊目標
對於中小企業佔全體企業達98%以上的台灣,很多電腦設備數介於10至250個的中小企業,因為不充足的資安布建,包括缺乏資源、預算不夠、人力不足、眾多存在著許多漏洞的舊款設備、難以負擔招募專業人士進行惡意軟體活動偵測與調查、無力承受業務停擺損失而容易跟駭客妥協等因素,常常變成主要的攻擊目標,而NAS等實體儲存設備和區域網路內的伺服器或服務,往往容易變成駭客優先鎖定的對象。
在資訊安全領域,對網路資料進行分析檢測是最基本的要求。傳統的中小企業網路架構,多半僅在核心交換器前佈署資安設備,這些連接在區域網路邊緣與核心交換器的傳統資安設備,無法偵測到在區域網路後端活動的惡意軟體。在個人電腦和伺服器安裝防毒軟體,或將NAS和其他種類的伺服器直連資安設備,是常見的應對方式。但前者會降低電腦效能,每隔一段時間更新病毒碼和自動掃描,動輒癱瘓員工的生產力;後者則因傳統資安設備會掃描所有流量,容易拖慢網路速度,因此也不適合需要極高傳輸效能的NAS和其他種類的伺服器。
不只IT,還有OT
除了IT以外, T 公司病毒事件也暴露出在OT (Operational Technology) 領域,也就是工廠生產製造系統的安全防護問題。規劃OT網路最重要的守則,莫過於製造設備穩定運作,管理者能夠即時掌控製造流程,以極大化生產效率,也因此,資安一直不是OT的重要考量。讓製造設備另外安裝資安防護軟體,對生產效率帶來的負面影響,往往遠大於系統被攻擊的潛在風險。
此外,OT設備內載老舊作業系統 (如WindowsXP) 者比比皆是,往往沒有安裝應有的漏洞修補檔,處於毫不設防的危險狀態。OT設備動輒使用大量非通用的元件,即便機台使用的作業系統廠商已釋出修補檔,但負責OT的人員卻可能無法自行安裝,只能仰賴機台原廠,難以迅速應對演化快速的新型病毒威脅。唯有多一道屏障,才能有效避免因病毒攻擊而被迫生產線停擺。
ADRA NDR軟體主動防禦傳統資安方案的內部死角
QNAP身為專業的網路儲存設備廠商,深知目標式勒索病毒的風險,在存取端交換器 (Access Switch) 佈下名為ADRA NDR (網路偵測及應變,Network Detection & Response) 的新防線,可彈性安裝於QGD-1600P和QGD-1602P兩款PoE交換器,配置於QNAP及各廠牌NAS與其他伺服器和用戶端之前,藉由高效能不降速的Threat Watch選擇性快篩檢查部份網路流量,及Threat Trap模擬常見網路服務的誘捕機制,早期偵測目標式勒索病毒等惡意軟體的內網滲透 (Lateral Movement) 活動,再搭配威脅深度分析與威脅關連分析,以及精準小範圍自動封鎖受感染裝置等應變措施,封鎖目標式勒索病毒等惡意軟體在內網擴散,確保企業組織資訊安全無虞,不受危害。
緊急應變能力更是抵禦目標式勒索病毒的要點,QGD系列交換器具備網管功能與PoE乙太網路供電,可讓管理人員輕鬆串接或取代現有的存取端交換器,在極短的時間之內小幅調整網路架構,即可導入ADRA NDR立即保護重要伺服器,亦可針對眾多無法安裝資安軟體的連網設備,及時偵測其中隱蔽的潛在威脅與潛藏的內網擴散攻擊。QGD-1602P更進一步提供10GbE與2.5GbE高速網路埠,可用於上行至彙整交換器 (Aggregation Switch) 的線路,或連接 QNAP 10GbE NAS等高速裝置,提升資安防護與整體網路效能。
當確認電腦設備受到感染,使用QNAP NAS盡速還原電腦和伺服器
正所謂「亡羊補牢,猶未晚也」,當ADRA NDR偵測到高風險內網擴散攻擊,隔離受感染電話並對電腦做相應的深度掃描,管理人員可透過QNAP NAS的完整備份還原方案NetBak PC Agent、Hyper Data Protector (HDP) 與快照功能,使用平日手動或自動排程的NAS備份,將資料恢復到先前完整無缺的時間點,快速恢復員工工作電腦與公司業務所需的服務,大幅減低損失的時間成本和人力資源。
ADRA NDR解決方案是QNAP針對目標式勒索病毒開發的資安對策,在傳統的資安手段以外開展一道全新向度的防護罩,初衷是希望保護QNAP NAS免受惡意軟體威脅,但其他品牌的NAS及伺服器,也可搭配ADRA NDR形成絕佳防護,不限於中小企業,不論IT還是OT,協助不同領域及規模的企業組織,共同抵禦機敏資料加密勒索與外流曝光的威脅。每年只要美金399起,即可將QGD交換器即刻升級為ADRA NDR資安設備。快速偵測威脅強化防禦,刻不容緩!
查看完整的 ADRA NDR 設備:https://www.qnap.com/go/product/series/adra-ndr