常見解答
什麼是勒索軟體?如何做好準備?
勒索軟體是一種攻擊方式,犯罪分子會鎖定檔案或系統並索取金錢。你無法把風險變成零,但你可以透過準備降低損害、縮短停機時間,並讓復原更可行。
簡短回答
勒索軟體是一種惡意軟體,可能會加密、竊取,或阻止存取你的企業資料與系統。用白話說,它會讓檔案變得無法閱讀、阻止人員使用電腦,並在系統恢復之前打亂日常工作。
這很重要,因為中小型企業常比大型企業更容易成為目標。許多企業依賴幾台關鍵裝置、共用的檔案系統、電子郵件、雲端應用程式,以及一條網路連線。只要其中一個環節被干擾,帳務、排程、客服與薪資都可能受到影響而放慢。
準備不等於買一套產品然後就不管了。它代表你要有多層防護:更安全的登入、更新的裝置、備份、員工訓練,以及明確的因應回應計畫。如果你想找獨立的託管式 IT 服務供應商(也稱為 MSP),我們可以幫你找一位。
為什麼勒索軟體會影響你的企業
勒索軟體不只是技術問題,也是一種營運中斷問題。通常,負責人最先感受到的影響,是花費在失去的時間、訂單延遲、預約錯過、員工壓力增加,以及客戶困惑。
成本可能同時來自多個面向。你可能會面臨停機、緊急 IT 支援、裝置更換、法律審查、客戶通知,以及營收損失。如果涉及敏感資料,部分產業也可能需要履行通報義務。各產業與州別的要求不同。
難點在於:沒有誠實的供應商會承諾零停機或無法被駭的網路。好的準備著重在降低嚴重事件發生機率、如果真的發生則限制擴散,並提高你在不失序的情況下恢復營運的可能性。
勒索軟體通常怎麼進來
許多攻擊始於看起來很正常的電子郵件、簡訊或登入頁面,騙使用者點擊連結、開啟檔案或輸入密碼。其他攻擊則可能利用弱密碼、重複使用的密碼、尚未更新的舊版軟體,或是已暴露到網際網路上的遠端存取工具。
因此負責人常會聽到一些資安術語。多重身分驗證,或 MFA(Multi-Factor Authentication,多重因素驗證),表示使用者登入時需要第二步驟,例如由應用程式跳出提示或要求輸入代碼。修補(patching)是指安裝修正已知問題的軟體與作業系統更新。端點(endpoint)是指連接到你企業系統的裝置,例如筆記型電腦、桌上型電腦或手機。
你可能也會聽到端點偵測與回應,或 EDR。這是一種軟體,用來偵測裝置上的可疑活動並協助遏止。另一個常見名詞是遠端監控與管理,或 RMM(Remote Monitoring and Management,遠端監控與管理),許多託管式 IT 服務供應商會用它來留意裝置的健康狀況、更新與警示。這些工具很有幫助,但如果沒有良好的設定與定期檢視,光靠工具仍不足夠。
什麼叫做做得好
好的勒索軟體準備是「乏味」的——但也是最有效的那種。員工知道如何回報可疑的電子郵件。裝置會依排程更新。重要帳號會啟用 MFA。備份會經過測試,而不是只是假設「一定能用」。企業會有一份簡短的書面計畫,清楚寫明系統若出問題時,各角色要做什麼。
強健的備份策略常被描述為 3-2-1 備份。意思是保留重要資料的 3 份副本,分別存放在 2 種不同的儲存媒介上,並保留 1 份與主要環境分開保存。對許多小型企業而言,可能就是本機與雲端備份混搭,並確保至少有一份在攻擊期間不容易被更改或刪除。
如果你與供應商合作,請詢問他們如何處理修補、備份檢查、帳號安全與回應規劃。同時也要問:他們的服務層級協議(SLA)包含哪些內容。SLA 是服務合約中的書面部分,用來說明回應目標、範圍與責任。有些企業也會希望獲得虛擬首席資訊官(vCIO)的策略規劃協助,vCIO 的意思是外部顧問,協助進行 IT 規劃與優先順序。
如果你仍在學習基礎,我們的 答案頁面會用白話解釋常見主題。若你正在比較選項,我們的 服務頁面可以幫你了解託管式 IT 通常包含哪些內容。
你現在就能做的簡單步驟
你不需要一次做完所有事情。先從能降低常見問題、也能讓復原更容易的基本做起。對多數小型企業而言,第一波成效通常來自帳號安全、更新、備份,以及一份簡單的回應計畫。
