針對勒索病毒事件建議強化措施
高權限帳號存取管控
- 確認高權限帳號近期登出入記錄是否有異常狀況。
- 更改高權限帳號密碼,確保密碼設定符合複雜性原則,避免字符轉換情況發生。
- 限定帳號使用範圍,或利用群組原則設定僅能登入特定主機,例如網域管理員帳號僅能登入網域管理伺服器進行管理。
- 採用多因子驗證,高權限帳號要透過兩種以上的認證機制之後,才能得到授權。
遠端連線、委外廠商、網路硬碟與移動裝置存取管控
- 針對相關系統連線與遠端存取透過防火牆設備嚴謹控管,僅允許固定來源連線,避免遭駭客藉由跳板嘗試入侵。
- 外部網路透過 VPN 連線內部網路以達到安全加密的連線。
- 依據各單位不同業務考量提供不同資料檔案存取權限與連線網段,確保機敏資料安全性。
- 限定委外廠商外部連線存取機制,限縮其連線來源與目標,竊強烈建議僅允許限定時段作業,於作業完成後關閉連線許可,同時管控與監視其對內部的存取行為。
- 檢視網路硬碟與共用資料夾之使用者存取權限,避免非必要使用存取。
- 針對移動設備進行存取管控,限定僅能使用授權裝置與鎖定非授權存取,使用移動設備前應先檢查是否感染惡意程式。
- 針對移動設備進行存取管控,限定僅能使用授權裝置與鎖定非授權存取。
資料備份與企業營運持續計畫(BCP)
- 檢視重要系統備份頻率,建議遵循 3-2-1 原則來定期備份檔案。此原則要求以兩種不同格式建立三個備份,並在異地儲存一個備份。同時重要機密的資料備份,應使用加密方式來保護。
- 確認企業營運持續計畫(BCP)執行完善化,確保重要核心系統可達到高可用性、業務持續與災難恢復之能力。
程式版本與弱點修補
- 確認作業系統及應用程式更新情況,避免駭客利用系統/應用程式安全性漏洞進行入侵行為。
- 確認所有主機防毒軟體是否安裝以及更新狀況,未安裝與更新者應即時處理。
資安意識宣導
- 強化相關人員網路安全認知,避免點選釣魚郵件,同時使員工具備保護數據資產、辨識安全威脅和高風險行為的能力。
- 針對網芳之共享資料夾建議盡量不使用,如要使用應設定密碼存取,避免遭惡意程式存取利用。
- 宣導若發現疑似遭受勒索病毒感染時,應立即關閉電腦並切斷網路。
- 若發現疑似遭受勒索病毒感染時,建議重新安裝作業系統與應用程式,且確認已安裝至最新修補程式後,再還原備份的資料。備份資料在還原至電腦之前,應以防毒軟體檢查,確保沒有殘存的惡意程式。
- 宣導重要資料採用離線備份。