在公共部門防禦勒索軟體
透過人員、流程和技術來加強安全性
針對公共部門組織的勒索軟體攻擊呈上升趨勢,干擾了數百萬人的重要服務。而傳統的網路安全策略不足以抵禦最新的攻擊手段。
根據一份 2024 年的報告,自 2021 年以來,美國公共部門的勒索軟體事件增加了超過 94%。2024 年,僅政府機構就經歷了 117 起勒索軟體攻擊,較 2023 年的 95 起增加了 23%。2025 年的一份全球報告顯示,2025 年上半年針對政府�的勒索軟體攻擊比 2024 年同期增加了 65%。
對州和地方政府的攻擊會對民眾產生直接且即時的影響,因為重要的政府運作會中斷,包括 911 調度中心、警長辦公室、醫療診所和公用事業。這些事件通常會暴露敏感性資訊,使個人在未來幾年內容易遭受詐騙。即使政府機構拒絕支付贖金,復原系統和資料也可能需要巨額公共支出。
最近的兩起事件凸顯了勒索軟體攻擊的高昂代價:
俄亥俄州哥倫布市在 2024 年拒絕支付 190 萬美元的勒索軟體要求,但花費了超過 400 萬美元來保護和還原該市的技術基礎架構。
得克薩斯州達拉斯市在 2023 年支付了 850 萬美元與勒索軟體相關的費用。
勒索軟體策略和技術的變化凸顯出加強勒索軟體防禦的必要性。隨著網路罪犯利用新工具,他們的攻擊將變得更加有效,並產生更大的影響。例如,他們使用 AI 來建立更具說服力的網路釣魚訊息、開發規��避防禦的惡意程式碼、識別有價值的資料以進行竊取,並發動更大規模的攻擊。與此同時,小型網路犯罪集團正在轉向勒索軟體即服務組織,以快速且廉價地發起攻擊。
網路犯罪者也正為其勒索軟體計畫增添新花招。直到前不久,多數攻擊者還是加密敏感性資料,並要求支付贖金以換取解密金鑰。但如今,攻擊者會外流資料,並威脅若不支付贖金就公開這些資料。他們知道,如果贖金談判失敗,他們仍然可以販售竊得的資料。
我們在 2024 年 7 月發生於佛羅里達州衛生部的 RansomHub 攻擊中,就看見了這種手法。該機構沒有支付贖金,因此網路罪犯洩漏了 100GB 的資料——包括近 73 萬人的社會安全號碼、信用卡資訊、醫療資料等。
鑑於勒索軟體攻擊的演變及每次事件可能造成的毀滅性後果,政府機構必須超越傳統的安全策略。備份資料不再是防止資訊被劫持的唯一方法。
為協助促進向更強大的勒索軟體防護過渡,美國國家標準與技術研究院 (NIST) 建立了一個針對勒索軟體的網路架構,而國土安全部 (DHS) 發布了一份綜合指南,協助組織阻止勒索軟體。這些建議強調,州和地方政府機構需要一種更全面、更主動的方法,這將需要在人員、流程和技術方面進行變革。
人員:強化第一道防線
在導入先進技術之前,安全團隊應該聚焦於網路衛生,或者如 DHS 所言,要做到「把基礎做得卓越」。具體而言,他們應落實三項最佳做法,以防止未經授權者存取網路:
訓練團隊成員:網路釣魚、簡訊網路釣魚,以及其他社交工程手法,通常是勒索軟體事件的起點。而且,AI 工具讓攻擊者更容易製作出令人信以為真的訊息,誘騙員工點擊偽造連結或輸入登入認證。一旦攻擊者取得這些認證,就能將勒索軟體插入網路。
員工是第一道防線,政府機構必須訓練他們如何辨識詐騙電子郵件與簡訊。隨著攻擊手法不斷演變,這類訓練也必須持續更新。要求使用強密碼與 MFA:同時,政府機構應要求員工使用強固且獨特的密碼,這類密碼難以透過暴力破解方法猜測(即使有 AI 工具協助),也不可在多個應�用程式中重複使用。
多重要素驗證 (MFA) 提供了額外的保護層。即使網路罪犯竊取了認證,MFA 也能阻止他們存取關鍵應用程式。防止惡意下載:即使是安全意識很高的員工,也可能誤觸連結,導致進入遭入侵的網站或觸發惡意下載。政府機構應透過檢查與篩選網際網路流量,來保護使用者瀏覽網頁的體驗——防止使用者連上惡意網站。
流程:領先於不斷演變的勒索軟體手法
許多政府機構需要重新審視現有流程或實施新流程,以確保他們已盡一切努力來處理既有弱點與不斷變化的攻擊手法。
更新軟體與韌體:利用未修補、過期的軟體與裝置,已成為網路罪犯的主要攻擊手法。事實上,軟體漏洞與遭竊的帳戶認證,約占所有勒索軟體事件初始攻擊途徑的一半。透過鎖定存在弱點的應用程式,攻擊者能夠繞過安全機制,取得系統的非授權存取權,接著便能在系統中植入勒索軟體。要防範此類威脅,就必須保持警覺:政府機構應在廠商發佈新更新與修補程式時,立即更新軟體與韌體。