讓計畫簡短且實用。誰應該先被員工聯絡。哪些外部聯絡人很重要。備份的文件在哪裡。哪些系統最需要維持運作。比起一份沒人看的長文件,一頁式檢查清單更好。
- 為電子郵件、雲端應用程式、薪資、銀行與遠端存取啟用 MFA(多重身分驗證)。
- 移除舊使用者帳號,並把系統管理(admin)權限限制在真正需要的人員身上。
- 確保筆記型電腦、桌上型電腦、伺服器與企業應用程式都能依例行排程完成修補(更新)。
- 使用可被監控並經過測試的備份。不要在未成功還原之前就假設備份一定能用。
- 訓練員工在點擊連結、開啟附件或傳送敏感資訊之前先停一下。
- 把「哪個聯絡對象要先找誰」寫下來:包含你的網路/網際網路供應商、關鍵軟體供應商,以及如果你有 IT 供應商的話,也要列上他們。
什麼時候該尋求外部協助
如果你的團隊很忙、正在成長,或分散在多個地點,可能就需要外部協助。如果你也處理客戶付款卡片、健康資訊或其他敏感資料,同樣適用。付款卡片相關規範常提到 PCI(Payment Card Industry data security requirements,支付卡產業資料安全規範)。健康相關的隱私規則常提到 HIPAA(Health Insurance Portability and Accountability Act,健康保險流通與責任法案)。一些較大的客戶也可能會詢問 SOC 2,這是一種常見的稽核架構,用來描述服務組織如何處理安全與相關控管。
託管式 IT 服務供應商可以協助你把基本項目建立起來,並持續維護。定價通常以每月每使用者或每台裝置的模式計算。對小型企業來說,較粗略的區間通常可能從每位使用者每月約 100 到 250 美元起算,持續性的託管式 IT;若你需要更進階的安全、合規支援、非上班時間的保障或更複雜的系統,費用可能更高。這些不是報價。實際金額取決於人數、裝置數量、安全需求,以及地區。
NodeBridge IT 不是 IT 供應商或資安公司。我們不會管理、監控、保護、修復或存取你的系統。我們提供一般性教育與免費配對,讓你理解選項,並連結到符合你企業的獨立供應商。如果你想要這樣的協助,立即配對。
誠實提醒
NodeBridge IT 是免費配對服務,不是 IT 供應商。此處資訊為一般性與教育性內容——簽約前,請以書面方式向任何供應商確認涵蓋範圍、SLA 與價格。無人能保證正常運作、資安或復原能力。
勒索軟體可能讓小型企業快速停擺,所以聰明的做法是先做基本準備:更強的登入方式、更新、已測試的備份、員工訓練,以及一份清楚的計畫。
常見問題
小型企業應該付贖金嗎?
這是商業、法律與保險的問題,不是單純的技術選擇。付款並不保證檔案能恢復,也不保證竊取的資料不會被濫用,因此許多企業會先從遏止(containment)、尋求法律建議、符合保險公司的要求,以及在可行的情況下以備份為基礎進行復原。
資安保險能解決問題嗎?
保險可能有助於部分費用,但它不會取代準備工作。保單內容各不相同,且許多保單會要求基本控管,例如 MFA、備份與書面程序。
如果我們使用像 Microsoft 365 或 Google Workspace 這樣的雲端應用程式,我們就安全嗎?
雲端應用程式可以提升韌性,但並不代表風險消失。帳號被盜、惡意檔案變更與資料被刪除仍可能發生,因此存取控管、備份與員工訓練仍然重要。
如果我們的員工覺得有什麼不對勁,應該怎麼做?
他們應該先停止點擊,若 IT 供應商或內部政策有指示,則需先斷開網路連線,並立即透過你們企業的事件處理流程回報問題。重點是儘快回報,而不是試著自己先把事情處理好。
我們以前從未購買託管式 IT。應該問哪些問題?
詢問他們如何處理 MFA、修補(patching)、備份、裝置保護、員工入職與離職的管理,以及回應規劃。也要問 SLA 包含哪些內容、哪些屬於額外項目,以及他們在事件發生期間如何溝通。