Slide
Slide
Slide
Hitachi_AI_HCI
Hitachi_HCI
HCI
previous arrow
next arrow

預防釣魚郵件攻擊 安裝零信任存取控制

FlemingShi
Barracuda首席科技總監Fleming Shi:事件反映黑客透過網絡釣魚攻擊,成功收集了所需存取憑證,再連接企業的目錄管理服務。

新科技速遞

上月底,牛奶公司網絡遇網絡攻擊,REvil勒索軟件導致少量機器被劫持,部分零售及網上業務受影響,REvil亦受到公眾關注,疫情影響下黑客攻擊更加嚴重,有保安公司表示企業必須加強認證客戶身份。

REvil又稱Sodin或Sodinokibi,最初在2019年出現,透過Oracle WebLogic服務器漏洞及網絡釣魚活動傳播。REvil竊取大量敏感數據,電腦受REvil攻擊後,文件會被加密並發出勒索信息,據聞今次勒索要求贖金高達300萬美元。

黑客亦會將數據網上拍賣。較早前,黑客透過REvil勒索軟件攻擊一間加拿大農業生產公司,竊取大量數據,而該公司拒絕支付贖金,黑客其後拍賣數據,黑市網站3個數據庫的資料合共有22,000個拍賣文件,數據庫由50,000美金起出售,支付方式以加密貨幣交易。

不少員工在家工作,令不少企業攻擊面大增,有保安專家建議,必須加強防禦網絡釣魚,以免員工在家被假郵件詐騙,讓木馬程式長驅直入。

Barracuda首席科技總監Fleming Shi表示,REvil勒索軟件是常見的勒索軟件系列的一員,透過竊取敏感數據導致企業業務中斷,繼而再勒索贖金。今次網絡安全事故,黑客取得了企業Active Directory存取權限,公開用戶資料和內部資源;而事件反映黑客透過網絡釣魚攻擊,成功收集了所需存取憑證,再連接企業的目錄管理服務。

不過,牛奶公司也不是亞太區遭勒索軟件攻擊,導致業務停頓。他建議企業採取措施防禦網絡釣魚,避免遭受勒索軟件攻擊。

首先企業可採用雙重身份驗證 (MFA),以主動措施可防禦黑客透過品牌仿冒 (Brand impersonation) 或偽造登錄(Login spoofing)等攻擊竊取用戶的存取憑證。

Shi表示,企業也必須部署數據備份和還原,也加密關鍵數據,確保黑客即使竊取了數據,亦無法用於勒索。因為即使支付了贖金,黑客可能重複勒索,因為黑客不會在交付贖金後,便即時「刪除數據」。

如果企業推行遙距工作,要確保所有與工作相關裝置,安裝零信任存取控制,沒有被安全監察私人裝置,不應給予與業務相關的應用存取權限。

從Microsoft 365到其他生產力應用程序,黑客亦可以透過字典攻擊,竊取存儲瀏覽器上的密碼和憑證;故此公有雲或軟件即服務,也有機會受到攻擊。如果企業應用遷移往公有雲,則可採用雲端安全態勢管理(Cloud Security Posture Management)工具,監察企業的雲基礎架構;因為只要有單一的錯誤配置,就足以導致企業網絡滲透和數據外洩。

Leave a Reply

Your email address will not be published. Required fields are marked *