為了防範不受勒索軟體危害，如何提升自我防護，是企業與個人不容忽視的議題。在2016下半年一開始，我們提供最新的5種基本防護原則以及資安專家的4招撇步，讓企業與使用者能具備更完整的防護策略

對加密勒索軟體的威脅，不論企業、個人都很頭疼，一不小心中招，就有可能讓公司重要文件、交易紀錄、專案資料，甚至是朋友與家人的珍貴照片、影片都救不回來。

如何能保障資料而不受加密勒索軟體危害，是許多使用者都很關心的事，以下提供的五點防護原則，應該是多數人都能做到的防治之道，尤其是檔案備份的工作是否確實，更是IT管理者應盡的責任。

至少做到5種基本防護原則

當我們了解加密勒索軟體危害的嚴峻情勢後，為了使企業與使用者能有更清楚的防護策略去因應，整理了像是安全備份、人員資安教育，以及軟體更新、安全防護與存取管控等，可說是最簡單、又能夠讓使用者有所準備的大方向。

防護原則1  重視資料備份

為了讓加密勒索軟體危害風險降到最低，最基本且重要的第一件事，應該就是要確保，當公司重要資料被勒索軟體加密時，企業還能透過還原備份資料得方式，救回被加密的檔案，這是一個最簡單又實際的作法。

不過備份方式需要特別注意，如何安全備份是重點，不論是日備份、週備份與月備份，還要做好離線備份與異地備份，減少被勒索軟體加密重要文件時的損失。

為了讓備份更集中，也有小公司是採要求員工將重要資料都存至檔案伺服器上，簡化備份工作的進行。

防護原則2  作業系統或應用程式定期修補、更新

勒索軟體運用漏洞攻擊越來越常見，儘管漏洞修補需要時間，但一般使用者能做到的就是，確保常用的作業系統、Adobe Flash、瀏覽器等重要軟體更新，時時維持在最新版本，減少因漏洞而導致遇害的機會。

因此，企業IT管理者應積極應對的是，是否能讓所有電腦都能在最短的時間套用最新修正程式。

防護原則3  強化資安意識，可疑文件與連結不能點

提醒員工加強資安意識已經是老生常談了，但許多案例關鍵都在人為，至少做到兩點，提醒員工勿點擊任何可疑連結，或不下載任何不明程式。讓公司內同仁在接收電子郵件或上網瀏覽時，都能提高警覺，並確保他們了解勒索病毒帶來的威脅。

同時，建立明確的應變措施也很重要，畢竟在遇到突發狀況時，員工要能知道如何在第一時間通報管理者。

防護原則4  安裝相關防毒軟體並注意保持更新

為了增強端點資安防護，安裝防毒軟體是相當基本的防護策略，以免於病毒及其他安全性威脅。更重要的是，病毒碼需時時更新，並注意一些進階功能是否啟用，增強未知病毒的防護能力。

特別值得一提的是，在上個月底iThome舉辦的資訊安全論壇中，面對加密勒索軟體危害，我們也看到不少資安廠商像是趨勢、ESET、FireEye、Forcepoint、Intel Security等，在基本的端點防護之外，也都提及從郵件閘道阻擋惡意信件，以及網路閘道阻擋惡意連結的作法，強化企業內部對於勒索軟體的入侵防護。當然，如要有能力做好更廣泛的整體資安防護，面向又不僅僅如此。

防護原則5  重新檢視公司內部的使用存取權限

對於資料夾與檔案的存取控制，一些中小企業管理者可能沒有做好較嚴格的限制。不論是檔案、資料夾或網路分享等，若一些使用者只有讀取資料的需求，其實管理者就能限制使用者的寫入權限，減少檔案被加密的機會。

當然，管理者權限的設定與使用，也是特別要注意的一點，畢竟許多程序還是需要管理員權限才能夠實際運行。

另一方面，我們也蒐集了更多資安專家、國際組織與資安廠商提供的最新建議作法，供企業用戶參考。

增強企業防禦，資安專家提供4招撇步對抗勒索軟體

身為臺灣HITCON駭客年會顧問的邱銘彰，網路暱稱Birdman（目前也是臺灣威瑞特技術長），在6月底iThome舉辦的資訊安全論壇主題演講中，針對加密勒索軟體的危害，也提供了4點建議供中小企業參考。

其中前兩項建議相當務實，一般小企業應該都不難做到，像是現在NAS的價格也不會很貴，買臺NAS做好備份工作是最簡單的作法，且NAS的好處像是，能把最近檔案10次異動都備份下來，而一些廠商提供的NAS產品，最高還能達上萬次歷史版本存取。

第二點是可以針對郵件附件加以過濾，阻擋一些有風險、又不是工作常用的副檔名，像是js、jar、bat、exe、cpl、scr、com、pif、vbs等，以減少員工資安意識不足帶來的危害，畢竟沒有人會每天寄送執行檔給你。

還有兩項他認為也能幫上忙的免費工具，分別是微軟Applocker與Enhanced Mitigation Experience Toolkit (EMET)，但比較需要一些設定技巧。

簡單來說，前者是Windows 7開始提供的應用程式管理工具，可建立軟體限制原則，防止未經授權的軟體使用行為，避免惡意軟體對系統造成危害，這對於Server類設備很有用，因為管理政策較簡單，對於一般員工電腦則比較困難，除非公司有很清楚的政策只能執行哪些程式；後者能允許使用者將一些常用的Windows程式，加入至受EMET保護的清單中，協助預防軟體中的弱點被利用。