根據近期一份報告,軟體漏洞與遭竊的認證加總起來,是約 55% 勒索軟體事件的初始攻擊途徑。
將 IT 安全性套用至營運系統:IT 系統與營運科技 (OT) 系統的融合(例如透過使用 IoT 感測器)為網路罪犯開闢了新的攻擊途徑。透過鎖定連接 IT 與 OT 的裝置,網路罪犯能造成嚴重的營運中斷,並藉此施壓要求支付贖金。政府機構需要將 IT 安全功能套用至 OT,以確保那些保護不足的系統不會成為勒索軟體事件的入侵管道。
擬定並測試事件回應計畫:服務中斷一天,就可能讓資料復原與還原的費用高達數千美元。擬定一套事件應變計畫並定期加以測試,有助於確保從攻擊被偵測到的那一刻起,就能迅速做出回應。
備份資料:雖然單靠備份資料不足以抵禦勒索軟體攻擊,但它仍應是防禦措施的一部分。擁有儲存在安全的離線或雲端位置且為最新版本的資料備份,能大幅降低支付贖金的壓力。由於大多數攻擊者還會試圖存取並竊取備份資料,因此對備份資料進行加密至關重要。
技術:改善網路安全狀態
根據我在州與地方政府服務的經驗,我發現許多單位根本尚未實施他們所需的各類安全防護功能,來防禦勒索軟體攻擊。他們不應只仰賴資料備份,還需要採用能夠封鎖初始攻擊、遏止惡意程式碼橫向移動,以及防止資料外洩的解決方案。
封鎖初始攻擊:有幾種類型的解決方案,能協助封鎖勒索軟體事件中最關鍵的第一階段,防止攻擊者取得網路存取權。
電子郵件安全性:隨著攻擊者撰寫更具說服力的網路釣魚電子郵件,機構必須利用電子郵件安全功能,在這些電子郵件到達員工收件匣之前識別並予以封鎖。
DNS 篩選:由網路安全和基礎架構安全局 (CISA) 所推薦的 DNS 篩選技術,能防止使用者存取任何已知惡意網站,進而避免惡意下載。
應用程式安全性:政府機構應實施 Web 應用程式防火牆 (WAF),以即時偵測並封鎖針對 Web 應用程式的攻擊,遏止企圖控制應用程式並部署勒索軟體的行為。
DDoS 防護:雖然不常見,但仍有部分網路罪犯會在分散式阻斷服務 (DDoS) 攻擊中,要求支付贖金作為條件。政府機構需要具備能自動偵測、吸收並攔阻這類攻擊的 DDoS 防護機制,從而免除支付贖金的必要。
遏止橫向移動:如果網路罪犯成功竊取使用者認證或入侵某個應用程式,其惡意程式碼便有可能在網路中進行橫向移動,最終找到敏感性資料。實施 Zero Trust 模型將有助於防止此類橫向移動。舉例來說,透過部署微分段技術和使用 Zero Trust 網路存取服務,政府機構能夠控管每位使用者可存取的資源。即使攻擊者成功入侵單一應用程式或環境,他們也無法存取整個網路。
防止�資料外流:透過部署能掃描傳輸中資料、識別敏感性資料,並套用規則以阻擋該資料被移動的安全 Web 閘道,有助於在攻擊者成功接觸資料的情況下,防止該資料最終遭到竊取。
如何在避免複雜性的情況下防範勒索軟體?
州與地方政府將持續成為勒索軟體的主要攻擊目標。網路罪犯通常認為政府機構屬於防禦較脆弱的組織,且願意支付贖金以恢復關鍵服務。
Cloudflare 全球連通雲提供了一個統一的雲端原生網路安全功能平台,協助政府機構實施全面的勒索軟體防禦措施。透過使用 Cloudflare 的服務,您的組織能夠在一個完全整合的平台上,阻止初始攻擊、惡意下載、橫向移動與資料外流。這些技術解決方案也有助於簡化您在最佳化流程與強化「人員防線」方面的努力。此外,由於 Cloudflare 透過單一介面提供服務,您的團隊能夠在兼顧成本與複雜度控制的同時,有效因應勒索軟體及其他威脅。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《實現高效 IT 的簡易方法》電子書,進一步瞭解聯邦機構如何實現 IT 現代化。
作者
Dan Kent — @danielkent1
Cloudflare 公共部門現場技術長
重點
閱讀本文後,您將能夠瞭解:
勒索軟體攻擊如何變化並變得更有效
政府機構遭受勒索軟體攻擊的主要途徑
阻止勒索軟體攻擊的三大關鍵