【駭客一直都在】勒索攻擊無法杜絕,「跨界合作」是企業生存最佳解
2024 年 6 月,英國國民保健署(NHS)的承包商 Synnovis 遭受勒索軟體攻擊,損失高達 3,270 萬英鎊,超過該公司年度利潤七倍。 Synnovis 是針對病理和診斷服務的提供者,這次攻擊導致倫敦多家醫院醫療程序大規模中斷,突顯勒索軟體對關鍵公共服務的嚴重威脅。
有鑑於此,英國政府正研擬將禁止支付贖金的適用範圍,從中央政府擴大至所有公部門機構與關鍵國家基礎營運設施。政策目標很明確:切斷網路犯罪集團的金流,削弱其營運能力。然而,這項看似合理的政策背後,卻隱藏著複雜的實務挑戰。
千萬別付贖金給駭客
許多企業認為支付贖金能快速恢復營運,但現實卻更複雜。根據全球創新資安解決方案 Sophos 2024 年研究報告,企業遭受勒索軟體攻擊後,直到完全恢復的成本通常是贖金金額的十倍。更重要的是,即使支付贖金也無法保證資料安全、系統完整恢復或避免再次攻擊。
且支付贖金還存在法律風險。企業可能在不知情下與受制裁機構進行實體交易,特別是當犯罪集團刻意隱瞞身份時。此外,統計顯示 94% 的勒索軟體攻擊會嘗試破壞備份系統,其中 57% 成功癱瘓企業的備份基礎設施,也就是即使支付了贖金也難以恢復所有資料。
不過,就在贖金禁令政策推行後,受影響的可能是網路保險理賠,未來理賠範圍可能縮限,企業將面臨更高保費。保險公司需重新評估風險,因為鑑識調查、系統重建和營運中斷成本可能超過原本贖金金額;且對 NHS 等這類公共服務機構來說,當攻擊事件影響公民安全時,如何在政策執行與實際需求間取得平衡將是重大挑戰。
供應鏈成高風險區,企業只盯「一層」風險恐陷盲點
除此之外,現代企業高度依賴複雜供應鏈,這為勒索軟體創造新的攻擊面。即使企業本身有強大防護,仍可能因供應商安全漏洞遭受損失。英國政府考慮將贖金禁令延伸至重要供應商,但這引發新疑慮:如果供應商遭攻擊,企業如何確保他們能在不支付贖金下快速恢復?
供應鏈攻擊往往引發連鎖反應。許多企業缺乏對廠商依賴關係的了解,直到中斷發生才意識到暴露程度。單一供應商受損可能癱瘓多個下游企業,造成大規模服務中斷。更嚴重的是,企業通常只看得到第一層供應商風險,對更深層的經銷商更缺乏可視性。
這種盲點意味著企業只能針對有限情境準備,無法識別深層供應鏈的風險。當攻擊者瞄準這些隱形弱點時,整個供應網絡都可能走向崩潰。
全產業合作才有機會提高防護
面對越來越狡猾的駭客攻擊,企業單打獨鬥已經不夠用了。不管政府是否禁止付贖金,重點都在於企業要一起合作防護。
當企業願意分享關於供應商的安全資訊時,就能發現原本一家公司看不到的風險點。透過互相交換最新的威脅情報,大家可以在問題變嚴重之前就提早發現並處理。因此,將供應鏈的關係可視化很重要,這能協助企業看出哪些地方風險太集中,找出一旦被攻擊就會造成大範圍影響的關鍵點。
企業可以根據以下這些資訊,主動和供應商討論:
如果他們被勒索軟體攻擊了,在不能付贖金的情況下,能否快速恢復正常運作?
透過整個產業的角度來看,企業就能對所有供應商做出更好的判斷,比如是否要找更多不同的供應商來分散風險,或是加強防護措施來減少被攻擊的機會。
這種合作的好處是,當企業把同業的供應鏈資訊整合在一起看時,就能發現原本看不到的風險情況,提前做好準備。雖然大部分企業都知道供應商可能是安全弱點,但重點的是,這些弱點可能比我們想像的還要多,而企業對此又了解多少?
別付贖金!企業應該靠「堅不可摧的備份」快速復原
最後,企業應該把重點放在「如何快速復原」上,而不是依賴付贖金來解決問題。最重要的是建立無法被破壞的備份系統,讓勒索軟體沒辦法修改或刪除重要資料。同時要有能夠偵測勒索軟體的安全機制,確保攻擊發生時能立刻發現,而且恢復的資料不會再次被感染。
定期檢查備份資料是否完整且沒有被破壞,這樣才能確保需要時真的能用來恢復系統。完善的復原計畫應該包括:詳細調查攻擊是怎麼發生的、準確偵測是否還有持續的攻擊活動,以及確保只有乾淨無毒的備份資料被用來恢復系統。
每一次付贖金都等於是在幫助網路犯罪集團變得更強,讓他們有資金開發更厲害的攻擊手法。倘若企業可建立復原能力不只能減少攻擊帶來的損失,更重要的是能打破「提供資源給不法人士讓他們繼續作惡」的惡性循環。
跳脫孤立思維,透過與同業、供應商和監管機構協作
面對持續演進的勒索軟體威脅,企業需重新思考防護策略。禁止贖金支付可能移除部分犯罪誘因,但不會讓威脅消失。真正挑戰在於建立組織韌性,需要思維根本轉變。
企業內部可建立供應商韌性盤點流程,而針對外部,檢視供應商資安與復原能力,將其作為合作條件之一。這不僅是風險管控需要,更是確保營運永續的關鍵。企業必須跳脫孤立思維,將網路安全視為共同責任。唯有透過與同業、供應商和監管機構協作,擴大供應鏈可視性識別潛在風險,才能降低勒索軟體衝擊。
【推薦閱讀】
◆ 【每 42 秒就來一封】AI 讓釣魚攻擊成本暴降 95% 還展現「多態性」,企業該怎麼防?
◆ 用 AI 每天分析 1 億行程式碼!OX Security 如何找出企業忽略的資安漏洞?
◆ 網路詐騙集團的「二次收割」術:為什麼被騙過的人,更容易再被騙?
*本文開放合作夥伴轉載,參考資料:《techradar 1》、《techradar 2》,圖片來源:Unsplash
(責任編輯:鄒家彥)