預防釣魚郵件攻擊 安裝零信任存取控制

Barracuda首席科技總監Fleming Shi：事件反映黑客透過網絡釣魚攻擊，成功收集了所需存取憑證，再連接企業的目錄管理服務。

新科技速遞

上月底，牛奶公司網絡遇網絡攻擊，REvil勒索軟件導致少量機器被劫持，部分零售及網上業務受影響，REvil亦受到公眾關注，疫情影響下黑客攻擊更加嚴重，有保安公司表示企業必須加強認證客戶身份。

REvil又稱Sodin或Sodinokibi，最初在2019年出現，透過Oracle WebLogic服務器漏洞及網絡釣魚活動傳播。REvil竊取大量敏感數據，電腦受REvil攻擊後，文件會被加密並發出勒索信息，據聞今次勒索要求贖金高達300萬美元。

黑客亦會將數據網上拍賣。較早前，黑客透過REvil勒索軟件攻擊一間加拿大農業生產公司，竊取大量數據，而該公司拒絕支付贖金，黑客其後拍賣數據，黑市網站3個數據庫的資料合共有22,000個拍賣文件，數據庫由50,000美金起出售，支付方式以加密貨幣交易。

不少員工在家工作，令不少企業攻擊面大增，有保安專家建議，必須加強防禦網絡釣魚，以免員工在家被假郵件詐騙，讓木馬程式長驅直入。

Barracuda首席科技總監Fleming Shi表示，REvil勒索軟件是常見的勒索軟件系列的一員，透過竊取敏感數據導致企業業務中斷，繼而再勒索贖金。今次網絡安全事故，黑客取得了企業Active Directory存取權限，公開用戶資料和內部資源；而事件反映黑客透過網絡釣魚攻擊，成功收集了所需存取憑證，再連接企業的目錄管理服務。

不過，牛奶公司也不是亞太區遭勒索軟件攻擊，導致業務停頓。他建議企業採取措施防禦網絡釣魚，避免遭受勒索軟件攻擊。

首先企業可採用雙重身份驗證 (MFA)，以主動措施可防禦黑客透過品牌仿冒 （Brand impersonation） 或偽造登錄（Login spoofing）等攻擊竊取用戶的存取憑證。

Shi表示，企業也必須部署數據備份和還原，也加密關鍵數據，確保黑客即使竊取了數據，亦無法用於勒索。因為即使支付了贖金，黑客可能重複勒索，因為黑客不會在交付贖金後，便即時「刪除數據」。

如果企業推行遙距工作，要確保所有與工作相關裝置，安裝零信任存取控制，沒有被安全監察私人裝置，不應給予與業務相關的應用存取權限。

從Microsoft 365到其他生產力應用程序，黑客亦可以透過字典攻擊，竊取存儲瀏覽器上的密碼和憑證；故此公有雲或軟件即服務，也有機會受到攻擊。如果企業應用遷移往公有雲，則可採用雲端安全態勢管理（Cloud Security Posture Management）工具，監察企業的雲基礎架構；因為只要有單一的錯誤配置，就足以導致企業網絡滲透和數據外洩。