大世科 blog

blog.tsti.com

資安事故應變實務案例

·

以下介紹幾個典型的資安事故應變案例,說明組織在真實環境中如何應對各類型的資安威脅。

案例一:勒索軟體攻擊 – 資訊科技公司虛擬機環境被加密

背景與發現 2024年7月,台灣一家資訊科技公司通報其網路環境中的重要服務主機遭到加密勒索,虛擬機(VM)環境的桌面上出現勒索資訊。這是一個典型的勒索軟體攻擊事件,需要立即的應變處理。 快速應變行動 事件應變團隊在接到通報後,迅速採取了以下行動: 首先,與客戶召開緊急會議,詳細了解客戶需求和具體受駭狀況。隨後,團隊根據收集到的勒索資訊,判讀出是哪個勒索族群實施的攻擊,為客戶提供攻擊者相關資訊,幫助客戶評估決策。同時,為防止其他數位資產受損,團隊建議對相關網路設備進行斷網取證、對受影響端點進行隔離掃描,並備份系統,在未釐清案發根因前暫時不開通上網功能。 事證收集與環境偵測 在7月19日,應變團隊開始執行以下重點行動: 依據初步判斷,團隊鎖定可能為主要事發點的主機或網路設備進行重點取證分析,同時客戶提供了案發時網路設備的通訊紀錄,作為事件關聯調查的依據。隨後,部署威脅鑑識分析平台ThreatSonar進行端點掃描,快速篩檢場域內主機的安全狀況。 掃描結果發現了5台主機具高風險威脅(Level 5)、1台主機具中高風險威脅(Level 4),分析發現其中包含駭客工具、勒索軟體外,還有可疑帳號與IP來源。 根因判定與攻擊軌跡還原 通過進一步的關聯調查,應變團隊掌握了具體的攻擊詳情: 勒索軟體情況:在14台主機中,有8台被植入勒索軟體,植入位置為  C:\Documents and Settings\All Users\「開始」功能表程式集啟動\fast.exe  駭客工具:發現存放在  C:\WINDOWS\Temp\temp  路徑下的mimikatz工具(用於竊取認證憑證) 遠端登入紀錄:通過分析遠端桌面協定(RDP)登入紀錄,確定了源IP、目標使用者、來源工作站(MONSTER)與登入類型(Logon Type 10為RDP遠端登入) 透過威脅狩獵技術,應變團隊可視化呈現了攻擊者的橫向移動軌跡,讓客戶清楚了解事件根因。 系統復原與防禦強化 事件調查完成後,應變團隊與客戶協力採取以下復原措施: 確認系統在安全模式下啟動,移除勒索軟體後,繼續使用Cynet XDR掃描其他端點確保安全。檢視場域內服務主機的存取規則,降低攻擊者日後進行橫向移動的風險。針對事件中遭利用的帳號進行評估,停用非已知帳號,並立即變更網域管理者與使用者密碼,評估是否需要重建Active Directory(AD)。最後,確認防火牆設備狀態並更新版本,檢查設備存取紀錄以確認攻擊來源。

案例二:社交工程攻擊 – Qantas航空公司客戶資料外洩

事件概況 2025年,澳洲航空公司Qantas遭受駭客透過社交工程手法發起的攻擊,攻擊者從第三方客服中心非法取得存取權限,導致多達600萬名客戶的個人資料外洩。 事件特點與啟示 這一事件凸顯了人為因素在資安防護中的重要性,以及第三方供應商管理的風險。社交工程攻擊往往針對組織中最薄弱的環節——人員,通過欺騙、冒充或其他心理操縱手段,使員工或承包商主動洩露敏感信息或提供系統存取權限。 該案例提示企業應將人員安全意識培訓作為資安防線的重要一環,並加強對第三方服務提供商的資安管理與監督。

案例三:勒索軟體攻擊 – Marks & Spencer零售企業業務中斷

事件背景 英國零售巨頭Marks & Spencer於2025年復活節期間遭受勒索軟體攻擊,導致其線上業務中斷近七週,最終損失高達3億英鎊。 根本問題與應變啟示 該公司事後承認其IT基礎設施過時,未能有效防範資安風險,這表明組織的基礎設施現代化與資安防護能力建設的重要性。 此案例強調了以下幾點:企業需要定期評估與升級IT基礎設施,及時修補系統漏洞;建立和測試災害復原計畫,確保關鍵業務的業務連續性;投資於備份與恢復系統,減少勒索軟體帶來的影響。

案例四:漏洞利用 – 台灣電線電纜公司WebLogic漏洞

事件情況 台灣某知名電線電纜公司發現其核心應用程式所使用的Oracle WebLogic Server存在高風險漏洞,可能被駭客利用進行遠端程式碼執行(RCE),對公司系統安全構成嚴重威脅。 應變與改進成果 在資安顧問的協助下,該公司迅速採取行動修補漏洞,並借此機會建立了一套全面的資安防護體系。通過這次事件,公司成功避免了潛在的大規模資安事件,同時大幅提升了自身的資安成熟度。

案例五:醫療機構遭勒索軟體攻擊 – 馬偕紀念醫院

攻擊時間與手法 2025年2月,馬偕紀念醫院遭遇CrazyHunter勒索軟體的連續攻擊事件。攻擊者的已知入侵路徑是通過AD(Active Directory)主機派送惡意程式,並利用BYOVD(自帶漏洞設備)手法規避偵測。 事件的特殊性 BYOVD手法是指攻擊者利用合法但存在已知漏洞的驅動程式或軟體,以規避安全防護工具的偵測。這是一種日益常見的高級攻擊技術,顯示勒索軟體攻擊手法的不斷演進。 常見應變問題與處理原則 根據政府資安相關指南,當組織遭受勒索軟體攻擊時,應遵循以下處置原則: 立即清查所有遭受攻擊的電腦設備,評估感染程度。中斷網路連線並關閉受影響電腦,防止惡意程式進一步擴散。評估受攻擊電腦的具體感染狀況。將未被加密的重要資料盡速備份出來,以防資料永久丟失。選擇重灌系統或其他恢復方案(通常不建議支付贖金)。加強內部宣導,提升員工防範勒索軟體攻擊的意識,強調日常備份的重要性。 此外,組織應依據政府相關規定進行數位證據蒐集與保存,如電腦稽核軌跡及相關證物,這些證據可用於內部問題分析、合約爭議解決以及與供應商協商補償。 應變時限要求

根據國家資通安全會報的規定,不同影響等級的資安事件有不同的處理時限: 影響等級評定為1級或2級的資安事件,應於事件發現後72小時內完成復原或損害管制。影響等級評定為3級或4級的資安事件,應於事件發現後36小時內完成復原或損害管制。 在完成事件處理後,組織應儘速在國家資通安全通報應變網站完成通報與結案作業,說明事件解決辦法與解決時間。

總結

這些案例共同說明了資安事故應變的核心要素:迅速的事件偵測與通報、系統化的調查與證據保全、針對性的技術應對措施、清晰的責任分工與協調機制,以及事後的持續改進。企業應透過平時的準備、演練與資源投入,建立完整的應變能力,才能在真實事件發生時有效應對。